Под хабом информационной безопасности и реверс инжиринга мы видим статью аля 4pda, как здорово пользоваться фирменными утилитами от телефонов для выгрузки бэкапа (криминаллистический анализ разблокированного телефона, с включенным режимом разработчика).
А почему ты думаешь, что 2 маленьких пирата согласятся на 1 монетку?
Я бы предположил 2 варианта:
1)предложить разделить условно поровну деньги между 3 пиратами(34+33+33), в расчете, что 2 следующих пирата решат, что это наиболее выгодно, или же
2)Дать 2 малым пиратам по 21 монетке, мол это уже выше чем равная доля на пятерых, забрать себе остальное- 58.
3)а ещё есть улучшенный второй вариант- дать малому пирату 1 монетку, попутно объяснив, что если они дойдут до дележки между двумя, то он даже 1 не получит:) Итого большой пират получит аж 77 монеток.
«Пускай PCI DSS и другие методологии рекомендуют отключать некоторые проактивные СЗИ для большей проработки тестирования»
Вы слегка путаетe пентест и редтим. Пентестер должен выдать заказчику по возможности все точки входа, но он не имитирует злоумышленника, а банально указывает на дырки(ну и показывает по возможности эксплуатацию этих дырок). А средства защиты тупо замедляют процесс этого тестирования. Если дать тестеру пару месяцев, он все равно найдет те же дырки что и без СЗИ. То же самое и с документацией: не нужно ему с нуля ломать сеть, нужно найти уязвимости и продемонстрировать их опасность, документация поможет вложиться в сроки.
Я бы предположил 2 варианта:
1)предложить разделить условно поровну деньги между 3 пиратами(34+33+33), в расчете, что 2 следующих пирата решат, что это наиболее выгодно, или же
2)Дать 2 малым пиратам по 21 монетке, мол это уже выше чем равная доля на пятерых, забрать себе остальное- 58.
3)а ещё есть улучшенный второй вариант- дать малому пирату 1 монетку, попутно объяснив, что если они дойдут до дележки между двумя, то он даже 1 не получит:) Итого большой пират получит аж 77 монеток.
Вы слегка путаетe пентест и редтим. Пентестер должен выдать заказчику по возможности все точки входа, но он не имитирует злоумышленника, а банально указывает на дырки(ну и показывает по возможности эксплуатацию этих дырок). А средства защиты тупо замедляют процесс этого тестирования. Если дать тестеру пару месяцев, он все равно найдет те же дырки что и без СЗИ. То же самое и с документацией: не нужно ему с нуля ломать сеть, нужно найти уязвимости и продемонстрировать их опасность, документация поможет вложиться в сроки.