Doy un contrato para encontrar vulnerabilidades en mi sitio a un hacker de White Hat. Según él, realizó varios ataques en mi sitio durante 15 días y descubrió que no existe ninguna amenaza de seguridad. No estoy seguro de que realmente haya hecho esto o no. ¿Cómo puedo validar su informe?
Como se indicó anteriormente, revise sus registros. También puede intentar solicitar la salida de sus herramientas, es el registro de eructos, etc. Debería haber mantenido un registro de los ataques realizados y haber devuelto datos. Ningún hallazgo me parece muy improbable, incluso en el sitio web más simple con un servidor reforzado, por lo general hay algunos hallazgos de mejores prácticas, como cookies sin httponly / indicador seguro, enumeración de usuarios, versión del servidor divulgada, contenido predeterminado presente, configuración de SSL débil y más.
Cuando contrata a una empresa para realizar pruebas de pluma y evaluación de vulnerabilidad, debe haber firmado y enumerar la lista de verificación de todo lo que desea que realicen. Esto actuará para el probador como una hoja de ruta de lo que pueden probar. Muchas pruebas de lápiz tienen la posibilidad de eliminar el servidor a través de la denegación de servicio (DOS) o de corromper / cambiar los datos a través de la inyección XSS / SQL (SQLI).
Entonces, básicamente, el contrato firmado para permitirles probar el sitio web debe definir y resumir todo lo probado.
La única manera de validar esto con que muestre "sin problemas" es que usted verifique sus registros. Debería poder obtener una IP externa que usaron cuando estaban realizando estas pruebas y eso ayudará a reducir los registros que necesita analizar, ya que puede filtrarlos desde esa fuente.
Espero que esto ayude!
Lea otras preguntas en las etiquetas vulnerability sql-injection php vulnerability-scanners