Форум Сообщества Практиков Конкурентной разведки (СПКР)

Милые вы мои! Вы просто не знаете расценок на рынке. Например, таких как Positive Technology и Digital Security..... Это на самом деле - копейки! Нормальный черный ящик за 15 дней - 450 тысяч, это минимум, дальше - больше. Но они сами пишут скрипты, exploit под каждый тест!!!
А Immunity Web.... делает то же самое, что и опенсорс сканер W3AF. Оно надо? Для криворуких - может да....

ara_367519 написал:

[q]

это да.. просто первое такое предложение на глаза попалось.. открытое

[/q]

не - веббез Масаловича явно дешевле
и там тоже есть ручное тестирование, насколько я понял

Веббез конечно, намного дешевле - в этом плане, он вне конкуренции

Nachoperot написал:

[q]

Естественно, что уверен.

[/q]

уверенность в своих силах - половина победы.. мне сложно судить заочно о Вашей квалификации

Nachoperot написал:

[q]

Пентест чужого сайта без согласования с владельцем сайта делают только пацаны и молодежь с подростками - это является ХАКИНГОМ в чистом виде и пентестом никогда не назовется!!!!

[/q]

насчет, что это хакинг да..но, что его делают молодежь и подростки - наверное нет.. как Вы тогда рассчитываете получить информацию от конкурента, не будете же с ним договор заключать? Наверное в любом исследовании есть свои пределы, за которые заходить нежелательно (а иногда и крайне противопоказано).. если рассматриваете социнженерию - то думаю, это отчасти тот же хакинг, только объект противоправного (или непротивоправного) посягательства другой..

Nachoperot написал:

[q]

А Webbez - это просто сканер уязвимостей, надо называть вещи своими именами. Еще раз повторюсь, но! С этими задачами даже лучше справятся - W3AF, nikto. И другие инструменты из набора Kali. И они БЕСПЛАТНЫ!!!

[/q]

в чем-то возможно соглашусь,т.к. не было опытаработы с данными инструментами.. Вы Webbez сами пробовали? Лично мое мнение - работа с инструментами - очень хорошо, но показатель уровня профессионализма - умение работать руками, не прибегая к помощи инструментов.. Знаете, как у квартирников (ну и не только )- есть такой инструмент Пик-ган.. он значительно облегчает исполнение работы..а то и вовсе делает всю работу самостоятельно.. но только умение работать отмычкой или промер и последующее самостоятельное изготовление дубликата ключа - ВСЕГДА считалось признаком мастерства..

О моей квалификации судят те, кто знает меня. По крайней мере кому оказывал помощь - не жаловались. Имею удостоверения аудитора и специалиста ИБ, по стандарту ISO 27001от BSI, российские удостоверения и сертификаты как защите так и по аудиту ИБ.

[q]

как Вы тогда рассчитываете получить информацию от конкурента, не будете же с ним договор заключать? Наверное в любом исследовании есть свои пределы, за которые заходить нежелательно (а иногда и крайне противопоказано).. если рассматриваете социнженерию - то думаю, это отчасти тот же хакинг, только объект противоправного (или непротивоправного) посягательства другой..

[/q]

Еще раз поясню: Читайте определение пентеста. "Пентест - метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании. Анализ ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы. Результатом работы является отчет, содержащий в себе все найденные уязвимости системы безопасности, а также может содержать рекомендации по их устранению. Цель испытаний на проникновение — оценить его возможность осуществления и спрогнозировать экономические потери в результате успешного осуществления атаки. Испытание на проникновение является частью аудита безопасности." "Аудит безопасности - это УСЛУГА, которая осуществляется по совместному договору.
Теперь далее. Если вы хотите добывать данные по конкуренту, то есть легальные способы добычи информации и это называется конкурентной разведкой в интернете. Она использует легальные методы рекогносцировки и прослушки. До тех пор пока ВЫ НЕ НАРУШАЕТЕ работы систем конкурента, не вторгаетесь в пределы ОХРАНЯЕМОЙ (ключевое слово, если вы ничего не нарушая получили, значит не охраняется и доказать это в суде у конкурента НЕ ПОЛУЧИТСЯ) им зоны и не препятствуете работе его систем - вы конкурентный разведчик и получаете информацию so-so легально. Но стоит вам пересечь эти пределы или изменить те или иные параметры его систем, заблокировать доступ к его системам - ВЫ ХАКЕР, и вам прямая дорога в тюрьму.
ПОЭТОМУ все таки надо быть очень щепетильным в определениях, и как советовал мой любимый герой "У меня есть слабость - я чту уголовный кодекс!"
WEBBEZ я пробовал. Возвращаясь к написанному - согласно ПРЕДНАЗНАЧЕНИЯ это СКАНЕР УЯЗВИМОСТИ. Вы можете дискутировать о его возможностях, но его функционал именно в этом.
По работе я уже указал, что лучше.

[q]

Лично мое мнение - работа с инструментами - очень хорошо, но показатель уровня профессионализма - умение работать руками, не прибегая к помощи инструментов.. Знаете, как у квартирников (ну и не только )- есть такой инструмент Пик-ган.. он значительно облегчает исполнение работы..а то и вовсе делает всю работу самостоятельно.. но только умение работать отмычкой или промер и последующее самостоятельное изготовление дубликата ключа - ВСЕГДА считалось признаком мастерства..

[/q]

Ну WEBBEZ только показывает "какие где проточки на ключе" как любой другой сканер уязвимостей.
Отмычка - это exploit, Troyan, Rootkit -что уже по определению подпадает под создание вредоносных программ ст.273 УК РФ.
Я исчерпывающе ответил на вопросы?