Si vous évaluez une application dans le cadre de l'exercice de pentesteurs, comment gérez-vous une fonctionnalité de site brisée? Les problèmes devraient-ils être ignorés?
Garder les bugs fonctionnels dans un système sûr?
Les fonctionnalités cassées dans une application Web ne sont pas une menace de sécurité en soi, mais elles pourraient être une. Pour vous comme testeur de pénétration, recherchez:
Comme chaque ligne de code (et donc chaque fonctionnalité, de travail ou non) augmente la surface d'attaque de l'application, le client doit éviter de déployer (partiellement) des fonctionnalités cassées à leurs serveurs.
Si l'application manque d'exigences, par exemple: Il aurait dû être une option de réinitialisation de mot de passe, alors que vous puissiez le faire est de le signaler à votre client, mais cela n'est certainement pas votre travail.
Lorsque l'application répond aux exigences de cette étape et que la production est prête, puis tout ce que vous trouvez est une vulnérabilité et doit être corrigée avant la libération.
Si vous contribuez avec une analyse de la vulnérabilité dans les stades de développement précoce (branches de développement), vous devez intervenir dès que possible pour éviter tout développement ultérieur sur une base affaiblie.