https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:13:46 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/1406-jestem-jak-tesciowa.html#c30693 https://archive.mroczna-zaloga.org/archives/1406-jestem-jak-tesciowa.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1406 nospam@example.com (sng) To nie jest rozwiązanie. Osoba nie-pentester często nie ma odpowiedniej wiedzy, żeby zrozumieć, o czym ma pisać raport. Inną rzeczą ważną przy opisie niektórych (szczególnie podatności w logice aplikacji) jest tło/warunki występowania podatności - tylko osoba, która robiła test jest w stanie to opisać. Zlecanie pisania raportu osobie innej, niż testerowi skończy się jak w opowiastce "Czy to prawda, że w Moskwie na placu Czerwonym rozdają samochody?" Wed, 30 Dec 2020 14:26:02 +0100 https://archive.mroczna-zaloga.org/archives/1406-guid.html#c30693 https://archive.mroczna-zaloga.org/archives/1406-jestem-jak-tesciowa.html#c30692 https://archive.mroczna-zaloga.org/archives/1406-jestem-jak-tesciowa.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1406 nospam@example.com (sng) Też jestem taką teściową. I doświadczenia podobne, jak zleciłem testy to w raporcie brakowało dokładnie tego, co napisałeś. Bardzo boli po zmianie roli gdy deleguje się komuś zadanie i on nie jest w stanie go dowieść lub dowozi w stanie znacząco odbiegającym od oczekiwanego poziomu. Niestety robienie tego samemu nie jest możliwe, doba ma tylko 24h, nikt nie zapłaci za czas ekstra. W testach, które robię/robiliśmy punkt o ograniczeniach (coś nie działało/nie było dostępne na środowisku testowym) był jednym z ważniejszych i taką polisą na wypadek f***pu w tych funkcjonalnościach. Raporty, które robimy mają generalnie wszystko, o czym piszesz. Wed, 30 Dec 2020 14:21:39 +0100 https://archive.mroczna-zaloga.org/archives/1406-guid.html#c30692 https://archive.mroczna-zaloga.org/archives/1406-jestem-jak-tesciowa.html#c30689 https://archive.mroczna-zaloga.org/archives/1406-jestem-jak-tesciowa.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1406 nospam@example.com (Paweł Goleń) Logistyka przygotowań - tak, przynajmniej te mniej techniczne jej części. Gorzej z raportowaniem. Osoba pisząca raport ciągle musiałaby być na tyle techniczna, by zrozumieć co zostało znalezione i zaraportować to w sensowny sposób. Czyli i tak pewne rzeczy od testera należałoby wyciągnąć, albo z notatek, albo z przepastnej pamięci. Thu, 10 Dec 2020 12:28:49 +0100 https://archive.mroczna-zaloga.org/archives/1406-guid.html#c30689 https://archive.mroczna-zaloga.org/archives/1406-jestem-jak-tesciowa.html#c30687 https://archive.mroczna-zaloga.org/archives/1406-jestem-jak-tesciowa.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1406 nospam@example.com (k4) Może składaniem raportów z pentestów powinny się zajmować inne osoby niż pentesterzy? To samo z przyjmowaniem projektów do testów (weryfikacja czy są wszystkie dostępy, konta itp...) Imho pomogłoby to uniknąć frustracji u osób mocno technicznych nie lubiących pisania dokumentacji. Sun, 06 Dec 2020 12:48:15 +0100 https://archive.mroczna-zaloga.org/archives/1406-guid.html#c30687