Diseñamos una aplicación web que tiene una funcionalidad similar a la gestión de vulnerabilidades, la funcionalidad de nuestra aplicación web se puede resumir de la siguiente manera:
- Hay un panel donde se puede iniciar un programa para enumerar vulnerabilidades
- Bob lanza su programa a través de nuestra aplicación web
- Alice informa sobre la vulnerabilidad con un archivo malicioso
- Bob recibe un informe con un archivo malicioso y recibe una advertencia que indica que la descarga podría tener consecuencias relativas
- Bob descarga el archivo malicioso y es víctima de Alice
Ahora, según la funcionalidad / usabilidad, mi desarrollador argumenta que.
-
Podemos permitir la carga de archivos maliciosos a la aplicación como su función principal (Alice cargará el archivo vulnerable como prueba de concepto)
-
Estábamos mostrando un mensaje de advertencia, es suficiente para evitar que los usuarios descarguen archivos maliciosos, ya que todos los usuarios serían expertos en tecnología
Ahora mi argumento era el siguiente:
- El atacante puede utilizar esta plataforma para diseñar el equipo de respuesta del ingeniero social (aquí Bob se infectaría)
- Como proveedor responsable, los clientes confiarán en nosotros y descargarán el archivo
- También hice referencia a carga de archivos sin restricciones
Entonces, considerando la situación anterior, cuál sería la mejor opción para evitar que mis clientes sean víctimas de los atacantes.