А хорошо было бы, если бы на Хабре появился отдельный проект (или раздел) «для новичков и начинающих». Чтобы молодые таланты могли тоже постить не сложные, но полезные и хорошие технические статьи при этом не ловя из минусомета за простоту.
Увы, но на нашей кодовой базе реального проекта (PHP) все вышеперечисленные сканеры показали нулевой результат по критическим уязвимостям. Условия испытаний были простые. Реальная кодовая база. Общее количество известных недостатков около 60 штук (каждый из недостатков был найден и валидирован ранее ручным ревью кода перед релизами). Из них 4 критических (3 SQL injection, 1 SSRF) Зато мы наслушались перлов некоторых вендоров, лучшими из них были: «покажите уязвимость, а мы покажем как ее искать», «у вас программисты пишут без использования лучших практик и наш SAST нужно тюнинговать именно под вас».
Вы ещё забыли рассказать про то, как при комплексном аудите иногда пентестеры в итоге дают вам скрины того что нужно, вместо сопротивляющихся работников заказчика.
А что удивляться то? Если 98% процентов банков имеют критические уязвимости… Загляните под капот любой банковской инфраструктуры и вы встретите дыры в стиле MS08-067, которые не патчатся десятилетиями.
А хорошо было бы, если бы на Хабре появился отдельный проект (или раздел) «для новичков и начинающих». Чтобы молодые таланты могли тоже постить не сложные, но полезные и хорошие технические статьи при этом не ловя из минусомета за простоту.
Увы, но на нашей кодовой базе реального проекта (PHP) все вышеперечисленные сканеры показали нулевой результат по критическим уязвимостям. Условия испытаний были простые. Реальная кодовая база. Общее количество известных недостатков около 60 штук (каждый из недостатков был найден и валидирован ранее ручным ревью кода перед релизами). Из них 4 критических (3 SQL injection, 1 SSRF) Зато мы наслушались перлов некоторых вендоров, лучшими из них были: «покажите уязвимость, а мы покажем как ее искать», «у вас программисты пишут без использования лучших практик и наш SAST нужно тюнинговать именно под вас».
Вы ещё забыли рассказать про то, как при комплексном аудите иногда пентестеры в итоге дают вам скрины того что нужно, вместо сопротивляющихся работников заказчика.