Pull to refresh

Comments 5

UFO just landed and posted this here
вы могли убедиться, что всё не так плохо, как многие привыкли думать.

И это так.


Негативные новости позволяют нам развиваться и становиться лучше

Тут можно поспорить, особенно насчет становиться лучше. Часто негативные новости бывают и фейком.
А вообще очень позитивная статья. Спасибо.

Из моего опыта, на самом деле все не так хорошо, как представляет автор. Возможно, ему просто чаще приходится иметь дело с теми, кто серьезно относится к пентестам, а таких, судя по всему, меньшинство.

В моей клиентской программе был баг — при получении UDP пакета нулевого размера она тут же падала. То есть, запуск nmap ронял всех клиентов на тестируемой сети. Несмотря на это, баг продержался несколько лет, и это при том, что наши пользователи в массе своей солидные конторы и по идее к безопасности должны относится серьезно.
Я обычно имею дело со средним и крупным бизнесом, которые заказывают пентесты не первый год, поэтому и делюсь своим опытом. Рассказывать о том, как nmap ломает всю сеть могут и другие авторы.
Что касается программы которая падает от нулевого байта и вопроса почему компания несколько лет не устраняла его, нужно понять:
насколько он был критичен? был ли UDP порт доступен из интернета? как часто он эксплуатировался?
сколько стоило его устранение (переписать код, протестировать, обновить и т.п.)? было ли это дешевле всех рисков которые он нёс?
Компания его не устраняла потому, что QA этого не заметил, и никто про этот баг не знал. Как только был получен первый репорт, починили на следующий день (ну, или около того).

Порт был открыт всегда, но из интернета, естественно, не был доступен — это было клиентское приложение, которое работало во внутренней сети… которую было бы тоже неплохо потестировать, как я понимаю.
Sign up to leave a comment.