//Una domanda cosa intendi di preciso >3) se sei del security team e fai un >analisi, cerchi l'attack vector in >produzione
quando scrivi >ma il payload lo esegui in testing molte delle attivita' del red team son di lavorare con il blue team, per esempio una nuova regola sul CDN WAF per mitigare un CVE nel frattempo che il vendor esce con la patch.....non e' che passano la giornata a vedere quante volte eseguono il payload o quanti payload chain riescono a fare, fanno test per controllare che non si puo' bypassare la mitigation ed evitare l'attack vector, esempio obfuscation e WAF bypass. Quando ci sono incidenti lavori su snapshot e test sulla replica o sandboxes, non in produzione. Con Terraform a tirare su un ambiente ci metti un secondo e se usi un PaaS puoi sempre fare A/B o test containers al volo, darsi la zappa sui piedi da soli sarebbe proprio da tonni, poi ognuno fa quello che vuole con il proprio security team, dipende anche quanto e' evoluta l'automazione e a quali certificazioni la societa' e' soggetta. Considera per esempio che ogni CSP ha differenti policy per il testing....se sei in house o in cloud cambia per forza. In altri casi come il bug bounty, leggi sempre bene le regole e salvale, che se le cambiano sai cosa era lo scope a quel tempo e tieni tutti i logs da dimostrare la buona fede e che hai seguito le regole che ti hanno detto loro. Ogni stato ha le sue regole in materia, certi bug bounty programs hanno policy piu' ben scritte di altre da un punto di vista legale, informati sempre bene. Oramai ci sono lab stupendi come hackthebox o attackdefense, puoi passarci ore e sono molto aggiornati, non sottovalutarli per lo studio e a volte hanno anche dei validi annunci di lavoro. >
