个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
关闭。这个问题是opinion-based .它目前不接受答案。
想改进这个问题?更新问题,以便 editing this post 可以用事实和引用来回答它.
7年前关闭。
Improve this question
原问题:
我们的一个附属合作伙伴有一个容易受到 SQL 注入(inject)攻击的网站。
我们偶然注意到了这一点(URL 中的错字触发了一个信息量巨大的错误页面)。
现在我们不太了解这个附属合作伙伴。一周前,我们开始与他们开展业务。
他们自己的技术技能很少;他们的网站是由“做网站”的第三家公司为他们开发的。
现在很明显,我们应该警告他们这个问题。但是我们有点担心,如果我们将问题告知他们,他们会害怕并且不再信任我们(射击信使以使问题消失)。
你们中有人遇到过这种情况吗?你做了什么?
还有一点是:
因为开发该网站的公司似乎根本没有进行输入验证/清理,所以我们对这家公司没有很大的信心。虽然这不是我们关心的问题,但我们认为我们应该警告我们的附属合作伙伴,因为他们系统的其余部分可能缺乏安全性和质量。这将使我们与他们的开发人员正面交锋,我们不想卷入他们与我们的情况。
我们应该通知他们我们的其他担忧吗?还是您建议顺其自然?
更新:
那么,事情进展如何?
我们通知了他们存在的问题,包括背景信息、详细的错误报告,并试图用简单的人类语言解释问题是什么以及为什么它很严重。
他们感谢我们,将信息传递给他们的网站开发人员,他们已经修复了它。
我们不太确定修复的质量,但我们对此无能为力,这不是我们的责任。 (虽然这确实是我们的责任,但自从我们报告了它之后更是如此)。
然而,关系发生了变化。它们不那么开放,而且 react 比以前更加保留。我们希望这种情况在 future 会变得更好,但确实感觉报告问题会损害对这种关系的信任。
因此,如果您发现自己处于相同的位置,请小心,花时间解释问题并为不太理想的 react 做好准备。
最佳答案
你告诉他们。时期。
他们会射杀信使吗?也许。但如果他们这样做了,那么你真的想和他们做生意吗?
更务实的是,如果他们的网站出现问题,由于此类攻击而使他们损失了很多钱,并且如果结果表明您知道它并且什么也没做,那么您可能会遇到一些责任问题。
这样做(告诉他们)不仅是正确的事情,而且您有这样做的职业责任。
关于sql-injection - 如何通知某人他们的网站易受 SQL 注入(inject)攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/537103/
26
4
0
我已阅读有关依赖注入(inject)的信息。然后来了 构造函数注入(inject), setter/getter 注入(inject) 二传手注入(inject) 接口(interface)注入(in
我正在研究依赖注入(inject)模式。我看过很多例子,其中一个典型的例子是使用 XxxService/XxxRepository 作为例子。但是在我看来,按照UML的概念,类XxxRepositor
我开始使用 Google Guice。 我有一个简单的问题: javax.inject 的 @Inject 注释和 com.google.inject 的 有什么区别@Inject 一个 ? 谢谢。
当使用构造函数注入(inject)工厂方法时,依赖的属性不会得到解析。但是,如果在解析依赖的组件之前解析了工厂方法,则一切都会按预期工作。此外,当仅使用属性注入(inject)或构造函数注入(inje
我有这样的事情: class Root { public Root(IDependency dep) {} } class Dependency:IDependency { p
听完Clean Code Talks ,我开始明白我们应该使用工厂来组合对象。因此,例如,如果 House有一个 Door和 Door有一个 DoorKnob , 在 HouseFactory我们创建
情况:我需要在一些 FooClass 中进行惰性依赖实例化,所以我通过 Injector类作为构造函数参数。 private final Injector m_injector; public Foo
在编写代码时,我们应该能够识别两大类对象: 注入(inject)剂 新品 http://www.loosecouplings.com/2011/01/how-to-write-testable-cod
这个问题是关于 Unity Container 的,但我想它适用于任何依赖容器。 我有两个具有循环依赖关系的类: class FirstClass { [Dependency] pub
如果我有 10 个依赖项我需要注入(inject)并且不想在构造函数中有 10 个参数,我应该使用哪种注入(inject)模式? public class SomeClass { privat
我在使用 Angular2 DI 时遇到了问题。我尝试将一个类注入(inject)另一个类,它引发了以下错误: 留言:"Cannot resolve all parameters for 'Produ
对依赖注入(inject)还很陌生,我想弄清楚这是否是一种反模式。 假设我有 3 个程序集: Foo.Shared - this has all the interfaces Foo.Users -
我正在尝试了解 Angular 14 的变化,尤其是 inject()我可以将模块注入(inject)功能的功能,我不需要为此创建特殊服务..但我想我弄错了。 我正在尝试创建一些静态函数来使用包 ng
希望这个问题不是太愚蠢,我试图掌握更高级的编程原理,因此试图习惯使用 Ninject 进行依赖注入(inject)。 因此,我的模型分为几个不同的 .dll 项目。一个项目定义了模型规范(接口(int
我最近一直在大量使用依赖注入(inject)、测试驱动开发和单元测试,并且开始喜欢上它。 我在类中使用构造函数依赖,这样我就可以为单元测试注入(inject)模拟依赖。 但是,当您实际需要生产环境中的
我有下面的代码来使用 Guice 进行依赖注入(inject)。第一个是使用构造函数注入(inject),而另一个是直接在字段上方添加 @Inject。这两种方式有什么区别吗? Guice官网似乎推荐
这个问题在这里已经有了答案: Angular2 Beta dependency injection (3 个答案) 关闭 7 年前。 我正在使用 angular2 测试版。并在使用 @Inject
有没有可能做这样的事情? (因为我尝试过,但没有成功): @Injectable() class A { constructor(private http: Http){ // <-- Injec
我很恼火必须通过 Constructor 传递管道对象,因为我想为业务实体或要传递的值保留构造函数参数。 所以我想通过 setter ,但只要这些 setter 没有被填充,我的包含依赖项的对象就不应
假设我有这个: SomePage.razor: @inject Something something @page "/somepage" My Page @code { // Using
我是一名优秀的程序员,十分优秀!