-
8 有关法律问题,请访问 法学 . – 斯特芬·乌尔里奇 评论 5月26日17:33 -
5 旁白-这表明您的软件或网络设置中存在潜在的改进。 也许在极端情况下,在前面加上负载平衡器或WAF,并对其进行一些速率限制,将1)减少再次发生这种情况的可能性,2)允许您在未来的RFP中为新客户选择更多选项。 将此视为公司的学习/改进机会,无论是否合法。 评论,因为没有答案。 – 克里吉 评论 5月27日1:54 -
72 不是您的问题,但如果它“在其他客户端的高峰时间使我们的服务器停机”,并且“在我们的数据库中添加了许多损坏的数据值,我们必须手动清理”,那么很难将其视为明显的故障,它确实揭示了您的设置存在严重问题。 – 轻松的 评论 5月27日9:37 -
1 @放松无法获取访问权限。 我们的资源非常有限,因为我们是一家非常小的公司。 我们必须选择战斗。 这是我们的网站8年来第一次因为攻击而关闭,这是我们客户故意的。如果是DDOS和40000个条目 '或'1'='1 这是我们现在必须接受的结果。 这并不意味着我们应该对客户在高峰时段对我们的SAAS生产现场进行未公开的渗透测试感到满意。 – 德克·波尔 评论 5月27日10:19 -
20 @DirkBoer当然不会,但即使他们确实获得了访问权限并设法窃取了数据,情况也是如此。 同时,重要的是要认识到,安全不仅仅是关于机密性或访问权。 完整性和可用性是经典的重要方面 安全三合会 正如你所见,违反其中任何一项都会付出高昂的代价。 您描述的问题听起来很严重,即使到目前为止还没有被利用,也可能意味着更大的风险(例如,SQL注入是否可以用于删除或过滤数据?) – 轻松的 评论 5月27日11:45
6个答案
这是合法的吗?
-
33 @DirkBoer一些客户协议允许客户执行渗透测试或安全测试。 当他们这样做时,通常会有一条关于能够收回合理成本的条款。 我会看看有什么协议,也许会提出一个关于收回因这些未经宣布的测试而不得不承受的成本的讨论。 我会这样做,而不是去看某种民事案件,或者请律师参与。这只是激活了服务协议中的条款。 评论 5月26日15:04 -
三 -
2 -
5 -
2 @DirkBoer虽然看起来客户端不应该这样做,但让您的服务器停机以及“它向我们的数据库中添加了许多损坏的数据值,我们必须手动清理”这一事实可能是您的团队应该研究的问题。 真正的攻击者不会请求原谅。 – 吉米·詹姆斯 评论 5月28日20:01
如果他们声称他们正在进行渗透测试,请告诉他们这是违反您的TOS¹的,并且在没有您的安全团队许可的情况下,他们应该停止这样做。 如果你愿意,你可以利用这个机会让他们访问一个测试系统,并在那里免费获得一个pentest! 如果他们不知道你在说什么,向他们解释发生了什么。 谁知道呢,也许 他们 已成功被黑客攻击,入侵者正试图使用其凭据进行攻击 你的 系统。