Quando conduco un test di penetrazione, mi imbatto in difficoltà perché il sistema di difesa può identificare un attacco a causa dell'elevato tasso di richieste e quindi bloccare l'indirizzo IP
C'è un modo per evitare questo rilevamento?
Configura lo scanner delle vulnerabilità per attendere tra le richieste o chiedi al tuo cliente di autorizzare l'IP conoscendo il fatto che hai verificato che questa contromisura è efficace.
Perché evitare il rilevamento? Non fa parte di un buon pentest? Se il sistema che stai controllando è configurato correttamente, dovrebbe rilevare i tentativi della tua sonda! E ancora meglio se sta impedendo al tuo IP di fare troppo di questo.
IMHO non dovresti fare il whitelisting, in quanto non è il modo "normale" con cui si comporta il sistema. Se non è possibile eseguire la scansione corretta su un host a causa del suo IDS / firewall, è 1-0 per il sysadmin che ha configurato quella macchina / rete.
Riguarda tutto lo scopo dell'audit. Se si tratta di un pen-test con scatola nera o di una squadra blu / rossa, non dovresti mai cambiare quei parametri, perché vuoi che sia il più realistico possibile. L'IP di un vero hacker non sarà autorizzato, quindi perché il tuo?
D'altra parte, se un cliente richiede di eseguire il test di un determinato servizio o server, è possibile avere un accesso non filtrato a quella casella. Ma in quella situazione è più comune eseguire una scansione dall'interno (in modo da non rendere vulnerabile il cliente), probabilmente su una casella di test / accettazione, sedendo presso l'ufficio clienti o tramite VPN. Inoltre, è più comune ottenere un account utente su tale sistema, per poter accedere al server o all'applicazione, quindi il tuo pen-test può essere davvero completo.
Leggi altre domande sui tag penetration-test