Perché un pentestore esterno che esegue il test del sito Web di Azure richiede credenziali IP, Gateway, DNS e VPN?

2

Possiedo un sito Web di Azure e un client che desidera utilizzare il mio sito ma deve eseguire attacchi di tipo etico su di esso per decidere se è abbastanza sicuro per loro. Mi hanno chiesto di inviarli questo:

The network configuration to have visibility and connection or traffic to the target IP, i.e., IP/mask/Gateway/DNS. If the web server is accessed via VPN, the client and connection credentials

Ho pensato che l'IP è sufficiente (e non hanno bisogno di me perché possono cercarlo) - cosa mi manca? Non voglio dare loro dati sensibili.

    
posta TBurek 14.07.2016 - 09:30
fonte

2 risposte

3

Se il server è accessibile pubblicamente, non è necessario preoccuparsi delle informazioni sulla connessione VPN. Le valutazioni della sicurezza vengono spesso eseguite sui siti prima che siano esposte a Internet e il sito è accessibile solo su una rete privata, pertanto chiederanno a voi di fornire tali dettagli in tal caso.

Il nome DNS che l'applicazione avrà sarà utile anche ai consulenti che stanno testando l'applicazione. Ad esempio, se hanno un sito www.example.com e stai sviluppando una sostituzione attualmente ospitata su beta.anotherexample.com o ha solo un indirizzo IP, potrebbe essere necessario configurare il loro file hosts affinché il sito funzioni correttamente - questo è abbastanza comune se hai sviluppato un sito in un CMS come wordpress e si aspetta che tutti i collegamenti inizino con www.example.com anche se il nome DNS non punta ancora al tuo server / il sito web non è stato distribuito alla produzione

Probabilmente la cosa migliore da fare è chiedere il numero di cellulare del tester che testerà il tuo sito e chattare con loro su ciò di cui hanno bisogno. Sarà utile avere questo numero (e che il tester abbia il tuo) nel caso in cui il tester accidentalmente abbassi il tuo sito o ti serva per mettere in pausa i test per qualche motivo. Possono anche essere amichevoli e avere il permesso di darti un 'informatore' informale di ciò che il rapporto sta per contenere:)

    
risposta data 14.07.2016 - 10:07
fonte
0

Questo non è il modo in cui funziona l'azienda. Un cliente non dovrebbe valutare la tua sicurezza, devi dare loro la certezza che il tuo sito è sicuro. Ad esempio, pagando alcune società di sicurezza per eseguire una valutazione della vulnerabilità del tuo sito.

Dopo questa valutazione, se il tuo sito è veramente sicuro, avrai un rapporto che puoi mostrare ai tuoi clienti che dimostrano che il tuo sito è sicuro.

IMO, non è un cliente, solo qualcuno ti sta ingannando per rivelare le credenziali per poterti davvero hackerare in futuro.

    
risposta data 14.07.2016 - 09:52
fonte

Leggi altre domande sui tag