Пентест или багбаунти?
Для меня, как для человека, который занимается пентестами почти 5 лет, а также 4 года багхантит, видны плюсы и минусы обоих способов защиты своих систем.
Давайте разберем их.
Для компаний, которые хотят защитить свои сервисы оба этих способа нужно держать в своем арсенале, так как являются взаимодополняемыми.
У меня есть масса примеров, которые это доказывают.
Например, очень часто бывало и бывает такое, что нам на пентест прилетает проект, который уже давно на багбаунти в котором и я участвовал. И перед проектом возникают мысли, ведь столько людей уже тестировали этот сервис, было найдено куча багов и наверняка проект будет скучным. Но нет, в 99% случаях на пентесте находится десятки багов в том числе и баги с высоким риском. Один из таких багов, буду сдавать на award.awillix.ru
Почему же так случается?
И мы не говорим сейчас о каких-либо внутренних сервисах, тестировать которые можно только на пентестах.
Чаще всего на багбаунти сервис не изучают под микроскопом, не тестируют каждый API эндпоинт детально. И поверьте мне из-за этого упускаются очень много багов.
✅Плюсы пентеста
– Ограниченный скоуп. Это помогает фокусироваться на нужных вещах, а не бегать от одного к другому.
– Команда. Относительно предоставленного скоупа мы можем выбрать на проект людей относительно их скиллов. Также командный взлом более эффективен.
– Дополнительная информация. На пентестах идет плотное взаимодействие с клиентом, клиент может предоставить документацию, сваггер..., что тоже тестирование делает более эффективным
– Доступ к любым сервисам в пределах скоупа. Некоторый функционал бывает немного затруднительно тестировать, например, кредиты в банках или есть хорошо настроенные вафы, которые сильно мешают. На пентестах же нам могут выдать тестовые стенды или добавить в вайтлисты для полноценного тестирование нужного функционала.
⛔️Минусы пентеста
– Ограниченное время. Тут есть риск, что во время пентеста мы не можем себе позволить долго сконцентрироваться на чем-то одном. Например, если есть интересная зацепка, но раскрутить ее сходу не получается. Если это в каком-то софте, то можно отдельно поресерчить.
Ограниченное время я бы не назвал даже каким-то существенным минусом, часто это помогает нам сконцентрироваться на скоупе, которое мы исследуем во время пентеста.
✅Плюсы багбаунти
– Огромное количество хантеров с различными скиллами. Один из самых больших плюсов багбаунти – это огромная банда хантеров с различными скиллами. Особенно это бывает полезно, если есть что-то специфическое.
– Неограниченное время. Багхантер не ограничен по времени и может хоть месяц ломать то, что захочет.
– Компания платит только за баг, который нашли. Для компаний хороший способ сэкономить.
⛔️Минусы багбаунти
– Ограничения в действиях. Багхантер не может пробить периметр и дальше идти ломать внутрянку. Также, если мы только занимаемся багхантерством, то есть риск, что знания в постэксплуатации будут слабыми.
– Отсутствие дополнительной информации.
– Отсутствие доступа к некоторым сервисам. Тут тоже достаточно все очевидно, у многих ли хантеров юридические лица? Но в то же время и плюс для тех, у кого это есть, например, можно снять все сливки с юридических сервисов, если запарится и сделать себе ИП.
Учитывая все эти факторы получаем идеальную взаимодополняемость обоих способов.
Для меня, как для человека, который занимается пентестами почти 5 лет, а также 4 года багхантит, видны плюсы и минусы обоих способов защиты своих систем.
Давайте разберем их.
Для компаний, которые хотят защитить свои сервисы оба этих способа нужно держать в своем арсенале, так как являются взаимодополняемыми.
У меня есть масса примеров, которые это доказывают.
Например, очень часто бывало и бывает такое, что нам на пентест прилетает проект, который уже давно на багбаунти в котором и я участвовал. И перед проектом возникают мысли, ведь столько людей уже тестировали этот сервис, было найдено куча багов и наверняка проект будет скучным. Но нет, в 99% случаях на пентесте находится десятки багов в том числе и баги с высоким риском. Один из таких багов, буду сдавать на award.awillix.ru
Почему же так случается?
И мы не говорим сейчас о каких-либо внутренних сервисах, тестировать которые можно только на пентестах.
Чаще всего на багбаунти сервис не изучают под микроскопом, не тестируют каждый API эндпоинт детально. И поверьте мне из-за этого упускаются очень много багов.
✅Плюсы пентеста
– Ограниченный скоуп. Это помогает фокусироваться на нужных вещах, а не бегать от одного к другому.
– Команда. Относительно предоставленного скоупа мы можем выбрать на проект людей относительно их скиллов. Также командный взлом более эффективен.
– Дополнительная информация. На пентестах идет плотное взаимодействие с клиентом, клиент может предоставить документацию, сваггер..., что тоже тестирование делает более эффективным
– Доступ к любым сервисам в пределах скоупа. Некоторый функционал бывает немного затруднительно тестировать, например, кредиты в банках или есть хорошо настроенные вафы, которые сильно мешают. На пентестах же нам могут выдать тестовые стенды или добавить в вайтлисты для полноценного тестирование нужного функционала.
⛔️Минусы пентеста
– Ограниченное время. Тут есть риск, что во время пентеста мы не можем себе позволить долго сконцентрироваться на чем-то одном. Например, если есть интересная зацепка, но раскрутить ее сходу не получается. Если это в каком-то софте, то можно отдельно поресерчить.
Ограниченное время я бы не назвал даже каким-то существенным минусом, часто это помогает нам сконцентрироваться на скоупе, которое мы исследуем во время пентеста.
✅Плюсы багбаунти
– Огромное количество хантеров с различными скиллами. Один из самых больших плюсов багбаунти – это огромная банда хантеров с различными скиллами. Особенно это бывает полезно, если есть что-то специфическое.
– Неограниченное время. Багхантер не ограничен по времени и может хоть месяц ломать то, что захочет.
– Компания платит только за баг, который нашли. Для компаний хороший способ сэкономить.
⛔️Минусы багбаунти
– Ограничения в действиях. Багхантер не может пробить периметр и дальше идти ломать внутрянку. Также, если мы только занимаемся багхантерством, то есть риск, что знания в постэксплуатации будут слабыми.
– Отсутствие дополнительной информации.
– Отсутствие доступа к некоторым сервисам. Тут тоже достаточно все очевидно, у многих ли хантеров юридические лица? Но в то же время и плюс для тех, у кого это есть, например, можно снять все сливки с юридических сервисов, если запарится и сделать себе ИП.
Учитывая все эти факторы получаем идеальную взаимодополняемость обоих способов.