Мы в Цифроматике проводим тестирование как в реальных условиях на серверах заказчиков, так и на собственных серверах. Стоит учитывать, что разные контуры зачастую взаимосвязаны и могут иметь специфические уязвимости. Для того чтобы выявить каждую имеющуюся уязвимость, важно проводить анализ во всех имеющихся контурах систем.
Основным отличием тестирования в реальных условиях является то, что есть риски нарушения работы систем. Действовать при этом необходимо крайне осторожно и только в заранее согласованное заказчиком время.
Короче, у меня однажды была история, от которой мне до сих пор стыдно.
Это был год, наверное, 2011. Я тогда только осваивал PHP с SQL и тренировался писать иньекции. В качестве цели нашел первый попавшийся сайт, где какой-то ребёнок с отцом выкладывали информацию о динозаврах всяких в виде картинок и описаний. У них там была формочка простая самописная, через которую можно было комментарии оставлять. И там люди делились мнениями, что-то обсуждали.
Зашёл я значит на этот сайт, и совершенно не ожидая, что у меня что-то получится, ввёл в форме что-то вроде: '; DELETE FROM Posts WHERE id != ' чисто наугад, страничка обновилась и всё пропало. Только спустя пару минут до меня дошло, что почему-то эта хрень сработала. И только через пару часов меня настигла мысль, которая не отпускает до сих пор, что я просто рандомно поднасрал каким-то добрым и невинным людям...
Судя по тому, что сайт потом не ожил, бэкапов не было...
До сих пор с этим живу :\
вполне возможно, что вы испортили жизнь одного ребенка, как вы живете с этим?)
извините можно я у вас тут баги поищу)
Конечно, только вот тут, пожалуйста, сначала распишитесь 😉
Взломаю ка я ваш сайт, с вашего позволение, мистр
Однако в коммерческом тестировании в России используется только два метода — Gray Box и White Box.
Если вы это не делаете, это не значит что в России этого никто не делает.
В целом статья писалась явно маркетологами, если это писали ваши спецы по ИБ - то не стоит у вас покупать "тестирование защищенности".
Это очень печально, когда айтишники делают пентесты, после них как правило заказчики идут в компании, которые специализируются на этом.
Тут ребята даже на уровне терминологии ошибаются весьма прилично.
Потом этичный пативен приезжает?