Está bien, así que aquí va. Soy el Líder del Equipo Rojo, y como se describió anteriormente; no muy lejos (como una semana), publiqué esto . En ese momento, estaba buscando un hermoso título técnico que pudiera coincidir con mis hallazgos. Lo mencioné como 'Política de contraseña débil'. Como la mayoría de los probadores de penetración fallaron, tuve que tomar la tarea y hacer todo el trabajo con éxito. Ahora, hay una pequeña situación (en la que el cliente ya había mencionado que la prueba tenía que ser una caja negra y no una caja blanca en específico {no nos dieron ninguna credencial}).
Ahora, después de parchear las vulnerabilidades identificadas, recibimos exactamente esta respuesta (¿no es por eso que usted firmó un NDA para esto en primer lugar si nunca había confiado en la compañía en la que inserta su pentest de caja negra? !?):
What was the intent ? backdoor?
It it ethical? Shouldn't we just let the party know that week password, instead of creating a secondary account(with fake name) and NOT informing US about it. NOT ACCEPTABLE!
How do we trust that no data was downloaded and mis-used?
How do we make sure there were not more accounts created with some malicious intention?
Lo que sucedió aquí fue que, para propósitos de prueba, como es más frecuente en un pentest de caja negra, el evaluador requiere probar adicionalmente todos los cheques, si se hubiera logrado una cuenta privilegiada. Hay una situación (mencionada anteriormente) que me sigue molestando, ¿qué diría aquí? Necesito opiniones y una gran visión para revelar si lo que hice fue incorrecto o si deberían haber sabido lo que era una evaluación de "caja negra" (¡para revelar impactos!)