假设我认识一位道德黑客,我想聘请他进行渗透测试,但信任是一个问题。我是否可以复制我的系统但删除其敏感数据,并使其无法追踪到拥有它的公司?
如果仅保留结构和安全措施,是否可以破解此副本以查看是否可以访问某些区域?我猜它可以类似于 hackthissite.org 上的“任务”来完成。然后我可以被告知这些漏洞。测试站点会是什么样子?
它真的完全无法追踪到它的公司吗?这会有多难?
问问题
405 次
2 回答
1
您通常不能到处为您的雇主网站分发代码。
但是,在他们允许的情况下,您可以做的是设置一个暂存环境(大多数开发环境都应该有这些),从这个意义上说,您可以将相关人员指向该站点(没有真实数据)以提供渗透测试. 当然,这可能会限制他们攻击的有效性范围,但通常不会,因为你基本上已经在说“攻击这个网络基础设施”了,他们看到的数据有点无关紧要(只要它有相同的结构);那就是暴露网站功能弱点的目的是独立于数据的。
于 2011-03-01T01:33:36.610 回答
-1
你可以这样做,但有细微差别。只要确保结构没有改变。也就是说,删除非行为程序并创建一个克隆并只允许他进行测试。
但请记住,即使您删除了敏感数据,您仍然可能被黑客入侵。安全漏洞可能不依赖于行为,而是依赖于服务等(大多数情况下都是如此)。
测试人员可以轻易地不报告漏洞并将其作为您真实应用程序的后门打开。
于 2011-03-01T01:35:05.983 回答