Frage:
Ist es akzeptabel, dass ein erfahrener professioneller Pentester sensible Daten in der Produktion während eines Pentests unbeabsichtigt löscht oder ändert?
kinunt
2013-07-18 00:08:20 UTC
view on stackexchange narkive permalink

Heute habe ich eine Situation erlebt, in der eine Person, die für die Sicherheit eines Unternehmens verantwortlich ist, von einem Pentesting-Unternehmen verlangt, eine Klausel im Vertrag zurückzuziehen, die besagt, dass:

"während des Pentests die Möglichkeit, vertrauliche Daten in der Produktionsumgebung aufgrund der Ausführung einiger Tools, Exploits, Techniken usw. unbeabsichtigt zu löschen oder zu ändern. "

Der Client sagt, dass er diese Klausel nicht akzeptieren wird und dass er glaubt, dass kein Unternehmen diese Klausel akzeptieren würde. Er glaubt, dass während eines Pentests auf Informationen zugegriffen werden konnte, diese jedoch nie gelöscht oder geändert wurden.

Wir wissen, dass die Ausführung einiger Tools wie Webcrawler oder Spider Daten löschen kann, wenn die Webanwendung sehr schlecht programmiert ist Es besteht immer die Möglichkeit, wenn diese Arten von Tools verwendet werden.

Ich weiß, dass dies die Bedingungen des Kunden sind und akzeptiert werden sollten, aber:

Can Ein erfahrener und professioneller Pentester stellt immer sicher, dass während eines Pentests keine Daten in der Produktion gelöscht oder geändert werden.

Kann ein Pentest wirklich durchgeführt werden, wenn das Pentest-Team die Einschränkung dieser Daten hat Kann nicht erstellt oder geändert werden?

Sollte das Pentesting-Unternehmen für alle Fälle immer die Haftungsausschlussklausel einschließen?

