Fornisco un contratto per trovare vulnerabilità nel mio sito a un hacker bianco. Secondo lui ha eseguito diversi attacchi sul mio sito per 15 giorni e ha scoperto che non ci sono minacce alla sicurezza. Non sono sicuro che l'abbia fatto o no. Come posso convalidare il suo rapporto?
Come precedentemente affermato, controlla i tuoi registri. Potresti anche provare a chiedere l'output dei suoi strumenti, i log del burp, ecc. Dovrebbe aver tenuto traccia degli attacchi eseguiti e dei dati restituiti. A mio avviso, non mi sembra molto improbabile, anche nel sito più semplice con un server consolidato ci sono in genere alcuni risultati di best practice come cookie senza flag httponly / secure, enumerazione utente, versione server divulgata, contenuto predefinito presente, impostazioni SSL deboli e altro.
Quando assumi un'azienda per eseguire test delle penne e della vulnerabilità, dovresti firmare e controllare tutto ciò che vuoi testare. Questo fungerà per il tester come una tabella di marcia di ciò che possono testare. Un sacco di pen-test hanno la possibilità di portare giù il server tramite Denial of Service (DOS) o di corrompere / modificare i dati tramite XSS / SQL Injection (SQLI).
Quindi sostanzialmente il contratto firmato per consentire loro di testare il sito web dovrebbe definire e delineare tutto ciò che è stato testato.
L'unico modo per convalidare ciò con "nessun problema" è controllare i log. Dovresti essere in grado di ottenere un IP esterno che hanno usato quando stavano facendo questo test e questo ti aiuterà a restringere quali log devi analizzare in quanto puoi filtrarli da quella fonte.
Spero che questo aiuti!
Leggi altre domande sui tag php sql-injection vulnerability vulnerability-scanners