Todavía estoy en la universidad. Recientemente, completé mi OSCP y mi profesor me pidió que hiciera un pentest robusto en la infraestructura de red de nuestra Universidad. Aunque estuve de acuerdo, no tengo idea sobre qué papeleo debo presentar a las autoridades universitarias. (Si las hay)
Un contrato puede parecer una exageración, solo necesito algo que me proteja en el peor de los casos. Como soy amateur, cualquier consejo es muy apreciado.
' El contrato podría ser excesivo '
Cuando te demanden por daños, ese contrato evitará que cuentes las barras.
Consiga un abogado, siéntese con su profesor y haga un bosquejo del alcance. Luego obtenga un SoW firmado por todos los firmantes autorizados de su universidad. No hay una solución única para todos.
También dice que ha intercambiado un SoW por correo electrónico, no es suficiente. Consíguelo firmado en papel duro o con un proveedor en línea. Es extremadamente importante que los firmantes estén autorizados. Estoy seguro de que tu profesor es una buena persona, pero podría usarte para descubrir agujeros en el sistema, venderlos a un tercero y lanzarte debajo del autobús.
Si no puede pagar un abogado, al menos asegúrese de estar familiarizado con las leyes y regulaciones locales. Le recomiendo que lea las Reglas de compromiso de PTES . Algunos puntos importantes:
Asegurarse de tener permiso para realizar pruebas
Manejo de evidencia
Qué hacer cuando te encuentras con información personal
El alcance de la prueba
Si aún no lo has hecho, definitivamente te recomiendo que lo hagas. Te mantendrá seguro mientras trabajas. Pasar una noche en el slammer no es divertido.
Bueno, para empezar, ya has terminado tu OSCP. Sin embargo, voy a asumir que la razón por la que su profesor le pidió que hiciera una prueba de la red de la Universidad es como un "proyecto final" en el que hace uso de lo que sabe. Decir que te interesa probar lo que has aprendido es una buena idea.
Ahora, respondiendo a su pregunta, Sí, debe presentar el papeleo , pero en la mayoría de los casos, las pruebas escritas de las autoridades de la organización lo harán. Un correo electrónico de su profesor, otro de las Autoridades de la Universidad y, si es posible, otro del departamento de TI por lo general sería suficiente.
Sin embargo, dado que la prueba de penetración se puede realizar con malas intenciones, le recomendaría que hable con su maestro y le pida que no solo le envíe un correo electrónico, sino que también le envíe un correo electrónico a la Universidad. La institución y la TI pidiendo permiso.
Yo diría que la evidencia escrita es una necesidad cuando se habla de realizar pruebas de penetración. Todavía te recomiendo la opción de contrato, puede parecer una exageración, pero es, como he dicho, la opción más segura. Si fuera usted, obtendría un contrato y otras pruebas, como correos electrónicos, etc.
Espero que haya sido útil.
Lea otras preguntas en las etiquetas penetration-test