Dies erinnert mich an eine WTF-Geschichte, in der Google eine Seite mit einem Link indiziert hat, der beim Klicken auf die gesamte Datenbank zurückgesetzt wurde. Google ging einfach blindlings und indizierte die Seite, folgte dem Link und löschte die Datenbank. Es gibt keine Garantie dafür, dass ein Pentester nicht versehentlich dasselbe tut.
Wer weiß, auf welche Art von Logikbombe Sie stoßen könnten? Es ist CYA gegen böswillige Fallen und schreckliche Fehlkonfigurationen, die eine versteckte Katastrophe waren und darauf warteten, Daten herauszunehmen, als jemand zum ersten Mal die Domino-Zeichenfolge auslöste. Grundsätzlich eine Klausel "Es tut uns leid, dass Sie keine funktionierenden Backups haben, aber dieses Problem liegt vor meiner Atmung auf Ihrem System" -Klausel.
@MarkHenderson Ich würde gerne eine Seite mit Details zu diesem Fall sehen ... :)
@woliveirajr - http://thedailywtf.com/Articles/The_Spider_of_Doom.aspx und http://thedailywtf.com/Articles/WellIntentioned-Destruction.aspx - mein Gedächtnis war nicht genau richtig, aber nah genug
Sicherlich ist ein Kunde, der darauf besteht, dass diese Klausel entfernt wird, nicht unangemessen, sondern versteht nicht, warum diese Klausel vorhanden ist. Sie denken, * Sie * werden beim Testen etwas tun, um ihr System zu beschädigen. Erklären Sie ihnen einfach, dass Sie offensichtlich nicht dafür verantwortlich gemacht werden können, wenn * ihr * Code einen schrecklichen Fehler enthält, der die Datenbank löscht, wenn Sie auf "Speichern" klicken. Wie so oft klingt dies nach einem menschlichen Kommunikationsfehler, nicht nach einer technischen Frage.
Wenn der Client über eine funktionierende (getestete) Sicherungs- / Wiederherstellungsprozedur verfügt (mit einem Mechanismus zur Überprüfung der Dateiintegrität), muss er sich keine Sorgen machen, oder?
@tom-oconnor Umso besser ist es, Daten mit aktuellen Backups kontrolliert und vorbereitet zu verlieren, als zu einem zufälligen Zeitpunkt, wenn sich ein Hacker durchschlägt. Wenn Datenverlust während des Pentests überhaupt ein Problem darstellt, ist dies wahrscheinlich die geringste Sorge des Unternehmens. Und in diesem Licht stehe ich auf der Bemerkung, dass es sich eher um ein Kommunikationsproblem als um ein technisches Problem handelt.
Hier ist eine andere Sichtweise. Die * Annahme * eines Penetrationstests ist, dass wenn der Angreifer erfolgreich ist, das System * kaputt * ist; Wenn es * richtig * wäre, wäre der Angriff nicht erfolgreich gewesen. Wenn der Angriff erfolgreich ist, ist das System * kaputt *; Wenn das System defekt ist, * ist sein Verhalten bei Eingabe nicht unbedingt das durch seine Spezifikation vorhergesagte *, und wenn sein Verhalten nicht durch seine Spezifikation vorhergesagt wird, * wer weiß, was passieren wird *?
Ist es professionell, dass Ihr Unternehmen die Systeme, die Sie testen möchten, nicht geklont hat - nicht nur, weil sie sich auf Ihr System auswirken könnten, sondern auch, wo Sie Ihre Entwicklungsänderungen vornehmen?
Leiten Sie Ihren Kunden auf diese Seite
@RyanMcDonough Das ist nur bei kleinen Zielen wirklich praktisch. Für einen allgemeinen Test der Infrastruktur von XYZ Co wäre das Klonen nicht nur unerschwinglich teuer, wenn diese groß genug ist, um über zahlreiche Server-Racks zu verfügen. Die Wahrscheinlichkeit, dass nicht alles identisch in der Kopie konfiguriert ist, steigt jedoch und verringert die Gültigkeit der Ergebnisse.
@DanNeely Selbst wenn Sie das System klonen, kann das, was Sie geklont haben, nicht über eine fest codierte Netzwerkadresse, die Sie zusammen mit den anderen geklont haben, über eine Netzwerkadresse auf das ursprüngliche System zugreifen? Ja, Sie könnten das System isolieren, aber zu diesem Zeitpunkt haben Sie die Umgebung so radikal verändert, dass Ihre Tests nicht das testen, was Sie testen.
Acht antworten:
Rory McCune
2013-07-18 00:20:53 UTC
view on stackexchange narkive permalink

Es gibt keine Möglichkeit, dass ein Pentester zu 100% sicherstellen kann, dass Daten nicht geändert oder gelöscht werden, genauso wie er nicht sicherstellen kann, dass die Systemverfügbarkeit nicht beeinträchtigt wird (ich habe Systeme mit einem Port umgestoßen Scan oder ein einzelnes Zeichen). Wie Sie sagen, kann ein Webcrawler Daten aus einem System löschen, wenn sie schlecht eingerichtet sind.

Ich würde sagen, dass so etwas wie "Es wird jede Sorgfalt darauf verwendet, sicherzustellen, dass die Tests durchgeführt werden." wirkt sich nicht negativ auf die zu überprüfenden Systeme aus und es werden keine absichtlichen Versuche unternommen, Produktionsdaten zu ändern oder zu löschen oder die Verfügbarkeit von In-Scope-Systemen negativ zu beeinflussen. Bei allen Sicherheitstests besteht jedoch das Risiko, dass Systeme und der Kunde betroffen sind sollte sicherstellen, dass vor Beginn der Überprüfung Sicherungen aller Daten und Systeme vorhanden sind "

