Búsqueda de lagunas de seguridad e informes (aplicaciones web específicamente)

1

Las personas que obtienen un lugar en el salón de la fama o son reconocidas específicamente por ataques como XSS, rce y algún tipo común de ataques que pueden ser detectados por herramientas de escaneo como owasp, Nessus, vega, etc. estas vulnerabilidades solamente? ¿O encuentran algo aparte de lo que los escáneres no pueden decir?

Soy nuevo en la búsqueda de vulnerabilidades y necesito orientación, una persona entusiasta y apasionada dedicada a la seguridad de la información pero sin dirección

    
pregunta Bruteforce 23.01.2018 - 10:44
fuente

1 respuesta

4

Los escáneres son útiles para un análisis rápido y básico de seguridad de un sistema para proporcionar indicadores de vulnerabilidades, sus informes nunca deben ser confiables sin validación y, a menudo, informan sobre falsos positivos.

Parece que su pregunta está orientada hacia programas de búsqueda de errores / esquemas de recompensa de errores y si simplemente envía informes de escáner a estos programas, es poco probable que se le reconozca. De hecho, muchos esquemas prohíben la presentación de informes generados automáticamente si incluso permiten el uso de una herramienta de este tipo, ¡recuerde que ellos mismos podrían hacerlo fácilmente!

Las personas que tienen éxito en estos programas, las que reciben recompensas o se ingresan en los salones de la fama usan otras herramientas y técnicas para descubrir vulnerabilidades que no serán expuestas por un escáner de espectro ancho estándar.

    
respondido por el iainpb 23.01.2018 - 10:54
fuente

Lea otras preguntas en las etiquetas