<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">Hi Johanna</div><div class="gmail_quote"><br>On Mon, May 23, 2016 at 9:31 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><span class=""><div style="font-size:13px">>>There is nothing stopping defenders from using "attacking" tools to secure their networks, servers, etc. After all we all port scan and vulnerability scan our infrastructure, right?</div><div><br></div></span><div>Hi Liam</div><div><br></div><div>I can see majority of the people answering are pen testers. I'm a developer that learn pen testing to so called 'secure' apps</div></div></blockquote><div><br></div><div>I'm not a pen tester. How does one see that people are pen testers?</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div> It all depends on the technology and system.You find the holes but this per se does not fix them or even worse, makes you realise that if the developer knew how to code securely from the beginning a lot of headaches could have been avoided.</div></div></blockquote><div><br></div><div>I'd agree that secure coding practices help prevent many vulnerabilities.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Recently I tested a .NET app build using 3.5 SP1 and no master pages or MVC(available in +4). The so called 'ViewState' did not help against CRSF . In fact the developer has to rebuild the whole thing using MVC +.NET 4.0.if he wants to protect this properly.</div><div><br></div><div>IS it feasible at this point? Nope. Will the company release the code even with the issue? Yep. </div><div><br></div><div>pen testing only helps find the wholes. Fixing them is another story.Hacking tools don't help you 'secure' applications. They only help you verify the security built by them.</div></div></blockquote><div><br></div><div>If you don't know about the holes you can't patch them, migrate to newer system libraries, disable certain functionality, firewall off or air gap vulnerable systems, switch to another product, etc.</div><div><br></div><div><snip></div><div><br></div><div><br class="">I like to view things from the perspective of the customer or end user. Their personal, sensitive, business, etc data is at risk. They deserve to know the risk that they or their organisation are running by using a particular (software) product. I'm in favour of any tool that allows them to more accurately assess their risk. Whether they run it themselves are pay someone to do it doesn't matter. Same applies to code audits, secure development practices, etc.<br></div><div><br></div><div><br></div><div>Regards,</div><div><br></div><div>Liam</div></div></div></div>