L'attacco di business logic dovrebbe essere uno dei metodi di test durante il pentesting o il progetto di valutazione della vulnerabilità?
Gli attacchi di logica aziendale per la maggior parte del tempo sono lasciati fuori durante il pentesting o non sono stati menzionati o non ne sono a conoscenza.
Gli attacchi logici sono un processo manuale e la maggior parte degli strumenti non può esaminare la logica.
L'attacco della logica aziendale è più simile a un "test della logica aziendale" che viene normalmente eseguito prima dell'avvio dell'applicazione da parte del team di sviluppo (più prezioso, il team di Quality Assurance) dell'applicazione.
Prima di eseguire un livello di produzione, un'applicazione deve aver superato i test di logica aziendale. Tuttavia, ci sono ancora stanze per mettere "Business logic attack" nella checklist per la valutazione della vulnerabilità, specialmente quando l'applicazione è in esecuzione per un'organizzazione finanziaria.
Leggi altre domande sui tag penetration-test vulnerability-assessment business-logic-attack