Somos una empresa que tiene muchas aplicaciones web desarrolladas en ASP.NET. Nuestro proveedor de servicios de Internet (Telefónica) quiere probar nuestros sitios web en busca de vulnerabilidades. Para eso, nos piden que les proporcionemos credenciales (acceso de solo lectura) para cada sitio web.
Es la primera vez que escucho que para probar vulnerabilidades en sitios web que necesita proporcionar dicha información a un ISP. Siempre pensé que para probar vulnerabilidades, ¿debería intentar romper o piratear sitios web sin saber esa información valiosa? Tal vez estoy equivocado.
EDITAR:
Finalmente, sé qué tipo de pruebas de vulnerabilidad van a realizar. Ellos usarán Qualys Guard Scan y realizarán "escaneos autenticados". La primera vez que oigo sobre eso. Según la compañía de Qualys, son muy útiles para encontrar vulnerabilidades de seguridad:
¿Alguna experiencia con ese tipo de exploraciones?