Ich habe einen Server umgeworfen, indem ich ein Unicode-Zeichen in ein Feld in der Web-App des Kunden eingefügt habe. Sie können niemals 100% sicher sein, dass Ihre Aktionen die Verfügbarkeit nicht beeinträchtigen - unerwartete Fehlervektoren sind überall.
Ich hatte Mitglieder von Teams, die vom Kunden bereitgestellte Konten testeten, als "Test" -Konten versehentlich internationale Zahlungen leisteten :-) Es passiert. Behalte die Klausel bei!
Ich weiß nicht viel über Sicherheit, aber ich habe viele durcheinandergebrachte Codebasen getroffen und ich stimme dieser Nachricht zu.
Dies und der Kommentar von @MGOwen versuchen, dem Kunden die Argumentation zu erklären. Wenn sie es immer noch nicht annehmen, ist es wahrscheinlich am besten, den Job nicht anzunehmen. Nicht, dass ich viel über Pentesting weiß, aber Sie könnten versuchen, eine SQL-Injektion durchzuführen, um Zugriff auf das System zu erhalten, und dieses große Wrack verwüstet die Daten, wenn auch nicht vorsichtig genug.
Als Penetrationstester verbringen Sie im Wesentlichen und letztendlich viel Zeit damit, sich mit der Frage zu befassen, was passiert, wenn ich * diese * unerwarteten Daten * hier * eingebe? ", Und es sei denn, Sie ' Es ist nicht möglich, den Code selbst gleichzeitig zu analysieren. Es gibt keine Möglichkeit, * absolut zu garantieren *, dass die Antwort * nicht * lautet: "Das System scheißt sich selbst, löscht seine Backend-Datenbank und beschädigt die Backups, bevor es über die Grenze flüchtet." nach Tijuana mit dem Firmenbudget ".
Tom Leek
2013-07-18 00:46:26 UTC
view on stackexchange narkive permalink

Ein Pentester, der behauptet, dass er niemals Produktionsdaten ändern wird, ist entweder ein schmutziger Lügner oder hält sich für viel kompetenter als er wirklich ist oder stark beabsichtigt, überhaupt nichts zu tun (das ist der einzige todsichere Weg, niemals etwas zu zerbrechen). Auf jeden Fall möchten Sie nicht mit diesem Typen zusammenarbeiten.

Ein potenzieller Kunde, der glaubt, dass qualifizierte Pentester die getesteten Systeme niemals beschädigen werden, und der sich weigert, mit Pentestern zu arbeiten, es sei denn, er verspricht genau das. ist ein Kunde, der 1. im Einhorn-Traumland lebt und 2. fast garantiert nur mit schmutzigen Lügnern Geschäfte macht. Er wird irgendwann desillusioniert sein, wahrscheinlich auf ziemlich spektakuläre Weise.

Es ist ein moralischer Imperativ und auch grundlegender Selbstschutz für Pentester, um Klauseln über mögliche Brüche in ihre Verträge aufzunehmen. Das Risiko von Kollateralschäden ist real, selbst wenn der Pentester sehr gut darin ist, was er tut (da der Schaden nicht von wie gut der Pentester ist, sondern von wie schlecht das getestete System entworfen wurde und implementiert ). Ein Pentester könnte verklagt werden, weil er den Kunden nicht gewarnt hat.

Ein Kunde, der einen Vertrag mit einer solchen Klausel ablehnt, hat einen anderen Namen: "Ärger". Es ist normalerweise besser, solche Kunden insgesamt zu überspringen.

