C'è qualche materiale di riferimento là fuori per la gravità dei risultati della sicurezza del software standard? E.g SQL Injection è severity 1, l'intestazione mancante è severity 4?
Comprendo che la valutazione del rischio dipende da molti fattori e differenze ambientali, ma c'è ancora una guida approssimativa che può essere seguita?
La mia azienda di software riceve regolarmente lamentele da un singolo cliente che effettua test di penetrazione economici ogni volta che prende una patch. Rifiutano di pagare le bollette e portano il software offline finché non affrontiamo i problemi, in quanto la società di test di penetrazione solleva scoperte di tipo informativo come "ad alto rischio". Il rischio più grave che hanno identificato era che un file CSS era visibile alla fonte, ma non avevano alcuna prova da supportare se fosse sfruttabile. La loro giustificazione era che il codice sorgente non dovrebbe essere visibile.
Come posso difenderlo e cercare di portarlo agli interessi dei clienti così come ai nostri che questi Penetration Testers sono dei bugiardi?