باگ بانتی یا تست نفوذ؟
این بلاگپست شامل تجمیع و برداشتی هدفمند از محتوای گپوگفتهایی با متخصصین تست نفوذ ست که قبلا در بلاگ راورو منتشر کردهایم. در گپوگفتهای قبلی پرسشهای مشترک و مشابهی را از افراد متفاوت پرسیده بودیم و هر یک از افراد از دیدگاه خود، پاسخهایی منحصربهفرد و متفاوت به این سوالها دادهاند. اینطور فکر میکنیم که جمعبندی و درکنارهم قراردادن پاسخهایی به هریک از این پرسشها داده شده، در یک متن جدید میتواند ارزشمند و دارای پیامی جدید باشد.پاسخهایی که شامل نکاتی هستند که هم میتوانند به کار متخصصین تست نفوذ بیایند و هم به کار شکارچیان آسیب پذیری.
آنچه در این بلاگپست خواهید خواند:
انتخاب میان باگ بانتی و تست نفوذ
معیار انتخاب بین باگ بانتی یا تست نفوذ
وسعت یا عمق
رقابت یا امنیت
سرعت یا آهستگی در عمل
ثبات یا بیثباتی
خویشفرما یا کارفرما
ارتباط با کسبوکار
تناسب بین تلاش و خروجی
درآمد باگ بانتی و درآمد تست نفوذ
حق انتخاب
نگاه فنی
کشف آسیب پذیری
در این بلاگپست گفتههایی از 13 متخصص تست نفوذ و شکارچی آسیب پذیری را خواهید خواند که تجربیات خود درخصوص تست نفوذ و باگ بانتی را به اشتراک گذاشتهاند و از نگاه خود راجع به باگ بانتی و تست نفوذ گفتهاند.
گفتههایی از:
محمدحسین آشفتهیزدی، رامین اسدیان، نیما غلامی، آیلین همایونی، محمدصالح مهری، محمد دلاور، مهدی غلامی، زهرا، پیمان زینتی، محمدجواد بناروئی، مجید موسوی، بهراد رضایی و آرمان محمدتاش
داخل پرانتز: ترتیب ارائهی پاسخهای افراد در متن، مطابق با ترتیب گپوگفتهای منتشرشده با آنها در بلاگ راوروست.
انتخاب میان باگ بانتی و تست نفوذ
ما از متخصصین تست نفوذ و شکارچیان آسیب پذیری پرسیدیم:
در حال حاضر بیشتر به تست نفوذ میپردازی یا باگ بانتی؟
محمدحسین آشفتهیزدی:
من در حوزهی تست نفوذ و امنیت برنامههای تحت وب و موبایل کار میکنم. در کنارش مقداری از وقتم را به صورت پارهوقت به باگ بانتی اختصاص میدهم.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ محمدحسین آشفتهیزدی
رامین اسدیان:
تقریبا میشود گفت که 90% از فعالیت من، مربوط به تست نفوذ است.
پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با رامین اسدیان
نیما غلامی:
در حوزهی تست نفوذ کار نمیکنم. فقط در باگ بانتی فعالیت میکنم.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ نیما غلامی
آیلین همایونی:
از نگاه من، هم تست نفوذ و هم باگ بانتی، خوب و لازم هستند. علاقه دارم به هردوی آن ها بپردازم، نه فقط به یکیشان.
پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با آیلین همایونی
محمدصالح مهری:
من ابتدا در حوزهی تست نفوذ مشغول بودم. الان هم فقط در مواقعی که وقت خالی دارم برای تفریح به شکار آسیب پذیری میپردازم.
پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با محمدصالح مهری
محمد دلاور:
ترجیح من باگ بانتی است.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ محمد دلاور
مهدی غلامی:
هردویشان خوب هستند و خوبیها و بدیهای خودشان را دارند.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ مهدی غلامی
زهرا:
من خیلی به باگ بانتی نپرداختهام و باگپارتی اولین تجربهی من در باگ بانتی محسوب میشد. بیشتر تجربههای دیگران را شنیدهام. یکی دو نفر از همتیمیهایمان تجربهی بیشتری در باگ بانتی داشتند و به آن پرداخته بودند. من خیلی از آنها یاد گرفتم.
پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با زهرا
پیمان زینتی:
من در حال حاضر، سعی میکنم هم تست نفوذ و هم باگ بانتی را داشته باشم. من بهطور پروژهای تست نفوذ قبول کنم و بهطور پارهوقت به باگ بانتی هم بپردازم. حفظ تنوعی از هردو، باعث میشود که از هیچ کدام اصطلاحا "زده" نشوم.
پیشنهاد خواندنی: تجربیات و نکات تست نفوذ و امنیت سایبری؛ با پیمان زینتی
معیار انتخاب بین باگ بانتی یا تست نفوذ
از متخصصین تست نفوذ و شکارچیان آسیب پذیری پرسیدیم:
چرا؟ دلیل انتخاب شما میان باگ بانتی یا تست نفوذ چیست؟ چه معیارهایی در انتخاب بین باگ بانتی یا تست نفوذ، به نظرتان میآیند؟ در نگاه شما باگ بانتی و تست نفوذ چه تفاوتهایی دارند؟
در ادامه، پاسخ چند متخصص تست نفوذ و شکارچی آسیب پذیری را میخوانید که هر یک به انتخاب خود، به ابعاد متفاوتی از باگ بانتی و تست نفوذ اشاره کردهاند. پس از جمعآوری پاسخهای جداگانهی افراد، ما به دنبال نقاط مشترک و متفاوت گشتیم و به دستهبندی موارد اشارهشده پرداختیم.
وسعت یا عمق
محمدجواد بناروئی:
یک چالش درفرآیند تستنفوذپذیری این است که تستی که از سمت من انجام میشود باید کامل باشد. لازم است من از نظر ذهنی این آمادگی را داشته باشم که هیچ آسیب پذیریای را جا نیندازم و به صورت کامل تستم را انجام دهم.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیب پذیری؛ محمدجواد بناروئی
رامین اسدیان:
من دوست دارم کاری را از صفر تا صد انجام دهم. به همین دلیل انجام تست نفوذ را بیشتر دوست دارم. من حتی اگر بخواهم در اهداف برنامههای باگ بانتی هم کار کنم، تقریبا با همان روال و استایل جلو میروم. تقریبا یک اشل کامل از تست نفوذ را چک میکنم. شاید فقط اولویتها فرق کند، مثلا؛ شاید در باگ بانتی اول از آسیب پذیری های authentication شروع کنم بعد به سراغ موارد دیگر بروم.
محمدصالح مهری:
به نظر من دانش یک متخصص تست نفوذ در فرآیند تست نفوذ، باید بسیار وسیعتر و گستردهتر از یک شکارچی آسیب پذیری در فرآیند باگ بانتی باشد. چرا؟ چون زمانی که بهعنوان یک متخصص تست نفوذ فعالیت میکنی، صفر تا صد تست نفوذپذیری یک سامانه را به تو سپردهاند. در چنین موقعیتی تو قرار است که همه چیزش را بررسی کنی و زیروبمش را بیرون بکشی. ما بسیار شاهد این هستیم که کسانی که بهعنوان شکارچی آسیب پذیری فعالیت میکنند، روی یک یا چند آسیب پذیری محدود تمرکز مینمایند، گاهی سعی میکنند در آن عمیق شوند و این گونه متدولوژی خود را شکل میدهند. اما کسی که بهعنوان متخصص تست نفوذ فعالیت میکند، دانش وسیعتری دارد، ولو اینکه ممکن است عمقش کمتر باشد. البته به نظر من هردوی اینها برای هر متخصص امنیت سایبری لازم اند؛ یعنی دانش یک فرد هم عمق داشته باشد و هم وسعت.
مجید موسوی:
به نظر من باگ بانتی را میتوان بهنوعی بخشی از تست نفوذ در نظر گرفت، اما تفاوتهایی هم دارند. باگ بانتی را میتوان مکمل تست نفوذ دانست. معمولاً سازمانها ابتدا تست نفوذ را انجام میدهند و سپس با برنامههای باگ بانتی، امنیت سیستم خود را به چالش میکشند.
به نظر من، تست نفوذ بسیار گستردهتر از باگ بانتی است و نیاز به صبر، حوصله و تخصص بیشتری دارد. علاوه بر این، تجربه نقش مهمی را در آن ایفا میکند. دانش فنی هم بسیار تأثیرگذار است؛ اینکه چهقدر دید داشته باشی و بتوانی تست نفوذ را بهدرستی انجام بدهی.
پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با مجید موسوی
مهدی غلامی:
تست نفوذ فرآیند کلیتر و جامعتری دارد و از این جهت، حرفهایتر به نظر میآید. درحالیکه در باگ بانتی، شاید یک شکارچی فقط به کشف آسیب پذیری XSS بپردازد، انواع و اقسام پیلودها را امتحان کند و در ردهبندی شکارچیان آسیب پذیری برنامههای باگ بانتی هم قرار بگیرد.
پیمان زینتی:
من باگ بانتی را دوست دارم و انجامش میدهم. در کنار آن، تجربهی تست نفوذ و کار در یک شرکت را مفید میدانم. برای یک شکارچی آسیب پذیری، میتواند کمککننده باشد که مدتی (مثلا یک سال) را در یک شرکت کار کند و از آن زاویه با روند تست نفوذ آشنا شود. در باگ بانتی ممکن است یک شکارچی آسیب پذیری، فقط چند مورد X و Y را بلد باشد و فقط به چککردن همان موارد بپردازد. ولی در تست نفوذ تو موظف هستی که بیشتر از آن پیش بروی. این تجربه به دانش آن فرد و مسیرش در باگ بانتی هم کمک میکند.
من، خودم، در پرداختن به باگ بانتی، ممکن است تمرکزم را برروی موارد خاصی بگذارم و برخی موارد را چک نکنم. پرداختن به پروژههای تست نفوذ کمکم میکنند که موارد دیگر را کلا کنار نگذارم، همچنان بهشان توجه کنم و روال کار همچنان دستم باشد.
رقابت یا امنیت
محمدحسین آشفتهیزدی:
به دلیل درآمد ثابت در تست نفوذ، فکر میکنم در تست نفوذ انگیزهی خیلی کمتری هم جریان دارد. من خودم گاهی از تست نفوذ لذت نمیبرم و کارکردن برایم سخت میشود.
محمدجواد بناروئی:
یک چالش در باگ بانتی این است که شکارچی آسیب پذیری باید همواره بهروز باشد؛ مقالههای جدید را بخواند و آسیب پذیریها را عمیقتر و دقیقتر بشناسد تا در لولهای بالاتر هم بتواند حرفی برای گفتن داشته باشد.
بهراد رضایی:
باگ بانتی یک مدل رقابتی دارد. ممکن است گزارش آسیب پذیری شما با موفقیت پیش برود و به بانتی برسید. ممکن هم هست که نرسید. یکی از بدیهای باگ بانتی هم داپلیکیت (تکراری) خوردن گزارش هاست. ممکن است یک فرد دیگر قبل از شما، آن آسیب پذیری را پیدا و ثبت کرده و بانتیاش را هم گرفته باشد. همچنین گزارشی که در باگ بانتی ثبت میکنی، ممکن است رد صلاحیت شود. یا ممکن است آسیب پذیری ای که کشف کردهای، داخل لیست آسیب پذیری های غیرقابل قبول از سمت میدان باشد. فکر میکنم اوایل شروع باگ بانتی، این موارد بیشتر باشند. ولی با گذشت زمان و افزایش تجربه، اوضاع بهتر شود.
پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با بهراد رضایی
آیلین همایونی:
رقابت در باگ بانتی ممکن است گاهی استرس را افزایش دهد و فرد قفل شود. ولی خب درعوضش هیجانش کمی بیشتر است.
سرعت یا آهستگی در عمل
بهراد رضایی:
در باگ بانتی تجربه و سرعت عمل خیلی مهم است. آمادگی فرد و مواردی که از قبل آماده کرده است، هم بسیار اثرگذارند. برخی از شکارچیان آسیب پذیری ابزارهایی برای خود نوشتهاند، که بسیار کمکشان میکند. برای راحتی کار، از قبل آسیب پذیری ها را لیست کردهاند. به خوبی میدانند که این وبسایت براساس فانکشنهایی که دارد، احتمال بالایی میرود که فلان آسیب پذیری را داشته باشد. بر همین اساس دیگر به سراغ آسیب پذیری های دیگیر که قطعی نیستند، نمی روند و همان آسیب پذیری را چک میکنند. در باگ بانتی در مواقعی شانس هم مطرح است. در تست نفوذ، هم مهارت بیتاثیر نیست. ولی رقابتی در آن وجود ندارد.
