Come convalidare il rapporto fornito da un hacker hat bianco

1

Fornisco un contratto per trovare vulnerabilità nel mio sito a un hacker bianco. Secondo lui ha eseguito diversi attacchi sul mio sito per 15 giorni e ha scoperto che non ci sono minacce alla sicurezza. Non sono sicuro che l'abbia fatto o no. Come posso convalidare il suo rapporto?

    
posta Mohit Gupta 24.01.2015 - 11:38
fonte

3 risposte

4
  • La fiducia è un prerequisito: anche prima di firmare il contratto che consente a terzi di tentare di irrompere nel tuo server, dovrebbe esserci un minimo controllo di background riguardo a chi ti assumi per il lavoro (da dove viene, quale compagnia è lavorando per, quanta esperienza ha, quale certificazione ha lui e la sua azienda, ecc.),
  • Controlla i tuoi log: dopo l'attacco, ancora di più se afferma di non aver trovato alcuna vulnerabilità di sicurezza (quindi non ha avuto modo di alterare i log), il suo accurato controllo avrebbe dovuto lasciare tracce chiaramente visibili nei log .
risposta data 24.01.2015 - 11:54
fonte
1

Come precedentemente affermato, controlla i tuoi registri. Potresti anche provare a chiedere l'output dei suoi strumenti, i log del burp, ecc. Dovrebbe aver tenuto traccia degli attacchi eseguiti e dei dati restituiti. A mio avviso, non mi sembra molto improbabile, anche nel sito più semplice con un server consolidato ci sono in genere alcuni risultati di best practice come cookie senza flag httponly / secure, enumerazione utente, versione server divulgata, contenuto predefinito presente, impostazioni SSL deboli e altro.

    
risposta data 24.01.2015 - 12:01
fonte
0

Quando assumi un'azienda per eseguire test delle penne e della vulnerabilità, dovresti firmare e controllare tutto ciò che vuoi testare. Questo fungerà per il tester come una tabella di marcia di ciò che possono testare. Un sacco di pen-test hanno la possibilità di portare giù il server tramite Denial of Service (DOS) o di corrompere / modificare i dati tramite XSS / SQL Injection (SQLI).

Quindi sostanzialmente il contratto firmato per consentire loro di testare il sito web dovrebbe definire e delineare tutto ciò che è stato testato.

L'unico modo per convalidare ciò con "nessun problema" è controllare i log. Dovresti essere in grado di ottenere un IP esterno che hanno usato quando stavano facendo questo test e questo ti aiuterà a restringere quali log devi analizzare in quanto puoi filtrarli da quella fonte.

Spero che questo aiuti!

    
risposta data 24.01.2015 - 22:38
fonte