La creazione di account secondario su Pentecoste Black-Box è vietata? [chiuso]

0

Va bene, quindi ecco qui. Sono il Red Team Lead, e come descritto in precedenza; non lontano (circa una settimana), ho postato questo . A quel tempo, stavo cercando un bellissimo titolo tecnico che potesse abbinare le mie scoperte. L'ho menzionato come "Politica password debole". Dal momento che la maggior parte dei penetratori non è riuscita, ho dovuto prendere l'incarico e realizzato l'intera operazione con successo. Ora, c'è una piccola situazione (in cui il cliente aveva già menzionato il test doveva essere una black-box e non una white-box in particolare {non ci sono state fornite credenziali}).

Ora, dopo aver sistemato le vulnerabilità identificate, abbiamo ricevuto esattamente questa risposta da loro (non è per questo che non firmi una NDA per questo in primo luogo se non ti fossi mai fidato della compagnia in cui hai spinto il tuo penthouse black-box in !?):

What was the intent ? backdoor?
It it ethical? Shouldn't we just let the party know that week password, instead of creating a secondary account(with fake name) and NOT informing US about it.  NOT ACCEPTABLE!
How do we trust that no data was downloaded and mis-used? 
How do we make sure there were not more accounts created with some malicious intention?

Quello che è successo qui è stato, a scopo di test, come più spesso in un pentest black-box, il tester richiede di testare inoltre tutti i controlli, se un account privilegiato potrebbe essere stato raggiunto. C'è questa situazione (sopra menzionata) che continua a tormentarmi, cosa direi qui? Ho bisogno di pareri e di una grande visuale per rivelare se quello che ho fatto è sbagliato o loro hanno saputo che cosa era una valutazione "black-box" per il primo posto (per rivelare gli impatti!)

    
posta Shritam Bhowmick 04.03.2015 - 14:49
fonte

1 risposta

3

ok così su qualsiasi valutazione di sicurezza devi avere un contratto di fidanzamento (che dovrebbe in gran parte precisare cosa è e cosa non è nell'ambito della revisione). Supponendo che tu stia facendo ciò che verrebbero tradizionalmente considerate valutazioni di stile "squadra rossa", poi su quelle in generale "qualsiasi azione che un utente malintenzionato potrebbe intraprendere" è valida per la valutazione. Tuttavia ci sono molte diverse definizioni di team rosso (come ce ne sono molte per il test di penetrazione) ed è per questo che l'ambito e il contratto sono così importanti (per assicurarsi che il cliente e il fornitore si trovino sulla stessa pagina).

Come cita il commento di @adnan, alla fine del test dovresti dire al cliente degli account creati, in modo che possano rimuoverli dal sistema (insieme a tutti i dati creati). Se non lo hai fatto, allora un livello di sospetto da parte del cliente non è troppo sorprendente.

Tuttavia, in generale, sarei propenso a rispondere che l'account è stato creato come parte della conduzione del test e per l'utilizzo improprio dei dati, questo è regolato dalla NDA e dal contratto stipulato (di nuovo è molto importante questi sono a posto) che dettano ciò che puoi e non puoi fare con i dati recuperati durante lo svolgimento del test.

    
risposta data 04.03.2015 - 15:07
fonte

Leggi altre domande sui tag