Na co zwrócić uwagę podczas zawierania kontraktu z firmą oferującą testy penetracyjne? #od0dopentestera
Wojciech Dworakowski - prezes firmy SecuRing opowiada o organizacji OWASP.
Dowiesz się ile średnio trwa test penetracyjny i czy zdarza się nie znajdować błędów bezpieczeństwa.
Rozmawiamy o tym jak powinien wyglądać raport z przeprowadzonego pentestu oraz co to jest modelowanie zagrożeń.
Wojtek opowiada również jakie podatności są najczęściej ignorowane i czy udostępnianie kodu źródłowego przez firmy
Wojciech Dworakowski - prezes firmy SecuRing opowiada o organizacji OWASP.
Dowiesz się ile średnio trwa test penetracyjny i czy zdarza się nie znajdować błędów bezpieczeństwa.
Rozmawiamy o tym jak powinien wyglądać raport z przeprowadzonego pentestu oraz co to jest modelowanie zagrożeń.
Wojtek opowiada również jakie podatności są najczęściej ignorowane i czy udostępnianie kodu źródłowego przez firmy
- pestis
- albi_77
- Kszyh
- Heart
- greenomnom
- +15 innych
Czasami trzeba coś przeanalizować.
Ale co jeśli przez pomyłkę w ostatecznej wersji produktu pozostawimy opcje służące do rozwiązywania problemów?
Jeżeli używasz narzędzia Flask to wiesz, że podczas tworzenia aplikacji udostępnia on Wekzeug Debugger.
Jeżeli gdzieś kod działa nieprawidłowo to zamiast komunikatu błędu otrzymujemy interaktywny interfejs służący do dynamicznej analizy programu.
Możemy wyświetlać wartości zmiennych oraz wykonywać dowolny kod –
@zortabla_rt: I tak i nie.
Rozpatrujemy tutaj sytuacje gdy strona posiada błąd pozwalający na pobranie dowolnego pliku z serwera.
I rzeczywiście – jeżeli nie jest wykorzystywany load balancer to istnieje spora szansa, że będzie możliwe pobranie pliku z kluczem prywatnym SSL.
Ten plik można potem w odpowiednich warunkach wykorzystać do podsłuchania transmisji bądź podszycia się pod daną domenę.
I to właściwie tyle.
Gdy serwer pozwala na dostęp