Fråga:
Pentesting mot egen webbtjänst på tredje parts plattform
knipp
2016-12-23 18:07:11 UTC
view on stackexchange narkive permalink

Jag vill testa webbplatser och tjänster som är programmerade av vårt företag, vilket är bra så länge vi testar det på vår egen infrastruktur. Vilka är (juridiska) konsekvenser när vi pentesting våra tjänster när de har distribuerats till andra plattformar som AWS, Azure etc? Eftersom vi tekniskt inte äger målsystemet (vi hyrde bara en del av det), skulle jag behöva få godkännande från värdarna? Uppenbarligen påverkar deras implementering av en värdtjänst mycket säkerheten, så jag skulle vilja jämföra skillnaderna med vårt eget webbhotell.

Du måste hålla dig till dina IP-adresser.Så länge du inte försöker hacka något utanför ditt eget sortiment bör det vara OK.När det gäller testning av molnlagring, i det här alternativet har du inte din egen IP-adress, därför bör du inte utföra brute-force attacker.Det är sunt förnuft och det är detsamma som deras policy, du kan inte testa tjänster du inte äger.
Även om du inte äger ip-"space" är det fortfarande din ip om du reserverar det.Villkor bör följas, men molnet används rutinmässigt som en sandgrop på detta sätt.Flytta till en tungviktsleverantör, inte till en "hosting" -leverantör.En värdleverantör kan hävda att din trafik påverkar deras andra kunder.
Tre svar:
Rory McCune
2016-12-23 18:31:12 UTC
view on stackexchange narkive permalink

I allmänhet är det rätt att du behöver tillstånd från värdföretaget där du skannar tjänster som distribueras på deras infrastruktur. Detta är delvis så att deras intrångsavkänningssystem är medvetna om att det är en auktoriserad skanning.

Både AWS och Azure har policyer som beskriver processen och vad som är acceptabelt att testa. AWS är här och Azure är här. Om ett webbhotell inte har en publicerad policy är det värt att kontakta dem för att kontrollera.

Det kan också bero på exakt vilken tjänst du använder från molnhostleverantören. Så till exempel för AWS tillåter de dig att testa IAAS-stilerbjudanden som AWS EC2 där kunden är ansvarig för operativsystemet och inte SAAS-erbjudanden som AWS S3 där Amazon ansvarar för operativsystemet och tillhörande programvara. Men Azure verkar ha en mer omfattande policy där du kan testa alla tjänster du äger.

Även testtyper kan vara begränsade, till exempel kan DoS-testning mycket väl inte tillåtas eftersom det uppenbarligen kan påverka molnleverantören.

För "traditionell" hosting beror det i allmänhet på vilken typ av tjänst du har. Om du använder delad hosting där du bara har tillgång till webroot kan du mycket väl vara begränsad från testning, eftersom det uppenbarligen finns en risk att påverka andra användare på samma server, men där du har en fullständig OS-bild (t.ex. Digital Ocean Droplets ) du brukar vara ok så länge du har meddelat dem (i fallet med Digital Ocean, via en supportbiljett).

Det finns också en längre lista över vart du ska gå för olika företag här

Jag gick vidare och kollade tillbaka med en värd där vi har en hanterad server för att vara värd för några webbplatser, och de satte mitt företags IP-adress på en vitlista, så tack för att ni nämnde det.Jag vill inte testa DoS-attacker och snarare fokusera på de som bara påverkar platserna själva, som SQLi.
Mike Lane
2016-12-24 02:47:42 UTC
view on stackexchange narkive permalink

Du bör också kontrollera med din ISP. Beroende på statliga regler och deras egna driftspolicyer kan det krävas att de blockerar dina pentest-åtgärder om de upptäcks eller avbryter din tjänst helt. Det kan till och med krävas att de rapporterar dig till brottsbekämpande myndigheter.

elsadek
2016-12-24 03:43:40 UTC
view on stackexchange narkive permalink

Förutom ISP-överväganden enligt svaret från "Mike Lane", kom ihåg att du också kommer att pendla över nätverk som är egenskaper hos olika enheter som tillhör staten i allmänhet; så du får inte automatiskt tillstånd för en sådan typ av aktivitet.

Om du skulle kunna hyra en annan aktie eller VPS inom samma infrastruktur som dina tjänster, därifrån är du säker att pentestas under en enskild enhets policyer.

Jag är inte säker på vad du menar med "över nätverk som är egenskaper för olika enheter" ... Säger du att för att skicka ett paket från A (ditt hem) till B (din ec2-instans) behöver du uttryckligt tillstånd från allamellaninfrastrukturens ägare?
du måste kontrollera med den lokala förordningen, om det inte finns någon behöver du fortfarande vara försiktig, att skicka paket under pentest kan vara misstänksam.
Jag är fortfarande inte säker på vad du menar."Pentesting" är inte en specifik åtgärd som kan identifieras som sådan ur sitt sammanhang.En GET-begäran till en webbserver kan vara en del av en pentest eller en "normal" användare som surfar på sidan.Skulle det vara möjligt för dig att utöka ditt svar med ett specifikt exempel på vilken typ av situation du tänker på?Tack!
Jag är ingen expert på reglering, men alla handlar om vad du än gör.
Tyvärr, -1, det här svaret är [inte ens fel] (https://en.wikipedia.org/wiki/Not_even_wrong)
Jag tror att mitt svar ger en värdefull insikt, vänligen bry dig inte om nedröstningen.


Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 3.0-licensen som det distribueras under.
Loading...