Пентестинг как бизнес

Discussion in 'Болталка' started by blaga, 3 Jun 2015.

  1. Hassle

    Hassle New Member

    Joined:
    12 Jun 2015
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    читал про одного типа, который занимался ддосом и взломом прочих мелочей, включая мыло) в день при ддосе получал где-то 400$, были у него и предложения 4500$, но не рискнул, ибо не хотел на нары
     
  2. smirk

    smirk Elder - Старейшина

    Joined:
    8 Sep 2011
    Messages:
    137
    Likes Received:
    43
    Reputations:
    26
    при чем здесь пентестинг?
     
  3. Hassle

    Hassle New Member

    Joined:
    12 Jun 2015
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    заголовок же "Пентестинг как бизнес" вот и привел пример
     
  4. blaga

    blaga Elder - Старейшина

    Joined:
    23 Mar 2006
    Messages:
    884
    Likes Received:
    273
    Reputations:
    106
    это не пентестинг, это черная тема за которую можно присесть на пару лет.
    пентестинг это взлом например сайта по договору с владельцем сайта для того что бы выявить дыры в безопасности и закрыть потенциальные угрозы.
     
  5. Arturiy

    Arturiy New Member

    Joined:
    25 Sep 2015
    Messages:
    25
    Likes Received:
    1
    Reputations:
    1
    автор , продвигаться начал по данному направлению, новости какие в развитии?
     
  6. Triton_Mgn

    Triton_Mgn Elder - Старейшина

    Joined:
    6 Jul 2015
    Messages:
    3,657
    Likes Received:
    5,792
    Reputations:
    51
    http://audit.antichat.ru/, а если парень занимался всяким вломом каких то мелочей и вправду можно присесть. Гыыы
     
  7. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,311
    Reputations:
    327
    заебали, нет бы асфальт уложить нормально или рассчитать критические моменты к сваям зданий - они блин своей хернёй страдают)
     
  8. Dr.Strangelove

    Joined:
    1 Dec 2008
    Messages:
    111
    Likes Received:
    61
    Reputations:
    -6
    Вот у меня мысли такие по теме.. Что собственно пентест и аудит? 1. Типа просканировать ресурс парой тройкой сканеров, накатать отчет и забрать бабло. 2. Шерстить исходники какого-то веб-ресурса. Два вида услуг за адекватные деньги.

    Есть еще 3-й, это шерстить ВРУЧНУЮ на вебресурсе каждый скрипт, проверять каждый входящий параметр на тысячи значений.. Это эффективно, но это имхо адская тяжелная и долгая работа и за такое надо брать какие-то совершенно немыслимые деньги. Нужно ли это кому-то при таком раскладе?!

    Может те кто проводит пентесты поделятся собственно мыслями о том, что конкретно они делают когда проверяют сайт?
     
  9. Triton_Mgn

    Triton_Mgn Elder - Старейшина

    Joined:
    6 Jul 2015
    Messages:
    3,657
    Likes Received:
    5,792
    Reputations:
    51
    Если у человека есть знания, почему бы не воспользоваться и ни кто не скажет , зачем...
     
  10. Triton_Mgn

    Triton_Mgn Elder - Старейшина

    Joined:
    6 Jul 2015
    Messages:
    3,657
    Likes Received:
    5,792
    Reputations:
    51
    Сорри был груб и за неких индивудомов, рассыпая тестов и пентетестов в соседней теме .спрашивая ЧЕго такое aircrack
    Блядство на лицо
     
  11. cheebeez

    cheebeez Member

    Joined:
    28 Feb 2010
    Messages:
    34
    Likes Received:
    43
    Reputations:
    1
    Когда будут готовы паблик цмс под все мыслимые ниши, тогда будет не реально, а пока спрос точно есть, сам бы не отказался от такой услуги.
    Другой вопрос, самый главный, почему люди должны обращаться именно к тебе, откуда и что они о тебе знают?
    Если человек серьезно относится к безопасности, он так же серьезно будет выбирать пентестера.
     
