我们与潜在客户进行了很多公开讨论，他们经常询问我们的技术专长，包括当前项目的工作范围。为了评估他们现在或者以前使用过的员工的专业知识水平，我要做的第一件事是检查XSS和SQL注入等安全漏洞。我还没有找到一个潜在的脆弱客户，但是我开始怀疑，他们是否真的认为这项调查是有帮助的，或者他们会认为："嗯，如果我们不与他们做生意，这些人就会浪费我们的网站"。非技术人员很容易被这些东西吓到，所以我想知道这是真诚的表现还是不良的商业行为？

解决方案

回答

我认为这样做的问题是，要在不弄乱其站点的情况下对XSS进行检查将非常困难。另外，诸如SQL注入之类的事情可能非常危险。如果我们坚持添加选择，那么可能不会有太大的问题，但是问题是，我们怎么知道它甚至在执行注入的SQL？

回答

我认为这是一个相当主观的决定，如果我们告诉他们，不同的前景会有不同的反应。

我认为一种想法可能是在他们与他人进行业务往来之后让他们知道。

至少以这种方式，这位潜在客户不会认为我们正试图向他们施加压力，要求他们为我们提供业务。

回答

我要说的是，突然间对他们的软件进行渗透测试的人可能会打扰人们，即使仅仅是因为他们事先不知道。我要说的是，如果我们打算这样做(并且我认为这是一件好事)，请提前告知客户我们将要这样做。如果他们对此感到有些烦恼，请告诉他们在受控环境中从攻击者的角度检查人为错误的好处。毕竟，即使是最安全的人也会犯错误：Debian PRNG漏洞就是一个很好的例子。

回答

从描述方式看，这似乎是一种不良的业务实践，经过一些修改可能会是有益的。

首先，我们对客户进行的任何漏洞评估或者渗透测试都应在该客户的期限内以书面形式达成协议。这涵盖了合法行为。如果没有书面协议，如果我们在检查期间无意中造成损害(应用程序崩溃，拒绝服务，数据泄漏等)，我们将承担责任并可能被起诉(根据美国法律；其他国家/地区采用不同的标准)。

即使我们不造成损害，一个无知或者潜在恶意的客户也可能会将我们带到法院要求损害赔偿；一个笨拙的法官可能会奖励他们。

如果我们具有这样做的书面授权，那么免费的漏洞评估以吸引潜在客户听起来就像是真诚的表现，并且证明了我们想要的-技能。