پاسخ : هک کنید, جایزه بگیرید!
با سلام
من فکر می کنم این دوستمون در مورد تست نفوذ پذیری اطلاعات کاملی ندارند لذا بنابر این اطلاعات که دارند قیمت را اعلام کرده اند.
ببینید به طور کلی ما در این جا با سه روش برای پویش آسیب پذیری ها مواجه هستیم :
White box ، خواندن و آنالیز سورس کدهای برنامه و کشف آسیب پذیری ها با مطالعه تمام و کمال منابعی است که در دسترس کارشناس امنیت می باشد و او با آشنایی با زبان برنامه نویسی آن سیستم سعی خود را در کشف نقاط تاریک کد می نماید.
Black Box ، تست کور ، تستی که هیچ اطلاعاتی از نحوه ساختار برنامه در آن موجود نیست ، و نفوذ گر فقط با دانشی که از مواجهه با این برنامه ها به دستی آورده ، می تواند ساختاری مبهمی از برنامه مورد تست داشته باشد. (مباحث فازینگ در این مرحله مطرح میگردند )
Gary Box : تست نفوذ پذیری ای است که نفوذ گر منابع اولیه (همانند برنامه اصلی ) و نیز برخی از معرفی نامه ها و نوشتار های کمکی برنامه را در دست دارد .
که به طور کلی درایران روشهای اول و دوم بیشتر متداول می باشد و روش اول که به white box یا جعبه سفید معروف می باشد . که در این حالت source code ها توسط برنامه نویس در اختیار تیم تحلیل و بررسی قرار می گیرد و تیم تحلیل گر به ازای آنالیز کد ها به صورت خط به خط هزینه را برآورد می نماید و به شرکت و یا تیم برنامه نویسی اعلام می نماید که در صورت توافق قرار داد همکاری عقد می گردد . در این حالت مشخص می شود به عنوان مثال بررسی هر خط کد معادل 5000 هزار تومان می باشد . که در این حالت با توجه به بزرگی و گشتردگی کدها بطبع هزینه بررسی نیز بیشتر می شود. دراین قسمت تیم تحلیل گر مباحث مربوط به secure coding را نیز می تواند ارایه دهد که تصمیم گیری آن با تیم تحلیل گر می باشد.
--- در حالت دوم که موسوم به BlackB0x یا جعبه سیاه می باشد . تیم تحلیل گر بدون دسترسی داشتن به Soruce Code ها اقدام به بررسی و پیاده سازی و شبیه سازی حملات متداول بر روی وب سایت مربوطه می نماید که در صورت حصول دسترسی و یا عدم حصول دسترسی مبلغی از شرکت طرف قرار داد دریافت می نماید که معمولا مبلغ دریافتی در صورت عدم دسترسی 80 % کل هزینه می باشد که با گرفتن دسترسی 100 % پول دریافت می گردد.
چون حالت سوم کمتر استفاده می گردد در صورت نیاز اعلام نمایید تا این مبحث را نیز توضیح دهم.
در تمام مراحل قرارداد کتبی بین دو طرف امضا می گردد. و تعهداتی نیز در این قرارداد لحاظ می گردد.
با توجه به تفاسیر ذکر شده خودتان قضاوت نمایید که آیا کسی این کار را با هزینه اعلام شده از ناحیه شما انجام می دهد یا خیر.
ممکن است برخی از همکاران به طور کامل با روش های تست نفوذ پذیری آشنایی کاملی نداشته باشند که باعث شوند مببلغ کمتری دریافت شود . که بنده طی 8 سالی که تجربه در این زمینه کسب نموده ام بعید می دانم تیمی وجود داشته باشد که در مورد روشهای ذکر شده اطلاعات و آشنایی جامعی داشته باشد و سپس با هزینه ای بسیار بسیار پایین این اقدام را انجام دهد.
اگر احیانا تمایل به عقد قرار داد داشتید می توانیم دراین مورد مذاکره نماییم.
پاسخ با نقل قول