在我在该网站上阅读的一些帖子中,例如当朋友允许您尝试破解他们的系统时,黑客是否合法?,以及从外部测试我的家庭网络的最佳方式,回应的用户指出,测试人员应通知或请求其 ISP 的许可进行测试。我很难想象这样的请求会被 ISP 很好地接受。从批准您在他们的网络上执行渗透测试的请求来看,他们似乎失去了一切(从责任的角度来看),几乎没有任何收获。
有没有人成功地请求 ISP 允许在他们的网络上进行与安全相关的测试?一个人会怎么做?
向与白帽安全测试相关的 ISP 通知/请求许可的最合适方式是什么?
信息安全
渗透测试
权限
2021-09-07 20:18:08
2个回答
我从来没有事先征求过许可(我记得),但我可以说客户在很多情况下都报告说我控制的 IP 地址正在攻击他们。
例如:
违反 TOS - 恶意活动
我们收到了一份来自分配给(已编辑)的 IP 地址的恶意活动报告。请调查此投诉并在 24 小时内更新此票证以避免服务中断。
大多数情况下,我的客户只是忽略了检查我提到的我在测试期间可能使用的授权 IP 地址列表。
每次,在回答违反 TOS 的情况后,ISP 都会与目标验证活动是否已获得授权并且一切正常。
注意:亚马逊现在可以很容易地提前请求许可:http: //aws.amazon.com/security/penetration-testing/(我听说其他人现在也这样做)
我过去总是建立一个合同要求,即在我们同意任何远程测试之前,客户必须获得 ISP 的批准。实际上,这是一封“保持无害”的信,解释说测试人员(我们)将使用看起来与真正的攻击完全一样的技术。关键是客户端请求它,使用我们的模板
我们与英国、美国、欧洲和亚洲的 ISP 合作,但澄清一下,这些客户通常是跨国公司,在每个地区都有专门的 ISP 关系经理等。对于苏格兰的小型本地客户,我们也这样做了,但是ISP 通常也是本地的,因此如果您有一个小客户和一个大型 ISP,您的里程可能会有所不同:ISP 可能不在乎。
其它你可能感兴趣的问题