  12. Dr.Strangelove

    Joined:
    1 Dec 2008
    Messages:
    111
    Likes Received:
    61
    Reputations:
    -6
    А тут я тебе скажу, что никогда точно не угадаешь. Может быть пентестер якобы и с огромным опытом и с кучей знаний и димпломов-сертификатов, отзывов и еще кучи прочего прочего... Но он не найдет в итоге ту дыру или даже цепочку дыр через которую тебя в последствии взломают. Вот в чем особенность пентеста. Если хорошо покопаться то практически везде можно найти либо дыру, либо новый вектор атаки. Только для такой работы нужен целый штат пентестеров и серьезные денежные вливания. Потому что это буквально поиск иголки не в стоге сена , а на всем поле. То есть, опять таки я говорю НЕ о том случае, когда вы просканили этими вашими акунетиксами среднестатический лохо-сайт и нашли там с десяток пассивок xss, а если фартонет то парочку sql, и может быть даже не слепых))) Но такое может любой школоло, не говоря уж про админа средней руки после вечера-двух чтения гуглов. Я говорю про серьезный БОЛЬШОЙ проджект, где акунетикс вам покажет большой и толстый.))) Понятное дело -дыры там конечно же будут и даже будут новые векторы атак. Но искать их будет уже нетривиальной задачей, даже на грани лоттереи. И в этом основная проблематика пентестов. 1. Серьезный ручной пентест, с серьезной аналитикой и диагностикой, а не дрочка акунетиксом ЭТО: 1. Очень Затратно( т.к. требует. огромного объема работ и высокой квалификации) 2. Никогда нельзя и невозможно в принципе быть уверенным в квалификации пентестера(ов), т.к. сегодня универсалов не существует из-за массы технологий (asp,php,ruby,python,java etc).
     
    Arturiy and makag like this.
  13. cheebeez

    cheebeez Member

    Joined:
    28 Feb 2010
    Messages:
    34
    Likes Received:
    43
    Reputations:
    1
    Это же очевидно, что нет такой конторы которая бы находила все баги у всех своих клиентов, без исключения. Но, пентестер "якобы с огромным опытом" по теории вероятности будет предпочтительней прохожего с улицы или такого же пентестера с опытом поменьше. К примеру между ТС и Rebz, я бы выбрал второго.
     
    Kapaso likes this.
  14. Dr.Strangelove

    Joined:
    1 Dec 2008
    Messages:
    111
    Likes Received:
    61
    Reputations:
    -6
    http://rebz.net/ 503-я
    Service Unavailable
    The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.

    а так же

    502 Bad Gateway
    nginx/1.2.1
     
  15. cheebeez

    cheebeez Member

    Joined:
    28 Feb 2010
    Messages:
    34
    Likes Received:
    43
    Reputations:
    1
    Фейсбук вчера падал, вконтакте от этого лучше не стал.
     
  16. Dr.Strangelove

    Joined:
    1 Dec 2008
    Messages:
    111
    Likes Received:
    61
    Reputations:
    -6
    при чем тут твой фесйбук и вконтакте? эти три несчастные странички висят на рашкованском впсе. хз что там с ним, но хостинг тоже надо выбирать с умом. особенно человеку из сферы секьюрити. повесь уже бля на облако или и вовсе на blogspot =/ , дешево и сердито. А вот прикинь, я потенциальный клиент. Хочу на свой проджект побольше безопасности ,захожу на rebz.net и вижу хуй. Ну и понятно какая безопасность. Все безопасно. Ничего не работает. Так что не надо мне нут причёсывать. )))
     
    #36 Dr.Strangelove, 29 Sep 2015
    Last edited: 29 Sep 2015
    Arturiy likes this.
  17. cheebeez

    cheebeez Member

    Joined:
    28 Feb 2010
    Messages:
    34
    Likes Received:
    43
    Reputations:
    1
    При том, что выбор был гипотетический, ТС или Rebz.

    А фейсбук на какое облако повесить?)
     
    #37 cheebeez, 29 Sep 2015
    Last edited: 29 Sep 2015