//Perché quello che ho capito dalle challenge online fighissime è utili e che non ti permettono (anche se ti insegnano cmq tanto altro ) di maturare quella sensibilità che poi ti servirà in quei casi che stavo descrivendo cioè operare a sistema live, ed ho trovato poco anche in rete purtroppo...
1) se fai pentest su live system per hobby, o fai un bug bounty e segui lo scope o non dovresti essere li, le regole son scritte impresse nella pietra e ben chiare 2) Se sei nel security team e fai production testing probabilmente sei in un A/B deployment, quindi non e' un gran problema 3) se sei del security team e fai un analisi, cerchi l'attack vector in produzione ma il payload lo esegui in testing Se usi CTF come hackthebox, pentestlab o qualunque altro, non e' vero che non acquisisci sensibilita', tutto e' a layer 8 Non esiste un bug bounty program che permetta scan results e tools automatici, quindi, non esiste il problema di primo
