Sono necessari ID utente e password per il pentesting di un sito web?

Naviga le tue risposte
8

Siamo un'azienda che ha molte applicazioni Web sviluppate in ASP.NET. Il nostro fornitore di servizi Internet (Telefonica) vuole testare i nostri siti Web alla ricerca di vulnerabilità. Per questo, ci chiedono di fornire loro credenziali (accesso in sola lettura) per ogni sito web.

È la prima volta che ho sentito che per testare le vulnerabilità nei siti Web è necessario fornire tali informazioni a un ISP. Ho sempre pensato che per testare le vulnerabilità dovresti provare a rompere o hackerare i siti web senza conoscere le preziose informazioni? Forse mi sbaglio.

EDIT:

Infine, so che tipo di test di vulnerabilità stanno per eseguire. Useranno Scansione di Qualys Guard ed eseguiranno "scansioni autenticate". La prima volta che ne ho sentito parlare. Secondo la società Qualys, sono molto utili per trovare le vulnerabilità della sicurezza:

link

Qualche esperienza con questo tipo di scansioni?

    
posta Delmonte 23.01.2014 - 19:01
fonte

2 risposte

16

Sì, è normale che un pen tester richieda le credenziali (ma non tanto un ISP).

L'applicazione nel suo insieme non può essere realmente testata senza accesso alle credenziali. Qualcuno senza credenziali dovrebbe essere in grado di interagire con un'unica interfaccia: la schermata di accesso. Date le credenziali di test, tuttavia, è possibile testare ogni modulo, ogni upload, ogni punto di inserimento dati nell'applicazione. Vuoi sapere se i tuoi utenti possono eseguire l'inserimento SQL o la chiamata alla shell dei comandi, giusto?

In effetti, i pen tester spesso richiedono più account e, se il sito supporta diversi livelli di privilegio ("admin" rispetto a "utente"), ne chiederanno uno. Ciò consente loro di testare i diversi livelli di accesso alle applicazioni e anche di testare la capacità di un account di fare qualcosa che avrà un impatto su un altro.

Ora, se il tuo ISP sta facendo questo, mi aspetterei una scansione di vulnerabilità senza credenziali; Dubito che stiano effettivamente spendendo i soldi necessari per fare un pen test adeguato. Probabilmente declinerei se si tratta di test automatici e automatizzati - non si tratta di un pen-test. Ma c'è molto altro da sapere sulla tua situazione che potrebbe chiarire in un modo o nell'altro.

    
risposta data 23.01.2014 - 20:22
fonte
8

Mentre, come ha risposto @gowenfawr, è normale che un pentester professionista chieda la password dell'utente, ponendo loro le seguenti domande:

  1. Quali test hai intenzione di esibire con questi utenti? (così sai esattamente cosa stanno facendo).
  2. Come gestirai le credenziali che ti do? (così puoi sapere se stanno andando a proteggere le credenziali correttamente.
  3. Che tipo di privilegi hai bisogno per queste credenziali? (così puoi dare loro i privilegi minimi possibili).

Quindi dovresti sapere cosa stai dando loro:

  1. Dovresti creare NUOVI utenti per i pentesters e dovresti monitorare correttamente questi utenti (così puoi sapere cosa sta succedendo).
  2. Dovresti rendere l'utente disponibile nel momento in cui inizia il test, devi coordinarti con loro.
  3. Dovresti eliminare gli account non appena ti è stata segnalata la fine dei test.
  4. altri?

Inoltre, vorrei aggiungere un chiarimento sui test di penetrazione, questi test, tra gli altri, cercare di, come dici tu, trovare vulnerabilità in modo che possano ottenere alcuni utenti o accedere ai tuoi servizi senza di loro. Ma dovrebbero anche cercare di eseguire operazioni che dovrebbero essere vietate per diversi tipi di utenti, ad esempio: un utente normale non dovrebbe essere in grado di ottenere privilegi di amministrazione. Quindi hai davvero bisogno di testare ogni diverso profilo utente nella tua applicazione web.

    
risposta data 23.01.2014 - 20:30
fonte

Leggi altre domande sui tag

Rete senza password nell'ufficio skyscraper Qual è il vantaggio dell'invio di un pacchetto RST dopo aver ricevuto una risposta in una scansione SYN?