Комментарии 15
Ух, слишком уж высок порог вхождения в статью. По отдельности большинство слов — знакомы, но, складываясь в предложения, они не дают абсолютно никакого понимания, из какой это всё области.
+6
А две единицы в конце заголовка должны были быть восклицательными знаками или так задумано? А то кочует из блога в секлаб, теперь вот на хабре.
-1
Так задумано)
0
Хм, а выглядит как просто небрежность. Не всем дано понимать столь тонкий юмор.
0
На самом деле очень известный юмор. Произошел, насколько мне известно от девочек-школьниц, пишущих капсом и ставивших много восклицательных знаков, дабы почерпнуть значимость ее слов. Такая ирония «Значимости».
Пример, реальный, где-то встречал:
Пример, реальный, где-то встречал:
ВОБЩЕМ… Я БЫЛА В МАГАЗИНЕ И КУПИЛА ТАКИЕ СУМКУ!!!!!111тАК ВОТ..
+1
Это не юмор, это мем.
Типа this is Sparta!!!!!!!!!11111111111
Типа this is Sparta!!!!!!!!!11111111111
+2
Не ясна цель всего этого. Если статический анализатор нашел потенциальную дыру, зачем ее передавать куда-то? Дыры надо фиксить.
0
Дело в том, что одной из проблем SAST является потенциально большое количество ложных срабатываний. Например тут найдено 57000+ «уязвимостей». Причем большая часть — ложные срабатывания. Разбирать руками? Фиксить все?
Ну и кроме того, верификация уязвимости путем «посмотреть код глазками» может быть более трудоемкой разботой, чем отправить запрос server/script?search=">alert('xoked'), если, конечно средство предоставляет такие данные.
Ну и кроме того, верификация уязвимости путем «посмотреть код глазками» может быть более трудоемкой разботой, чем отправить запрос server/script?search=">alert('xoked'), если, конечно средство предоставляет такие данные.
+4
Теперь понятно, спасибо! Просто я увидел картинку в начале поста, и подумал, что пересечение множеств меньше каждого из множеств, ну и подумал — зачем сознательно уменьшать количество потенциальных дыр. Но получается, что потенциальная дыра != реальная дыра, и такое уменьшение действительно имеет смысл.
+1
Сразу вспоминается работа m0n0sapiens «How I met your pointer» events.ccc.de/congress/2012/Fahrplan/attachments/2256_HowIMetYourPointer.pdf
Хотя области применения и разные (веб-приложения против обычных сетевых приложений), но иногда они могут и пересекаться.
Хотя области применения и разные (веб-приложения против обычных сетевых приложений), но иногда они могут и пересекаться.
+2
Что-то не понял связи. Там RE и анализ точек входа через сетевого клиента + фаззинг. Задача поиска эксплойтбл багов. То есть это DAST.
А ребята из ПТ говорят про комплексную автоматизацию через сорцы, где «выход» c SAST идет на валидацию через методы DAST.
А ребята из ПТ говорят про комплексную автоматизацию через сорцы, где «выход» c SAST идет на валидацию через методы DAST.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Скрестить ужа с ежом. Найти все-все 0-day. Захватить Вселенную!11