En general, tiene razón, necesitará el permiso de la empresa de alojamiento donde está explorando los servicios implementados en su infraestructura. Esto es parcialmente para que sus sistemas de detección de intrusos estén conscientes de que es un escaneo autorizado.
Tanto AWS como Azure tienen políticas que detallan el proceso y lo que es aceptable probar. El AWS uno es aquí y el Azure es un aquí . Si una empresa de alojamiento no tiene una política publicada, vale la pena ponerse en contacto con ellos para verificarlos.
También puede depender del servicio exacto que esté usando del proveedor de alojamiento en la nube. Así, por ejemplo, para AWS, le permiten probar las ofertas de estilo IAAS, como AWS EC2, donde el cliente es responsable del sistema operativo y no las ofertas de SAAS como AWS S3, donde Amazon es responsable del sistema operativo y el software asociado. Sin embargo, Azure parece tener una política de mayor alcance donde puede probar cualquier servicio que posea.
También se pueden restringir los tipos de prueba, por ejemplo, la prueba DoS puede no estar permitida, ya que obviamente puede afectar al proveedor de la nube.
Para el alojamiento "tradicional", generalmente depende del tipo de servicio que tenga. Si está utilizando un alojamiento compartido en el que solo tiene acceso a webroot, es posible que no pueda realizar pruebas, ya que, obviamente, existe el riesgo de afectar a otros usuarios en el mismo servidor. ) tiende a estar bien siempre que los haya notificado (en el caso de Ocean digital, a través de un ticket de soporte).
También hay una lista más larga de dónde ir para diferentes compañías aquí