多年来,我在编程(我的主要职业)和服务器管理员方面获得了大量经验,因此在安全实践方面得到了相当不错的支持。我也很擅长发现软件中的安全漏洞(包括但不限于 SQLi),并且已经建立了一个网站列表,可以肯定地使用一些查看。
我的问题是,我联系这些网站的合法性是什么,我说“我看过你的网站,但它看起来很脆弱 - 客户数据可能会受到损害 - 你希望我修复它吗?”。我能否发现该站点实际上易受攻击并被解释为攻击本身?如果潜在客户愿意,他们可以将我告上法庭吗?
当我发现一个易受攻击的站点时,我所做的就是确认并记录该漏洞。我不是为了个人利益(通过修复获得报酬会很好!),只是出于好奇。这是为此类工作寻找客户的可行方式,还是您会推荐一种更“合法”的方式?
任何建议/建议将不胜感激:)
我永远不会雇用你,为一家中型企业工作的人一直与我联系以提供服务和销售套件。安全扫描、软件许可证管理、硬件、托管网络服务等。但我从不使用一家突然打电话给我并试图涉足的公司。这只是我建议反对的一种做法。
但是,我会认真对待您的电子邮件,并会联系我自己选择的安全承包商,看看他们是否能找到问题。
即使你说这是“为了个人利益”,我也会怀疑你要么试图缩短合同日,要么其他事情不对。我从不质疑你的技能,只是练习非常可疑。
我什至怀疑有些公司会将您的电子邮件发送给法律部门,要么试图起诉您,要么甚至可能对您发现的漏洞发出禁言令,以阻止您与其他人共享信息。
归根结底,不要这样做。