¿Cómo administrar los subproductos de prueba de la pluma?

5

A menudo, al realizar una prueba de lápiz, necesita martillar ciertas partes del sitio que pueden ser visibles para otros usuarios. Si, por ejemplo, sospecha que una sección de comentarios es vulnerable a XSS, puede enviar 20 o más comentarios con información muy extraña para verificar eso.

¿Cómo debo minimizar la visibilidad de una prueba de penetración para los usuarios normales? ¿Debo solicitar privilegios de administrador al propietario del sitio para poder revisar y eliminar cualquier cosa que sea visible para los usuarios normales? ¿Sería mejor solicitar que una instancia separada de la aplicación se configure para fines de prueba? ¿Existe una mejor práctica aceptada para manejar este tipo de cosas?

    
pregunta Abe Miessler 30.10.2013 - 18:32
fuente

2 respuestas

6

En mi opinión, para las pruebas de aplicaciones, el mejor enfoque es trabajar en un espejo del sitio de producción (ya sea clonar el sitio de producción si están usando máquinas virtuales o usar un entorno de prueba). La clave es que el código desplegado debe ser el mismo que está en producción. En ese tipo de entorno, debería poder automatizarse sin tener que preocuparse por los datos creados.

Si no puede hacer eso, el impacto dependerá del cliente y del sitio. En muchas circunstancias, puede solicitar usuarios de prueba, mantener todo el contenido bajo esos usuarios y luego solicitar que se eliminen al final de la prueba.

Si eso no es posible, asegúrese de tener la conversación sobre estos efectos secundarios antes de que comience a realizar las pruebas. Lo que no quiere que suceda es que se haga la prueba, alguien en el negocio se da cuenta de que su sitio se está llenando de "basura" y cerraron la prueba.

Por supuesto, un idealista de seguridad diría que deberían haber estado protegidos contra la automatización de la presentación de formularios en su sitio, pero eso no va a detener a una persona de marketing furiosa que se pregunta por qué tienen varios cientos de correos electrónicos sobre nuevos comentarios en su blog: o )

También como @johndeters dice que es muy importante hacer un seguimiento de los datos y en el informe recomendamos explícitamente que lo limpien. He tenido casos en los que alguien regresó a mí 9 meses después de una prueba para quejarme de que mis datos de prueba habían provocado un error en su actualización y me sentí muy feliz de poder dirigirlos hacia la sección de mi informe donde les dije que lo hicieran. eliminar los datos de prueba.

    
respondido por el Rоry McCune 30.10.2013 - 22:08
fuente
0

Un enfoque es que simplemente puedes hacer lo que tienes que hacer y observar cómo lidian con las consecuencias. Tal vez su equipo de seguridad responda y te apague, ese es un buen resultado. Tal vez su equipo de seguridad no lo detecte, no importa cuántos comentarios extrañamente puntuados publique, ese es un mal resultado.

Solo haz un seguimiento de ellos. Cuando hayas terminado, debes informarles de todos los problemas que has creado y de que deben limpiarse.

    
respondido por el John Deters 30.10.2013 - 21:29
fuente

Lea otras preguntas en las etiquetas