+1 Client riecht komisch, zurück. Dies ist eine 100% ige Standardsprache, die in allen Pentest-Engagements enthalten ist.
Klingt für mich so, als würde er es lesen als "Wir können mit Ihrem System machen, was wir wollen, und" Unfall "behaupten, wenn wir es vermasseln", anstatt "Wir wollen nicht wegen einer unvorhersehbaren Situation verklagt werden". Aber ja, vermeiden.
@deworde Jede Klarstellung der Bedingung wie "Wir werden alle angemessenen Schritte unternehmen, um ein Brechen des Systems zu vermeiden" kann später verklagt werden, wenn ihre Schritte nicht ausreichend angemessen sind. Abhängig von den Auswirkungen des Schadens, den sie anrichten, kann dies leicht die Rechnung übersteigen und eine erhebliche Erhöhung der Gebühr erfordern (dh: "Warum kostet das Testen von Stiften 1 Million US-Dollar?" "Denn das erwarten wir von Ihnen könnte uns verklagen, es gibt einen Rabatt von 900.000, wenn Sie zustimmen, nicht zu klagen ").
@Matt Ich stimme zu. Es ist ein Versagen zu verstehen, kein Versagen zu vermitteln. Wenn dies die Standardsprache ist, kann der Vertrag ohne massives Risiko ohne Aufwärtstrend wirklich nichts anderes sagen. Im schlimmsten Fall würden Sie am Ende die Nachricht senden, dass Sie bereit sind, über Ihr Verschulden zu verhandeln.
user2213
2013-07-18 00:34:22 UTC
view on stackexchange narkive permalink

Vorsichtsmaßnahme: Ich bin kein professioneller Pentester. Und ich arbeite in Backup-Software.

Kann ein erfahrener und professioneller Pentester immer sicherstellen, dass während eines Pentests keine Daten in der Produktion gelöscht oder geändert werden?

Ich würde nein sagen, es gibt keine absoluten Garantien, dass etwas nicht versehentlich gelöscht wird, wenn Sie versuchen, Dinge zu zerbrechen. Allerdings sollte ein Pentester im Allgemeinen versuchen, Systeme so auszunutzen, dass keine Daten gelöscht werden. Während beispielsweise die beliebteste SQL-Anweisung aller lautet: 

  Wählen Sie * von Benutzern aus, bei denen userid = 'dave'; DROP ALL TABLES;

Ein verantwortungsbewussterer Ansatz wäre einfach, alle Daten aufzulisten: 

  Wählen Sie * aus Benutzern aus, bei denen userid = '2' OR 1 = 1;

Im Allgemeinen stelle ich mir vor, dass die meisten Pen-Tester eine Reihe von Exploits der zerstörungsfreien Variante wie die letztere entwickelt haben.

Javascript-Injektion in ihren verschiedenen Formen kann Verwenden Sie einfachen Proof-of-Concept-Code wie alert ("Sie ausgenutzt"); anstelle von echtem Exploit-Code.

Kann ein Pentest wirklich durchgeführt werden, wenn das Pentest-Team dies getan hat? die Einschränkung, dass Daten nicht erstellt oder geändert werden können?

Ich würde nein sagen. Wie würden Sie einen Proof of Concept für gespeichertes XSS vorlegen, ohne Ihr XSS in der Datenbank speichern zu können? Dadurch werden ausnahmslos neue Daten erstellt.

Es gibt zahlreiche Beispiele, bei denen ein Exploit das Schreiben von Daten erfordert, auch wenn dies nur vorübergehend ist.

Sollte die Pentesting-Firma für alle Fälle immer die Haftungsausschlussklausel einfügen?

Auch hier erweitere ich mein persönliches Wissen, aber ich werde sagen ja.

Dies kommt jedoch auf den Punkt zurück, an dem zunächst eine Pen-Test-Firma eingestellt wurde. Bei einem Pen-Test geht es darum, Risiken zu identifizieren, die möglicherweise bewertet und behoben werden müssen, bevor die Bösen sie finden.

Ich würde auch hoffen, dass jeder gute Pentester nach einer Notfallwiederherstellung in gewissem Umfang fragen würde und jedes gute Unternehmen daran gedacht hätte. Sicherlich sollten Sie auf Ihren Systemen eine Sicherungskopie eines Formulars haben, damit Sie diese bei Bedarf wiederherstellen können. Sie benötigen dies nicht nur für den Fall, dass der Pentest Ihre Daten zerstört, sondern auch für den Fall, dass Sie wirklich von den Bösen verletzt werden. In diesem Fall möchten Sie möglicherweise, dass ein nicht kontaminiertes Backup zurückgesetzt wird.

