Executando verificação de segurança...
2

Perfeito!

Eu só complementaria a parte sobre as empresas com sistemas mal programados e vulnerabilidades óbvias. Às vezes é mesmo porque o encarregado daquilo não entende o problema, mas muito frequentemente não corrigir é decisão de negócio.

Grande parte do trabalho de um alguém que realmente trabalha em segurança da informação é justamente ter um bom entendimento das operações da empresa que está sendo avaliada pra conseguir classificar adequadamente os riscos encontrados e ajudar os gestores a priorizá-los corretamente.

Em qualquer organização, alguns riscos sempre são aceitos, normalmente porque o trabalho que daria corrigí-los supera muito o potencial dano que eles poderiam causar.

Mesmo pra bug bounty, é importante buscar esse entendimento prévio sobre o alvo pra entender quais problemas são relevantes e como informá-los da melhor forma nos relatórios.

Quem sai rodando scans em páginas aleatórias esperando ganhar algo geralmente não tem noção de nada disso.

Carregando publicação patrocinada...
1

Obrigado por complementar! Realmente também tem esse lado, inclusive já vi também adiarem correções por ter outras prioridades "na fila".

Infelizmente esse vendedor de curso (e outros semelhantes, ele não é o único) não fala nada disso e vende a ilusão de que o curso superficial dele vai deixar os alunos preparados para trabalhar com segurança.