¿Por qué un pentestro externo que prueba mi sitio web de Azure solicita credenciales de IP, Gateway, DNS y VPN?

2

Tengo un sitio web de Azure y un cliente que desea usar mi sitio pero necesita realizar un pirateo ético en él para decidir si es lo suficientemente seguro para ellos. Me han pedido esto para enviarles esto:

  

La configuración de red para tener visibilidad y conexión o tráfico.   a la IP de destino, es decir, IP / máscara / Gateway / DNS. Si el servidor web es   Se accede a través de VPN, el cliente y las credenciales de conexión

Pensé que la IP es suficiente (y no me necesitan porque la pueden buscar). ¿Qué me falta? No quiero darles datos confidenciales.

    
pregunta TBurek 14.07.2016 - 09:30
fuente

2 respuestas

3

Si el servidor es de acceso público, no necesita preocuparse por la información de conexión de VPN. Las evaluaciones de seguridad a menudo se realizan en los sitios antes de que se expongan a Internet y solo se puede acceder al sitio en una red privada, por lo que le pedirán que proporcione estos detalles si ese es el caso.

El nombre DNS que tendrá la aplicación también será útil para los consultores que están probando la aplicación. Por ejemplo, si tienen un sitio en www.example.com y usted está desarrollando un reemplazo que actualmente se encuentra en beta.anotherexample.com o simplemente tiene una dirección IP, es posible que deban configurar su archivo de hosts para que el sitio funcione correctamente. - esto es bastante común si ha desarrollado un sitio en un CMS como wordpress y espera que todos los enlaces comiencen con www.example.com, aunque el nombre de DNS aún no apunta a su servidor / el sitio web no se ha implementado en producción

Probablemente, lo mejor que puede hacer es solicitar el número de teléfono móvil del probador que probará su sitio y conversará con ellos sobre lo que necesitan. Será útil tener este número (y para que el probador tenga el suyo) en caso de que el probador accidentalmente desactive su sitio o los necesite para pausar las pruebas por alguna razón. También pueden ser amistosos y se les permite darle un "aviso" informal de lo que el informe está a punto de contener :)

    
respondido por el Stu W 14.07.2016 - 10:07
fuente
0

Esto no es cómo funciona el negocio. Un cliente no debe evaluar su seguridad, debe darles la confianza de que su sitio es seguro. Por ejemplo, pagar a una empresa de seguridad para que realice una evaluación de vulnerabilidad de su sitio.

Después de esa evaluación, si su sitio es realmente seguro, tendrá un informe que podrá mostrar a sus clientes que demuestre que su sitio es seguro.

OMI, eso no es un cliente, solo alguien te está engañando para que te de las credenciales para que te piratee en el futuro.

    
respondido por el yzT 14.07.2016 - 09:52
fuente

Lea otras preguntas en las etiquetas