زهرا:
مثلا آن سرعتی که دوستان من در باگ پیدا کردن و کشف آسیب پذیری در باگ بانتی داشتند، را من نداشتم. این برایم یک چالش بود که چه طور میتوانم بعضی موارد را در اولویت قرار دهم و یا سریعتر به برخی موارد بپردازم.
ثبات یا بیثباتی
آرمان محمدتاش:
الان کسانی هستند که فقط به باگ بانتی میپردازند. شدنی هست، ولی ریسک است. مثلا اگر من این موقعیت را برای خودم ایجاد کنم، همهی پنتست شرکتها را کنار بگذارم و بگویم که کلا میخواهم باگ بانتی کار کنم، ریسک است. اگر بعد از 2 ماه باگی نزنم، فشار عصبی بهم وارد میشود!
همه وقتی از دور کار ما را نگاه میکنند، میگویند: " خوش به حال شما! در اتاقت پشت میزت مینشینی و با لپتاب کار میکنی! " اما فشار عصبیای که بهعنوان یک فریلنس به تو وارد میشود را نمیبینند. اگر راه سایر درآمدهایت را بسته باشی و کلا برای باگ بانتی وقت و انرژی صرف کنی، وقتی یکی دو تا گزارشت، داپلیکیت بخورد، واقعا نابود میشوی!
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ آرمان محمدتاش
مهدی غلامی:
باگ بانتی خوب است. خیلی بالا و پایین دارد. هرچقدر هم که یک شکارچی آسیب پذیری حرفهای باشد، در موقعیتهایی ممکن است که تا دو هفته هیچ آسیب پذیری ای پیدا نشود (بستگی به اهداف هم دارد). درکل، این واقعیت جزوی جدانشدنی از فعالیت در باگ بانتی است و باید قبولش کنیم.
خویشفرما یا کارفرما
محمدجواد بناروئی:
یک پوینت مثبت باگ بانتی این است که از جنس کار شناور است؛ شما هر تایمی در طول روز را که بخواهی، به آن اختصاص میدهی؛ اول صبح، آخر شب یا ... .
نیما غلامی:
دلیل اصلی انتخاب باگ بانتی برای من این است که دوست ندارم کارفرمای مستقیم داشته باشم. مزیت باگ بانتی این است که شما به کسی تعهدی نداری؛ هر وقت بخواهی میتوانی کار کنی، هر وقت نخواهی هم کار نمیکنی.
جنبه ی دورکاری و فریلنس باگ بانتی هم یک ویژگی خوب دیگر آن است. مخصوصا برای من که دانش آموزم، خیلی مناسب بوده است. در خانه یا سفر، راحت پول در میآورم. هرجایی که باشم، فقط یک لپ تاپ لازم دارم.
مهدی غلامی:
وقتی در تست نفوذ فعالیت میکنی، باید هر روز صبح بلند شوی و بهطور مرتب یک کار را انجام دهی. اما در باگ بانتی، زمان در اختیار خودت است و میتوانی هروقت خواستی به کار بپردازی. این یک مزیت باگ بانتی محسوب میشود.
ارتباط با کسبوکار
بهراد رضایی:
پروژههای تست نفوذ، بحث قرارداد و ...، دردسرهای خودش را هم دارد. یکی از دردسرهای قرارداد تست نفوذ از این قرار است: در بعضی از قراردادها این طور نوشته شده که پس از تحویل گزارش تست نفوذ و پس از رفع موارد اشارهشده در آن گزارش، چنانچه سامانه هک شود، آن شرکت میتواند مبلغی که به شما پرداخت کرده است را پس بگیرد. به این دلیل که شما سامانه را تست کرده و آسیب پذیری را پیدا نکرده بودید و پس از آن سامانه هک شده است! برداشتشان این است که شما کارتست نفوذ را به خوبی انجام ندادهاید. درواقع چون مسئولیت تست نفوذ را به عهده گرفتهاید، شما را مسئول هر گونه هک احتمالی پس از آن میدانند.
