К
счастью сожалению, не юмор
Использоваться будет информация исключительно технического характера. Без раскрытия полученных данных в ходе тестирования.
Для чего это нужно? Заказчики неохотно готовы оставлять даже обычные отзывы с ссылками на проверенные проекты. Особенно учитывая то, что они все же платят деньги в том числе и за конфиденциальность.
Мне необходим материал для публикаций, для написания технических статей, с приведением в качестве аргумента конкретных реальных проектов. Это поможет увидеть, что в процессе аудита не просто в get запрос кавычки ставятся, а ведется большая разнообразная работа, и проверки идут не только на банальные sql-injection с ошибкой в теле страницы, но и на подтипы вида blind, time-based.
+ Существуют такие уязвимости как ssi, xxe, про которые информации в целом очень мало можно встретить. Я думаю, что на примере реальных проектов показывать подобные вещи будет гораздо интереснее и познавательнее, чем демонстрировать на заранее подготовленном стенде
Как итог - заказчик, который не хочет/не может тратить определенную сумму денег на полноценный аудит, но хочет обезопасить свой проект - имеет возможность его заказать.
Еще раз упомяну о том, что результаты и данные полученные в ходе аудита по стандартной схеме ни в коем разе не утекают в чужие руки и не используются в личных целях.
_____________
WebSecurity.WS - Аудит безопасности сайта