Stavamo progettando un'applicazione web con funzionalità simili alla gestione delle vulnerabilità, la cui funzionalità delle applicazioni Web può essere riassunta come segue:
- C'è un pannello in cui è possibile avviare un programma per elencare le vulnerabilità
- Bob lancia il suo programma attraverso la nostra applicazione web
- Alice segnala la vulnerabilità con file dannoso
- Bob riceve un rapporto con file dannosi e riceve un avviso in cui afferma che il download potrebbe avere conseguenze relative
- Bob scarica il file dannoso e cade vittima di Alice
Ora come per funzionalità / usabilità il mio sviluppatore lo sostiene.
-
Possiamo consentire il caricamento di file dannosi per l'applicazione come sua caratteristica principale dell'applicazione (Alice caricherà il file vulnerabile come prova del concetto)
-
Stavamo mostrando un messaggio di avviso, è abbastanza per impedire agli utenti di scaricare file dannosi, dal momento che tutti gli utenti sarebbero tecnologicamente
Ora il mio argomento era il seguente:
- L'attaccante può usare questa piattaforma per ingegnere sociale il team di risposta (qui Bob verrebbe infettato)
- In qualità di fornitore responsabile, i clienti si fidano di noi e scaricano il file
- Ho anche fatto riferimento a caricamento di file senza restrizioni
Considerando la situazione sopra, quale sarebbe la migliore scommessa per impedire che i miei clienti cadessero vittima di aggressori.