محمد دلاور:
تست نفوذ چالشهایی دارد؛ باید مستقیما فرآیندهایی را با کسبوکار پیش ببری، مدام با کسبوکار صحبت کنی و سروکله بزنی تا در نهایت مبلغ توافقشده را دریافت کنی.
تناسب بین تلاش و خروجی
آرمان محمدتاش:
زمانیکه یک نفر در باگ بانتی، برای میدانی وقت می گذارد که قبلا تست شده است، مجبور است انرژی زیادی بگذارد. من بهشخصه سعی میکنم انرژیام را جایی صرف کنم که برایم بیشتر سود داشته باشد. بههمین خاطر اولویتم تست نفوذ و باگ بانتی خارجی است.
رامین اسدیان:
به عنوان یک متخصص امنیت، در باگ بانتی هنگامی که شما یک یا چند آسیب پذیری را پیدا میکنید، شاید آن آسیب پذیری ها low یا medium باشند و به درد باگ بانتی نخورند. اما در پن تست، اوضاع متفاوت است. به همین دلیل است که من با باگ بانتی احساس راحتی ندارم. دوست دارم کاری که انجام میدهم، میزان هزینه، زمان و درآمدش از قبل برایم مشخص باشد. همین مورد باعث میشود که بیشتر مایل به تست نفوذ باشم تا باگ بانتی
بهراد رضایی:
یک مزیت باگ بانتی نسبت به تست نفوذ این است که شما صرفا یک آسیب پذیری را کشف و گزارش میکنید و بابتش هم بانتی می گیرید. مسئولیتی در قبال سایر آسیب پذیری های آن وبسایت ندارید.
در تست نفوذ به شما بهعنوان متخصص تست نفوذ نمیگویند:" ما به یک نفر دیگر هم پروژهی تست نفوذ را سپرده بودیم. او تست کرده و این آسیب پذیری ها را به ما گزارش کرده است. پس ما به شما پولی نمیدهیم." در تست نفوذ کافی ست که شما وبسایت را تست کنید و گزارش تست نفوذ را تحویل دهید. کسبوکار هم مبلغ توافقشده را پرداخت میکند. اگر هم آسیب پذیری کریتیکال یا High نداشته باشد، خوشحال هم میشود. درواقع دریافت پول، برای شما قطعی ست.
محمدصالح مهری:
در تست نفوذ شما فقط به کسبوکار میگویی که این آسیب پذیری وجود دارد یا ندارد. و در ازایش مبلغ قرارداد را دریافت میکنی.
درآمد باگ بانتی و درآمد تست نفوذ
محمدحسین آشفتهیزدی:
در تست نفوذ فرقی نمی کند که چند آسیب پذیری پیدا کنی، بههرحال حقوق ثابتی دریافت میکنی.
آرمان محمدتاش:
یک مزیت تست نفوذ این است که پولش نقد است؛ یعنی زمانی که کار میکنی، نمیدانی چه آسیبپذیریهایی ممکن است وجود داشته باشند و وبسایت از نظر امنیتی چقدر آسیب پذیر است. ولی میدانی که صدرصد آسیب پذیر است. میدانی پولش نقد است و سر ماه پولت وارد حسابت میشود. ولی وقتی در باگ بانتی فعالیت میکنی، ممکن است ۲ ماه باگ نزنی، گزارشهایت داپلیکیت بخورند و ... .
محمدجواد بناروئی:
یک نکتهی مثبت باگ بانتی این است که درآمد آن نسبت به تست نفوذ، خیلی خیلی خیلی بهتر است. ممکن است در 5 دقیقه فعالیت، حقوق چندماه تستنفوذ را به دست بیاوری. به همین دلیل باگ بانتی از جنبهی مالی و اقتصادی بیشتر موردپسند من است.
رامین اسدیان:
ممکن است در مواردی باگ بانتی سود بیشتری داشته باشد. من هم به صورت موردی باگ بانتی کار میکنم، خصوصا در یک سری موارد خاص. ولی در حالت کلی برایم این طور نیست که در برنامهی باگ بانتی، به سراغ وبسایتهایی بروم که هزار نفر دیگر هم آن ها را چک کردهاند. به این شرایط علاقهی خاصی ندارم.
نیما غلامی:
به نظرم درآمد باگ بانتی هم بهتر است.