Alles, was ich hier denke, ist, dass sogar "alert" ("Sie ausgenutzt"); "Dinge zum Erliegen bringen könnte, wenn es ein" nützliches "Skript gibt, das das Alarmsystem verwendet und auf Zeichenfolgen reagiert, die z. `'e'`
@medivh wahrscheinlich ja. Sie würden hoffen, dass das betreffende Unternehmen den Pentestern eine Dokumentation über ihr System zur Verfügung stellt, damit die Jungs wissen, wie man etwas ausführt, das es nicht kaputt macht ...
@medivh Es muss nicht einmal so kompliziert sein.Die meisten automatisierten UI-Testtools schlagen fehl, wenn sie keine unerwarteten Warnungen verarbeiten können.
Relaxing In Cyprus
2013-07-18 12:36:19 UTC
view on stackexchange narkive permalink

Ich führe auf meinen Websites regelmäßig Penetrationstests durch.

Als ich zum ersten Mal einen Test ausführte, stoppte ich die Website und überflutete ihren Mailserver mit Spam.

Ich dann Ich habe ein paar Formulare gezwitschert, um den Spam loszuwerden, und es war möglich, alle anderen bekannten Lücken zu identifizieren und zu beheben, ohne den Server zum Stillstand zu bringen.

Ich war ehrlich gesagt erstaunt über die Verschlagenheit der Exploiter Ich musste Löcher stopfen, an die ich nicht gedacht hatte.

Aber vor dem Ausführen der Tests dachte ich, meine Websites seien sicher. Ich habe die Best Practices für das Website-Design so weit wie möglich befolgt, aber es gab immer noch Probleme.

Im Nachhinein weiß ich, dass das Testen meine Produktionsstätte beeinträchtigen kann. P. >

Also plane ich im Voraus.

Ich stelle sicher, dass zuerst alles gesichert wird.

Wenn die Site wirklich sehr, sehr kritisch ist, werde ich dann einen vollständigen Klon erstellen Testen Sie diesen Klon zuerst.

Ich habe aus Erfahrung gelernt, dass Sie den Klon auf einem anderen Server erstellen, wenn Sie ihn erstellen. Andernfalls wirkt sich der Server beim Anhalten des Klons weiterhin auf Ihre Produktionsumgebung aus.

Ich führe jedoch weiterhin meine Tests durch. Wie erhalten Hacker Ihrer Meinung nach Zugriff auf Websites? Vermutlich führen sie solche Tests selbst auf nicht autorisierte Weise durch. Solange Ihre Website nicht geschützt ist, ist sie immer anfällig. Es ist viel besser, die Tests zuerst mit den Vorsichtsmaßnahmen (Backup usw.) durchzuführen, als die Teile aufzunehmen, wenn Sie es am wenigsten erwarten.

Ja, es ist akzeptabel, aber es ist ist auch vorhersehbar und sollte entsprechend verwaltet werden.

Sie können den Testklon in eine gedrosselte VM einfügen, wenn die Hardware knapp ist. Auf diese Weise schleift es, wenn es zum Stillstand kommt, nur mit 25% der CPU und Prod hat noch 75 zum Spielen
Sie sollten niemals (Stift-) Tests auf einem Produktionsserver (virtualisiert oder nicht) durchführen. Die VM-Anwendung kann Fehler aufweisen (z. B. Speicherverlust im Kernel-Space).
Wenn Sie den Klon mithilfe der von Ihnen erstellten Sicherung auf einem separaten Server erstellen, stellen Sie auch Ihre Fähigkeiten zur Notfallwiederherstellung auf die Probe.
jmoreno
2013-07-21 07:30:00 UTC
view on stackexchange narkive permalink

Die Antwort auf Ihren Titel lautet "Ja", und der Kunde muss dies wissen!

