¿Se necesitan el ID de usuario y la contraseña para realizar una prueba de un sitio web?

Navega tus respuestas
8

Somos una empresa que tiene muchas aplicaciones web desarrolladas en ASP.NET. Nuestro proveedor de servicios de Internet (Telefónica) quiere probar nuestros sitios web en busca de vulnerabilidades. Para eso, nos piden que les proporcionemos credenciales (acceso de solo lectura) para cada sitio web.

Es la primera vez que escucho que para probar vulnerabilidades en sitios web que necesita proporcionar dicha información a un ISP. Siempre pensé que para probar vulnerabilidades, ¿debería intentar romper o piratear sitios web sin saber esa información valiosa? Tal vez estoy equivocado.

EDITAR:

Finalmente, sé qué tipo de pruebas de vulnerabilidad van a realizar. Ellos usarán Qualys Guard Scan y realizarán "escaneos autenticados". La primera vez que oigo sobre eso. Según la compañía de Qualys, son muy útiles para encontrar vulnerabilidades de seguridad:

enlace

¿Alguna experiencia con ese tipo de exploraciones?

    
pregunta Delmonte 23.01.2014 - 19:01
fuente

2 respuestas

16

Sí, es normal que un examinador de pluma solicite credenciales (pero no tanto un ISP).

La aplicación en su conjunto no se puede probar realmente sin acceso a las credenciales. Una persona sin credenciales solo debe poder interactuar con una interfaz: la pantalla de inicio de sesión. Sin embargo, dadas las credenciales de prueba, se pueden probar cada formulario, cada carga, cada punto de entrada de datos en la aplicación. Desea saber si sus usuarios pueden realizar la inserción de SQL o la invocación de shell de comandos, ¿no?

De hecho, los evaluadores de bolígrafos a menudo solicitarán múltiples cuentas, y si el sitio admite diferentes niveles de privilegios ("administrador" en comparación con "usuario"), solicitarán uno de cada uno. Esto les permite probar los diferentes niveles de acceso a las aplicaciones y también probar la capacidad de una cuenta para hacer algo que afectará a otra.

Ahora, si su ISP está haciendo esto, esperaría un análisis de vulnerabilidad sin credenciales; Dudo que en realidad estén gastando el dinero requerido para hacer una prueba de pluma adecuada. Probablemente rechazaré si esto es una prueba regular y automatizada, eso no es una prueba de pluma Pero probablemente hay mucho más que saber sobre su situación que podría aclararlo de una manera u otra.

    
respondido por el gowenfawr 23.01.2014 - 20:22
fuente
8

Si bien, como @gowenfawr ha respondido, es normal que un pentester profesional le solicite una contraseña de usuario, debe hacerles las siguientes preguntas:

  1. ¿Qué pruebas vas a realizar con estos usuarios? (para que sepas exactamente lo que están haciendo).
  2. ¿Cómo vas a administrar las credenciales que te doy? (para que pueda saber si van a proteger las credenciales correctamente.
  3. ¿Qué tipo de privilegios necesita para estas credenciales? (para que les des los privilegios mínimos posibles).

Entonces debes estar consciente de lo que les estás dando:

  1. Debería crear NUEVOS usuarios para los pentesters y debería monitorear a estos usuarios adecuadamente (para que pueda saber qué está pasando).
  2. Debe hacer que el usuario esté disponible cuando comience la prueba, debe coordinar con ellos.
  3. Debe eliminar las cuentas tan pronto como se le informe al final de las pruebas.
  4. otros?

También, permítame agregar una aclaración sobre las pruebas de penetración, estas pruebas, entre otras, intentan, como usted dice, encontrar vulnerabilidades para que puedan obtener algunos usuarios o acceder a sus servicios sin ellos. Pero también deben intentar realizar operaciones que deberían estar prohibidas para diferentes tipos de usuarios, es decir: un usuario normal no debería poder obtener privilegios de administración. Así que realmente necesitas probar cada perfil de usuario diferente en tu aplicación web.

    
respondido por el kiBytes 23.01.2014 - 20:30
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la ventaja de enviar un paquete RST después de obtener una respuesta en un escaneo SYN? Veo dos conjuntos diferentes de certificados para los sitios web de Google cuando estoy en el trabajo y cuando estoy en casa