مهم ترین چالشی که برای باگ بانتی ذکر میکنند، این است که شما مثلا برای اجاره خانه نمیتوانید به باگ بانتی تکیه کنید. چون در کنار مهارتی که دارید، بحث شانس هم وجود دارد. ممکن است در موقعیتی یک سرویس یا سامانهی جدید بالا بیاید، خب درصد شانستان بالا میرود و احتمال کشف آسیب پذیری بیشتر است. در موقعیت دیگری هم ممکن است سرویس جدیدی در کار نباشد، سامانهای باشد که چند بار هم تست نفوذ شده است، خب درصد شانستان پایین میآید. شما اگر قرار باشد به صورت ماهیانه مبلغ ثابتی را به جایی پرداخت کنید، انتخاب باگ بانتی ریسک است. به همین خاطر است که خیلی از افراد در کنار باگ بانتی، در جایی مشغول به کار میشوند، یا پروژهی تست نفوذ قبول میکنند.
ولی من فکر میکنم اگر یک سری قوانین و اصول رعایت شود، از باگ بانتی هم میشود به درآمد ثابت رسید. خیلی از افراد باگ بانتی را به عنوان یک شغل حساب نمیکنند. میگویند :"درامد ثابت ندارد". اما من کسانی را میشناسم که ماهانه 300، 400 میلیون تومان از باگ بانتی درآمد دارند، حتی فقط از باگ بانتی ایرانی. باگ بانتی شغل خیلی خوبی است. من فکر میکنم کسب درآمد ثابت و بالا از باگ بانتی به مهارت برمیگردد. اگر بلد باشید، میتوانید درآمد ثابت داشته باشید و لذت ببرید.
حق انتخاب
محمدجواد بناروئی:
بین باگ بانتی و تست نفوذ، در باگ بانتی من سامانه و میدان را از جهت بزرگی بررسی میکنم تا ببینم جای عمیقشدن وجود دارد یا نه. در تست نفوذ هم معمولا هنگام پیشنهاد پروژه، باتوجه به استانداردی که وجود دارد و سطح تواناییای که برای خودم میبینم، قبولش میکنم.
نگاه فنی
محمدصالح مهری:
تست نفوذ تا مرحلهی اکسپلویت نمیرود. ولی در باگ بانتی، اگر واقعا یک سامانه را هک نکنی و Integrity یا Confidentiality را زیر سوال نبری، به بانتی نمیرسی. این مدل عملکرد تو بهعنوان یک شکارچی آسیب پذیری، قدرت تو را نشان میدهد. تو حداقل دو قدم جلوتر از یک متخصص تست نفوذ قرار داری. همین موضوع، فرآیند باگ بانتی را هیجانانگیزتر میکند.
زهرا:
به نظرم میرسد که parameter discovery (کشف پارامترهای مخفی) که از جاوااسکریپت در میآوریم، در باگ بانتی خیلی خیلی مهمتر است. چون در تست نفوذ، مواردی هست که جلوی چشم فرد قرار دارند و آنها را میبیند، مخصوصا در تست نفوذ Black Box. ولی در باگ بانتی، باید جاهایی را بگردی که جلوی چشم هیچ کس نیست. مثلا؛ باید هیدن پارامترها یا پارامترهای جاوااسکریپت را inject (تزریق) کنی و کارهای اینچنینی.
نکتهی دیگری که نباید فراموش کرد این است که اصطلاحا "در همه جای اینترنت اطلاعات ریخته است" میشود با جمعآوری اطلاعات، یک ریکان قوی داشته باشی. به نظرم در باگ بانتی، ریکان مهمترین بخش است. پارامتر پیدا کردن و این موارد هم جزوی از مرحلهی ریکان محسوب میشوند.
کشف آسیب پذیری
آیلین همایونی:
بیشتر از هر چیز دیگری، این پیداکردن آسیب پذیری است که به من حس خوبی میدهد. هم در تست نفوذ این حس را تجربه کردهام و هم در باگ بانتی.
سخن آخر:
در این بلاگ پست دیدگاه 13 متخصص تست نفوذ و شکارچی آسیب پذیری را در مورد انتخاب بین تست نفوذ یا باگ بانتی، براساس تجربیاتشان شنیدیم.
انتخاب شما چیست؟ باگ بانتی یا تست نفوذ؟ و چرا؟
بلاگپستهای مرتبط: