セキュリティ集約型サイトの小さなバグを修正するために雇われています。コードを見ると、セキュリティホールがいっぱいです。職業はなんですか？[閉まっている]

誰かに雇われて、サイトでちょっとした仕事をしています。大企業向けのサイトです。非常に機密性の高いデータが含まれているため、セキュリティは非常に重要です。コードを分析すると、セキュリティホールで満たされていることに気付きました-読み取り、ユーザーのget / post入力をmysqlリクエストとシステムコマンドに直接投げる多くのPHPファイル。

問題は、彼のためにサイトを作った人は、その仕事に依存している家族や子供を持つプログラマーだということです。「あなたのサイトはキディ遊園地のスクリプトです。あなたのためにやり直してください。元気になります。」

この状況で何をしますか？

更新：

私はここでいくつかの良いアドバイスに従い、サイトでいくつかのセキュリティ上の欠陥を発見したことを開発者に丁寧に報告しました。私はそのラインを指摘し、そこにSQLインジェクション攻撃の潜在的な脆弱性がある可能性があると述べ、彼がそれについて知っているかどうか尋ねました。彼は答えた：「確かに、しかしそれを悪用するには、攻撃者はデータベースの構造に関する情報を持っているべきだと思う。もっとよく理解しなければならない」。

アップデート2：

私はそれが常にそうではないと言って、彼がそれを適切に扱うためにこのStack Overflow質問リンクに従うことを提案しました：PHPでSQLインジェクションを防ぐ方法は？彼はそれを勉強するだろうと言い、以前彼に言ったことに感謝した。おかげさまで、私の役目は終わったと思います。

ここで何よりもまず、優先順位はセキュリティホールを閉じることです。

これを書いたエンジニアと直接作業している場合は、すべてを文書化し、そのエンジニアに渡します。

そうでない場合は、セキュリティの問題は当初考えられていたよりも大きく、サイトには多くの作業が必要であることを雇用主に伝えてください。サイトにいる主な開発者と協力して、彼らにPHPセキュリティについて教えることを提案します（その人を専門家にすることは約束しませんが、あなたが知っていることすべてを訓練することを申し出てください）終わったら。

これを「この男は悪い、彼を解雇する」問題にしないでください。「ねえ、統計を修正する必要のある潜在的なバグを見つけました。これは、サイトのセキュリティに関する無知/一般的な誤解に起因しているようです。また、サイトを改善できるよう、開発者にも相談したいと思います。将来これらの問題がさらに回避されるよう願っています。」

無知と無能には違いがあります。SQLインジェクションが何であるかを知らなかった時代があり、元のプログラマーが問題に気付いた後に問題を修正できないと信じる理由はありません。

だから彼らに言って。具体的かつ客観的になり、質問に答え、悪用の例を提供し、修正のための推奨事項を提供できるようにします。それでもポイントを取得できない場合、あなたが本当にできることは、自分の個人情報をサイトに掲載しないことです。

あなたの仕事は、彼のためにサイトをやり直すことではありません。小さなバグを修正するためです。ただし、修正すべきセキュリティの問題に気付いた場合は、サイトの所有者に報告して、問題が何であるかについての洞察を提供できます。

元の開発者についてbe辱したり否定的に話したり、コードがどれほど恐ろしいのかについてコメントしたりしないでください。敬意と専門性を持ちましょう。開発者と協力して問題を解決することを提案できます。問題に対処するために契約していない限り、自分で修正したり、解決策を提供したりしないでください。彼らがあなたのアドバイスに従い、あなたが間違っているなら、彼らはあなたに戻ってくるかもしれません。

何よりもまず-彼らがあなたのために雇ったものを修正します。そうしないと、仕事を終わらせるのではなく、自分でもっと仕事をすることに興味があるタイプのコンサルタントとみなされます。

修正に加えて、セキュリティの観点から間違っていることに気付いたもののリストと、これらの問題がなぜ間違っているのかをリストに提供する必要があります。

問題を報告しないことは誰にとっても有益ではありません。特定のタスクがある場合は、そのタスクを完了のために雇いましたが、他のセキュリティ問題を確認し、それらを適切な個人、おそらくあなたが雇用されたタスクのために報告している個人に報告します。

これは、強力なソフトスキルがタクトでこれを処理するのに役立ちます。サイトで他のユーザーが行った作業を停止せず、開発者に自分の才能に疑問を感じているように感じさせないようにする必要があります。

サイトを書いた開発者のためのコード/欠陥および同様の単語を参照するとき、「がらくた、悪い、貧しい、なぞなぞ」などの単語を明らかに避けてください。

他の回答に加えて、開発者に、SQLインジェクションの問題をいかに簡単に悪用できるか、開発者に、自動化されたSQLインジェクション活用ツールであるsqlmapなどを指摘してください。

過去にこの種の問題の深刻さを実証するのに効果的であることがわかったのは、それで何ができるかを示すことです。データの抽出などを行うためのサイトのコピーは、彼らに深刻さを納得させるかもしれません。

最初で唯一。経営陣は問題について聞きたくありません。人事管理局（ホワイトハウスのセキュリティクリアランス）から解雇されました。システムがどれほど安全でないかを指摘したからです。それはしばらく前のことですが、経営者の態度は変わっていません。

電子メールで開発者との問題に対処し、追跡できるようにしてから、歩いたり逃げたりします。彼らが最終的に問題を抱えるとき、請負業者として、彼らはあなたが問題にリモートで接続されていても関与しているにもかかわらず、あなたを責めようとします。

SQLインジェクションと同じくらい基本的な問題があることは、システムを最初に開発したときに安価だったことを示しています。彼らがまだビジネスにいる間に彼らからできることを手に入れてください。