Sono ancora al college. Recentemente, ho completato il mio OSCP e mi è stato chiesto dal mio professore di fare un pentest robusto sull'infrastruttura di rete della nostra Università. Sebbene io abbia acconsentito, non ho idea di quale documentazione debba presentare le autorità universitarie (se ce ne sono)
Un contratto potrebbe sembrare eccessivo, ho solo bisogno di qualcosa che mi protegga nello scenario peggiore. Dato che sono un amatore, ogni consiglio è molto apprezzato.
' Il contratto potrebbe essere eccessivo '
Quando ti denigrano per danni, quel contratto ti impedirà di contare le barre.
Ottieni un avvocato, siediti con il tuo professore e delinea la portata. Quindi ottenere un SoW firmato da tutti i firmatari autorizzati della tua università. Non esiste una soluzione adatta a tutte le soluzioni.
Dici anche che hai scambiato un SoW via email - non abbastanza. Fatelo firmare su carta o usando un provider online. È estremamente importante che i firmatari siano autorizzati. Sono sicuro che il tuo professore è una brava persona, ma potrebbe semplicemente usarti per scoprire buchi nel sistema, venderli a terzi e buttarti sotto l'autobus.
Se non puoi permetterti un avvocato, assicurati almeno di conoscere le leggi e i regolamenti locali. Ti raccomando di leggere le Regole d'ingaggio di PTES . Alcuni punti importanti:
Assicurandoti di avere il permesso di testare
Gestione delle prove
Che cosa fare quando ti imbatti in informazioni personali
L'ambito del test
Se non l'hai già fatto, ti consiglio vivamente di provarlo. Ti manterrà al sicuro mentre lavori. Trascorrere una notte in slammer non è divertente.
Bene, per iniziare, hai già finito il tuo OSCP. Tuttavia, assumerò il motivo per cui il tuo professore ti ha chiesto di pentestare la rete dell'università è come un "progetto finale" nel quale fai uso di ciò che sai. Dire che il tuo interesse è mettere alla prova ciò che hai imparato è una buona idea.
Ora, rispondendo alla tua domanda, Sì, dovresti presentare documenti cartacei , ma in genere nella maggior parte dei casi le prove scritte dalle autorità dell'organizzazione sono generalmente scritte. Un'e-mail dal tuo professore, un'altra dalle autorità dell'università e, se possibile, un altro dal reparto IT di solito sarebbe sufficiente.
Tuttavia, poiché i Penetration Testing possono essere trasportati con cattive intenzioni, vorrei consigliarti di parlare con il tuo insegnante e chiedergli di non solo inviarti una e-mail, ma anche di inviare una e-mail all'Università Istituzione e IT che chiedono il permesso.
Direi che le prove scritte sono d'obbligo quando si parla di portare i Penetration Testing. Ti consiglio comunque l'opzione del contratto, potrebbe sembrare eccessivo, ma è, come ho detto, l'opzione più sicura. Se fossi in te, otterrei sia un contratto che altre prove come e-mail, ecc.
Spero sia stato utile.
Leggi altre domande sui tag penetration-test