Hacer pruebas contra el servicio web propio alojado en una plataforma de terceros

28

Quiero hacer un pentest de los sitios web y los servicios programados por nuestra empresa, lo cual está bien siempre y cuando lo probemos en nuestra propia infraestructura. ¿Cuáles son las implicaciones (legales) al validar nuestros servicios una vez que se han implementado en otras plataformas como AWS, Azure, etc.? Ya que técnicamente no somos dueños del sistema de destino (acabamos de alquilar una parte de él), ¿tendría que obtener la autorización de los hosters? Obviamente, su implementación de un servicio hospedado afecta en gran medida la seguridad, por lo que me gustaría comparar las diferencias con nuestro propio hospedaje de intranet.

    
pregunta knipp 23.12.2016 - 13:07
fuente

3 respuestas

43

En general, tiene razón, necesitará el permiso de la empresa de alojamiento donde está explorando los servicios implementados en su infraestructura. Esto es parcialmente para que sus sistemas de detección de intrusos estén conscientes de que es un escaneo autorizado.

Tanto AWS como Azure tienen políticas que detallan el proceso y lo que es aceptable probar. El AWS uno es aquí y el Azure es un aquí . Si una empresa de alojamiento no tiene una política publicada, vale la pena ponerse en contacto con ellos para verificarlos.

También puede depender del servicio exacto que esté usando del proveedor de alojamiento en la nube. Así, por ejemplo, para AWS, le permiten probar las ofertas de estilo IAAS, como AWS EC2, donde el cliente es responsable del sistema operativo y no las ofertas de SAAS como AWS S3, donde Amazon es responsable del sistema operativo y el software asociado. Sin embargo, Azure parece tener una política de mayor alcance donde puede probar cualquier servicio que posea.

También se pueden restringir los tipos de prueba, por ejemplo, la prueba DoS puede no estar permitida, ya que obviamente puede afectar al proveedor de la nube.

Para el alojamiento "tradicional", generalmente depende del tipo de servicio que tenga. Si está utilizando un alojamiento compartido en el que solo tiene acceso a webroot, es posible que no pueda realizar pruebas, ya que, obviamente, existe el riesgo de afectar a otros usuarios en el mismo servidor. ) tiende a estar bien siempre que los haya notificado (en el caso de Ocean digital, a través de un ticket de soporte).

También hay una lista más larga de dónde ir para diferentes compañías aquí

    
respondido por el Rоry McCune 23.12.2016 - 13:31
fuente
7

También debe consultar con su ISP. Dependiendo de las regulaciones gubernamentales y de sus propias políticas operativas, se les puede solicitar que bloqueen sus acciones de prueba o que cancelen su servicio completamente. Incluso es posible que se les exija que lo denuncien ante las agencias de aplicación de la ley.

    
respondido por el Mike Lane 23.12.2016 - 21:47
fuente
2

Adicional a la consideración del ISP según la respuesta de "Mike Lane", tenga en cuenta que también va a realizar pruebas en redes que son propiedades de diferentes entidades que pertenecen al estado en general; por lo que no se le otorga automáticamente el permiso para este tipo de actividad.

Si pudiera alquilar otro recurso compartido o VPS dentro de la misma infraestructura que sus servicios, a partir de ahí estará seguro de hacer un pentest bajo las políticas de una sola entidad.

    
respondido por el elsadek 23.12.2016 - 22:43
fuente

Lea otras preguntas en las etiquetas