Ciò che dici mi torna tutto... Ed in effetti dopo che ho inviato il messaggio sono arrivato alle conclusioni che hai giustamente messo in evidenza :-)
Fondamentalmente è tutto per hobby leggo, mi documento e faccio delle challenge, cercavo dei confronti a 360 gradi quindi ecco perché ho postato qua ... Una domanda cosa intendi di preciso >3) se sei del security team e fai un >analisi, cerchi l'attack vector in >produzione quando scrivi >ma il payload lo esegui in testing grazie del feedback ... Il ven 26 apr 2019, 14:55 tag 636 <[email protected]> ha scritto: > //Perché quello che ho capito dalle challenge online fighissime è utili e > che non ti permettono (anche se ti insegnano cmq tanto altro ) di > maturare quella sensibilità che poi ti servirà in quei casi che stavo > descrivendo cioè operare a sistema live, ed ho trovato poco anche in rete > purtroppo... > > 1) se fai pentest su live system per hobby, o fai un bug bounty e segui lo > scope o non dovresti essere li, le regole son scritte impresse nella pietra > e ben chiare > > 2) Se sei nel security team e fai production testing probabilmente sei in > un A/B deployment, quindi non e' un gran problema > > 3) se sei del security team e fai un analisi, cerchi l'attack vector in > produzione ma il payload lo esegui in testing > > Se usi CTF come hackthebox, pentestlab o qualunque altro, non e' vero che > non acquisisci sensibilita', tutto e' a layer 8 > > Non esiste un bug bounty program che permetta scan results e tools > automatici, quindi, non esiste il problema di primo > > >
