我希望在托管我们网站的 Azure 应用服务上运行 Veracode 的动态扫描,这是一种自动渗透测试器。条款https://security-forms.azure.com/penetration-testing/terms中有一个条款指出“在运行常见的现成漏洞扫描程序时,不需要提交 Pentest 表单。那些不需要预先确认。 ”。
Veracode 的动态扫描是否算作“现成的漏洞扫描程序”?
问问题
461 次
3 回答
1
您不需要权限即可在 Azure 资源上运行渗透测试,但 Microsoft 确实存在 DDOS 攻击问题,这些攻击可能旨在成为渗透测试的一部分。自 2017 年 6 月 15 日起,Microsoft 不再需要预先批准即可对 Azure 资源进行渗透测试。
您可以在此处阅读更多信息Microsoft Pen Testing。
微软还在自己的架构上运行自己的红队渗透测试,您可以搜索最新的白皮书以了解这些正在进行的测试。
于 2019-08-22T18:10:34.133 回答
0
您应该查看此页面:Azure 渗透安全表单。
总之,您应该阅读条款和条件,看看您能做什么。首先,您必须提前通知 Microsoft,否则他们会认为您是攻击者。
于 2016-10-19T06:23:22.643 回答
0
笔测试可能会产生法律后果,因此您需要将此问题指向 MS Azure 支持和 Veracode,而不是依赖“常识”答案。
即使有人过去有过这方面的经验,条件/要求也可以改变。
请求 MS 许可证将使您和您的站点更安全。
于 2016-10-19T06:14:37.033 回答