Привет, Хабр! В этой статье я хочу поделиться опытом проведения внешнего black-box пентеста и разобрать методологию, которая позволяет находить критические уязвимости даже при минимальном входном скоупе. Статья будет разбита на две части, про внешний расскажу я, а про внутренний расскажет мой коллега.
Black-box подразумевает, что у пентестера нет никакой внутренней информации: ни списков IP, ни учётных данных, ни описания архитектуры. Только доменное имя - и вперёд. Звучит как ограничение, но на практике это зачастую преимущество: вы смотрите на инфраструктуру глазами реального злоумышленника.
Целью данного пентеста является проверка возможности компрометации внутренней инфраструктуры через веб-приложения.
Читать далееИсточник: Хабрахабр
Источник: gg1ZmO
Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке