Witam,
mam problem ze skanerami do web-aplikacji (burp, skipfish, w3af, etc.)
Co w sytuacji kiedy skanery wysyłają różne dane do formularzy? Co robicie z tymi danymi, które pozostają w systemie (jak je kontrolujecie)? I co robicie w sytuacji kiedy klient nie udostępnia instancji testowych aplikacji, jakie podejście do testów wtedy sugerujecie?
Produkcja nie jest od testów. Od testów jest serwer na testy, który można zaorać kiedy chcesz.
Mówisz że jesteś pentesterem i masz klienta który chce żeby mu przeprowadzać testy penetracyjne na produkcyjnej instacji? Wygląda mi to na jakaś ściemę. Niemniej możesz zasugerować, że w czasie testów serwer może się wywalić albo dane mogą zostać skasowane / wprowadzone i jeśli im to nie przeszadza to będzie to ich problem. Jakby kręcili nosem to możesz też zasugerować, że dowolny domorosły hacker może zrobić to samo jak sie odpowiednio nie zabezpieczą ;]
Ściema to raczej nie jest, bo oczywiście jesteś w stanie zweryfikować czy zleceniodawca ma pełne prawa do celu testów. Także wszystko jest formalnie załatwiane.
Rozumiem, że nie zdarzyło się nikomu robić pentestów black-boxowych na produkcyjnych aplikacjach? W przypadku bug-bounty też bardzo często zdarza się, że nie ma wydzielonych instancji testowych, ale fakt, że wtedy skanery są zabronione.
Zauważ ze wiele produkcyjnych aplikacji jednak ma jakieśtam timeoutowe zabezpieczenia, żeby nie zostać zaspamowanym przez skanery. Dla użytkownika timeout na kilka sekund jest bez różnicy, a dla skanera oznacza że zamiast 1000 requestów na sekundę masz 1 request na 5 sekund ;]