-
@pbeyssac @lprevosto Disons que sur ce truc-là précis, même le test unitaire serait certainement passé à côté du problème, ça aurait été très dépendant de la lib JSON utilisé face à 2 documents JSON concaténés.Permalink On twitter.com
❤️ 1 Favorite
Mood 0
-
@pbeyssac @lprevosto Et le but d’un pentest est aussi d’aller au delà des limites des tests U et d’intégration. « En théorie » oui c’est un boulot inutile qui aurait déjà du être fait en TU/TI.Permalink On twitter.com
❤️ 1 Favorite
Mood 0
-
@pbeyssac @lprevosto Le pentest, ça devrait justement pas se limiter à tester les X.000 CVE qui sont documentés ou à passer des outils à la con pour DMARC/TLS/whatever. Mais aller tester la limite des libs utilisées sur un soft custom, par exemple via du fuzzing.Permalink On twitter.com
❤️ 2 Favorites
Mood 0
-
@pbeyssac @lprevosto Et c’est là que je dis que lire juste le n° de version suffit. À quoi sert de lancer un pentest sur ta version 4.6 de wordpress qui est en EOL depuis 10 ans ? Tu sais que ça va remonter des bugs. Tout ceux de la base CVE qui sont connus depuis 10 ans aussi.Permalink On twitter.com
❤️ 1 Favorite
Mood -2 🙁
-
@pbeyssac @lprevosto Donc déjà tu commences par t’assurer que tu es à jour, et éventuellement alors tu finances Wordpress pour pentester plus leur version officielle que du pentest sur ton instance perso à toi.Permalink On twitter.com
❤️ 2 Favorites
Mood 0
-
@pbeyssac @lprevosto Les boîtes sont aussi très frileuses à fonctionner en boîte blanche (parce que ça veut dire accès infra & code) et donc se limite à de la boîte noire de l’extérieur… Utilité proche de 0.On twitter.com
❤️ 1 Favorite
Mood -3 🙁