Bei diesem Haftungsausschluss handelt es sich nicht um CYA, sondern um wichtige Informationen, auf die sich der Kunde vorbereiten muss das Pentest. Ich bin kein Pen-Tester, aber IMO sollte dies nicht auf der letzten Seite im Kleingedruckten vergraben sein, sondern auf Seite 1 des Vertrags, vorne und in der Mitte und in einer großen, fett gedruckten Schrift. Das Kundenunternehmen muss sich darauf vorbereiten, dass etwas schief geht - Backups müssen erstellt, Wiederherstellungspläne erstellt und eingerichtet usw. Es ist unverantwortlich, den Kunden glauben zu lassen, dass ein Pen-Test risikofrei ist. Sie versuchen per Definition, falsches Verhalten auszulösen, ohne Kontrolle darüber zu haben, wie weit sich dieses fehlerhafte Verhalten erstreckt oder auswirkt.

Die Antworten auf die drei Fragen im Hauptteil Ihres Beitrags lauten: (1) Nein, Sie Ich kann keine Garantie für anderen Code übernehmen. (2) Eine eingeschränkte Form des Stifttests kann durchgeführt werden, ohne dass absichtlich Daten geändert oder erstellt werden (wenn Sie eine Protokollierung ausschließen, die die App möglicherweise ausführt), aber die Ergebnisse wären nicht vollständig und schließlich ( 3) Sie sollten diesen Haftungsausschluss IMMER einschließen - so viel für die Kunden wie für Sie.

Der Tester sucht grundsätzlich nach einem Fehler, den er ausnutzen kann, und kann in keiner Weise garantieren, dass er keinen Fehler findet das schadet. Betrachten Sie einen typischen Software-Haftungsausschluss für etwas, das NICHT auftreten oder Fehler verursachen soll, und denken Sie dann daran, dass Sie den zu testenden Code wahrscheinlich nicht geschrieben haben ...

Die Antwort sollte also "Ja" sein, nicht wahr? Weil es akzeptabel (und zu erwarten) ist, Produktionsdaten während eines Pentests zu ändern.
Es wäre ungewöhnlich, aber nicht unverantwortlich, einen Vertrag zu haben, bei dem Sie Produktionsdaten nicht absichtlich auf nicht standardmäßige Weise ändern sollen. Es ist technisch unmöglich zu garantieren, dass eine unbekannte Codebasis bei normaler Verwendung keinen Schaden anrichtet, geschweige denn bei ungewöhnlichen Anwendungen, die beim Testen von Stiften auftreten. Ich sehe, dass ich meine Antwort etwas erweitern sollte.
Francesco Manzoni
2013-07-19 14:40:35 UTC
view on stackexchange narkive permalink

Wahrscheinlich können Sie dies nur unter bestimmten Bedingungen sicherstellen. Offensichtlich ist Pentest ein Kompromiss zwischen vielen Faktoren, einige Faktoren stehen in direktem Widerspruch zur Systemverfügbarkeit, und einer davon ist die Tiefe Ihrer Analyse. Einige Leute könnten argumentieren, dass ein Pentest ohne Ausbeutung kein Pentest ist.

In der Vergangenheit musste ich einige SCADA-Systeme pentest, die für ihre Fragilität berühmt sind, und ich kann Ihnen versichern, dass es möglich ist, die meisten zu stimmen der Werkzeuge sanft genug zu sein. Zum Beispiel hat das Deaktivieren des NMAP-Fingerabdrucks und das Erhöhen der Verzögerung zwischen Paketen sehr geholfen.

Um Ihre Frage jedoch persönlich zu beantworten, werde ich NIEMALS einer Klausel zustimmen, um dies einem meiner Kunden zu garantieren. Ich werde ihm mein Wort geben, aber geschäftlich können Sie nicht verantwortlich sein, wenn ihre Anwendung während Ihres Pentests von selbst bricht.

