Sto provando a creare un processo di pentesting per testare la rete e le applicazioni di un'azienda. Sto usando per questo la OWASP Testing Guide 4.0, perché non ho esperienza di pentesting e non conosco niente di meglio.
La maggior parte dei passaggi descritti in questa guida sono correlati al test dell'applicazione. Ho capito che questo è perché il modo più utilizzato per provare ad accedere ai sistemi dell'azienda è l'hacking dell'applicazione e quindi l'elevazione dei privilegi corrispondente.
Quindi, possiamo dire che pentest e application pentest esterni sono uguali o hanno lo stesso obiettivo?
Grazie per tutto.