Пентест

Discussion in 'Болталка' started by Octavian, 15 Nov 2017.

  1. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    501
    Likes Received:
    95
    Reputations:
    24
    При провождение пентеста будет коректно включять "невыставление HttpOnly" или например "Нет запрета на загрузге в Iframe страницы" в раздел средних уязвимостеи или это не уязвимость и надо их включять в рекомендацыии? Какие дефольтные настроики вы знаете кроме тех 2 которые в большинстве случаях должны быть выставлены в том же .htaccess. Как деиствовать если при пентесте было наидено очень мало проблем?
    PS. Тодже листинг директориях, уязвимость же? Они скажут так было задумано, и как деиствовать с трудными клиентами? У кого какие казусы были?
     
    #1 Octavian, 15 Nov 2017
    Last edited: 15 Nov 2017
  2. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,531
    Likes Received:
    1,250
    Reputations:
    274
    Универсального способа для общения с клиентами - нет.Листинг директорий не уязвимость,а скорее информация которая в совокупности с другой Багой может дать возможность для определённых действий.Для настроек в htacces,тоже все индивидуально,каждый случай надо рассматривать отдельно и конкретно,а так давать какие либо советы,это как пальцем в небо.
     
    #2 Gorev, 15 Nov 2017
  3. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,066
    Likes Received:
    1,565
    Reputations:
    40
    да, любые уязвимости репорть, лучше овасп открой
     
    #3 BabaDook, 15 Nov 2017
  4. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    501
    Likes Received:
    95
    Reputations:
    24
    Припровождение пентеста будет коректно включять "невыставление HttpOnly" или например "Нет запрета на загрузге в Iframe страницы" в раздел среднихуязвимостеи или это не уязвимость и надо их включять в рекомендацыии?
     
    #4 Octavian, 15 Nov 2017
  5. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    374
    Likes Received:
    343
    Reputations:
    99
    Если тебе нетспаркер/акунетикс выдали эти сообщения во время сканирования ресурса, то потрудись еще и почитать описание этих проблем, там все подробно написано, что оно делает и какая в этом угроза!
     
    #5 cat1vo, 16 Nov 2017
  6. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    501
    Likes Received:
    95
    Reputations:
    24
    Я где-то это спрашивал или у меня вопросы другие? потрудись и прочитаи вопросы внимательно, а подебывать не надо мол 'научился сканить прочитаи результаты'
     
    #6 Octavian, 16 Nov 2017
    Last edited: 16 Nov 2017
  7. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,066
    Likes Received:
    1,565
    Reputations:
    40
    Я тебе переведу то что он тебе написал.
    ТЫ заказчику продемонстрируй чем опасны найденные тобой сканеромузявимости. Лучше конечно найти что-то типа РЦЕ. Кстати, вот тебе спер хинт. Ставку делай на безопасность бизнеса, типа вот уязвимость, думайте она не серьёзная, а хакер может внедрить свой баннер на ваш сайт, и тогда ваши клиенты будут переводить ему деньги. А, вы потеряйте больше инвестиции итд. Мысль я озвучил дальше сам думай. П.С лучше всего ярбабину напиши в лс. Он в этом шарит

    ещё http://bdu.fstec.ru/cvss2
     
    #7 BabaDook, 16 Nov 2017
    cat1vo likes this.
  8. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    501
    Likes Received:
    95
    Reputations:
    24
    При провождение пентеста будет коректно включять "невыставление HttpOnly" или например "Нет запрета на загрузге в Iframe страницы" в раздел средних уязвимостеи или это не уязвимость и надо их включять в рекомендацыии?
    мне надо на это для себя ответить
     
    #8 Octavian, 16 Nov 2017
  9. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,066
    Likes Received:
    1,565
    Reputations:
    40
    Чё та я сразу не допёр. тестируй так как будет работать ресурс, ничего не меняю.
     
    #9 BabaDook, 16 Nov 2017
(You must log in or sign up to post here.)