+1 für die Idee, dass ein Pentest ohne Ausbeutung kein Pentest ist
Das Management sieht den Penetrationstest nur als "teuer" und die Schwachstellenbewertung als "billig" an. Wenn sie dich genug bezahlen, ist ** IMMER ** ein Pentest.
user29367
2013-08-11 01:16:33 UTC
view on stackexchange narkive permalink

"Kann ein erfahrener und professioneller Pentester immer sicherstellen, dass während eines Pentests keine Daten in der Produktion gelöscht oder geändert werden?"

Nein.

"Kann ein Pentest wirklich durchgeführt werden, wenn das Pentest-Team die Einschränkung hat, dass Daten nicht erstellt oder geändert werden können?"

Denken Sie nicht. .

"Sollte das Pentesting-Unternehmen für alle Fälle immer die Haftungsausschlussklausel einschließen?"

Eine interne Vereinbarung wird sich stark von einer dritten Vereinbarung unterscheiden Zustimmung. Ich kenne keine Pen-Test-Firma, die unter anderem keine Haftungsversicherungsbeschränkungen hat ...

atdre
2015-04-19 12:20:23 UTC
view on stackexchange narkive permalink

Penetrationstests sollten einer Methode folgen, bei der Tests, die Schäden verursachen können, nur in nicht produktiven Szenarien wie einer Staging- oder Laborumgebung durchgeführt werden.

Das eigentliche Problem ist nicht das Löschen oder Ändern von Daten, weil Tester können diese Testfälle nicht produktiven Systemen überlassen. Das eigentliche Problem besteht darin, neue Daten wie Fehlerprotokolle oder überflüssige fehlerhafte Dateien zu hinterlassen, die vertrauliche Informationen enthüllen, oder sogar das Vorhandensein des Pentests selbst, einschließlich des clientseitigen Datenmaterials des Penetrationstesters.

Ein weiteres Problem Bei Penetrationstests ist die Offenlegung anderer Kundendaten, geschäftlicher E-Mails oder Browser-Lesezeichen während Demos oder Screencasts weit verbreitet.

Penetrationstests werden in der Produktion häufig durchgeführt, und Sie können nicht garantieren, dass ein Test, der harmlos zu sein scheint, beispielsweise aufgrund des Verhaltens eines Webs etwas löscht.
Ich kann; Vielleicht kannst du nicht
Ich denke, dass Sie weder den Rest der Antworten noch die gültige Antwort gelesen haben. Wie können Sie vorhersagen, dass eine Schaltfläche mit der Aufschrift "Suchen" Informationen in der Datenbank löscht, wenn ein Programmierer diese Funktionalität programmiert hat und Sie keinen Zugriff auf den Quellcode haben?
Der Unterschied zwischen einigen Leuten in diesem Forum, die dem Buchstaben des Gesetzes folgen, und mir, die dem Geist des Gesetzes folgen, besteht darin, dass ich die Bedeutung von Fragen neu interpretieren und "die Frage hinterfragen" kann. Es ist in Ordnung zu debattieren. Es ist in Ordnung, unterschiedliche Perspektiven zu haben. Dies ist die Welt, in der ich leben möchte. Alle meine Pen-Tests sind volles Wissen. Ich bekomme immer zuerst den Quellcode.
Programmierer sind unendlich erfinderisch darin, Wege zu finden, um ihre Programme zerbrechlich zu machen. Beispielsweise kann eine Software, mit der ich arbeite (ein Datenbanksystem), durch einen einfachen halboffenen Portscan zum Absturz gebracht werden, was das Risiko eines Datenverlusts birgt.
Ich glaube wirklich nicht, dass jemand, der als Antwort auf meinen Beitrag kommentiert oder mich herabgestuft hat, die Probleme hier überhaupt versteht. Sie haben nicht die Erfahrung. Tests müssen stattfinden. Testen bringt die Dinge voran. Einige Dinge in Prod und einige Dinge in Dev oder Test zu testen, ist der richtige Weg. Zu verstehen, was in beiden Fällen schlecht sein kann, ist der Zen von Sicherheitstests und Pen-Tests gleichermaßen.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...