Va bene, quindi ecco qui. Sono il Red Team Lead, e come descritto in precedenza; non lontano (circa una settimana), ho postato questo . A quel tempo, stavo cercando un bellissimo titolo tecnico che potesse abbinare le mie scoperte. L'ho menzionato come "Politica password debole". Dal momento che la maggior parte dei penetratori non è riuscita, ho dovuto prendere l'incarico e realizzato l'intera operazione con successo. Ora, c'è una piccola situazione (in cui il cliente aveva già menzionato il test doveva essere una black-box e non una white-box in particolare {non ci sono state fornite credenziali}).
Ora, dopo aver sistemato le vulnerabilità identificate, abbiamo ricevuto esattamente questa risposta da loro (non è per questo che non firmi una NDA per questo in primo luogo se non ti fossi mai fidato della compagnia in cui hai spinto il tuo penthouse black-box in !?):
What was the intent ? backdoor?
It it ethical? Shouldn't we just let the party know that week password, instead of creating a secondary account(with fake name) and NOT informing US about it. NOT ACCEPTABLE!
How do we trust that no data was downloaded and mis-used?
How do we make sure there were not more accounts created with some malicious intention?
Quello che è successo qui è stato, a scopo di test, come più spesso in un pentest black-box, il tester richiede di testare inoltre tutti i controlli, se un account privilegiato potrebbe essere stato raggiunto. C'è questa situazione (sopra menzionata) che continua a tormentarmi, cosa direi qui? Ho bisogno di pareri e di una grande visuale per rivelare se quello che ho fatto è sbagliato o loro hanno saputo che cosa era una valutazione "black-box" per il primo posto (per rivelare gli impatti!)