3 साल पहले मैंने एक बड़ी ईकॉमर्स वेबसाइट के लिए एक सुरक्षा लेखा परीक्षा की थी। जब ऑडिट को पूर्ववर्ती किया गया तो मुझे कई गंभीर सुरक्षा समस्याएं मिलीं जो लेन-देन पूरा होने के बाद पहुंच योग्य नहीं होने वाले डेटा तक पहुंचने की अनुमति देती हैं। इस साइट पर कई प्रमुख जोखिम हैं। सबसे पहले आप सिस्टम के वास्तविक समय के माध्यम से आने वाले आदेश देख सकते हैं; सभी लेनदेन इस कंपनी द्वारा मैन्युअल रूप से संसाधित किए जाते हैं। यदि आप एक लेनदेन देखते हैं तो आप नाम, पता और शिपिंग गंतव्य देख सकते हैं। मुझे यहां 2 दुर्व्यवहार बिंदु दिखाई देते हैं, 1 - आप बस जहाज को संबोधित करने के लिए संपादित कर सकते हैं और शिपमेंट स्वयं को भेज सकते हैं, और 2 - आप ऑर्डर के रूप में उपयोगकर्ता को सही कह सकते हैं और आसानी से पहुंच प्राप्त करने के लिए "फोन कॉन्फ़ॉर्मेशन" कर सकते हैं बुनियादी सामाजिक इंजीनियरिंग के साथ सीसी जानकारी के लिए।सुरक्षा नैतिकता nondisclosure
आप सीसी जानकारी और ऑर्डर आईडी संख्याओं को डंप कर थोड़ा और काम भी कर सकते हैं और फिर ऑर्डर आईडी और उपयोगकर्ता जानकारी से मेल खाते हैं। यह सब उनकी साइट पर उजागर कार्यों का उपयोग करके और कुछ मूल्यों को संशोधित करके किया जाता है। हाँ मैं एक कारण के लिए अस्पष्ट हूँ।
इस कंपनी के विपणन निदेशक को 3 साल पहले इन जोखिमों के बारे में चेतावनी दी गई थी और उन्होंने उन्हें सही करने के लिए कुछ भी नहीं किया है। मुझे शक नहीं है कि मैं यह दूसरों को पा सकता हूं। यह साइट प्रति वर्ष 88 के लेनदेन करता है और अभी भी डेटा और सुलभ में अभी भी सभी ऑर्डर संसाधित किए गए हैं।
तो नैतिक प्रश्न ... मैं क्या करूँ? मेरी कंपनी परवाह नहीं है ... इसलिए मुझे वहां मदद नहीं मिल सकती है। यदि मैं मार्केटिंग लड़के से संपर्क करता हूं तो वह अपने गधे और असंगत आंतरिक विकास टीम (ठंड संलयन) के गधे को कवर करना जारी रखेगा। क्या मैं किसी से ऊपर से संपर्क करता हूं? क्या मैं अपनी कंपनी के चारों ओर जाता हूं? क्या मैं सिर्फ डेटा खाता हूं और इसे सीसी जानकारी के प्रतिद्वंद्वी को बेचता हूं? मैं यह जानकर क्या करूँ? यह मुझ पर घबराहट और मैं इसे जाने नहीं दे सकता। यह केवल उन साइटों में से एक है जिन्हें मैं जानता हूं, लेकिन पहुंच और उच्च यातायात की आसानी से मुझे इस पर बहुत कुछ लगता है। जिम्मेदार प्रकटीकरण, और पूर्ण प्रकटीकरण:
मैं इस प्रश्न को ऑफ-विषय के रूप में बंद करने के लिए मतदान कर रहा हूं क्योंकि यह प्रोग्रामिंग के बजाए प्रोग्रामर के बारे में है। – gunr2171