Nous sommes une entreprise qui possède de nombreuses applications Web développées dans ASP.NET. Notre fournisseur de services Internet (Telefonica) souhaite tester nos sites Web à la recherche de vulnérabilités. Pour cela, ils nous demandent de leur fournir des informations d'identification (accès en lecture seule) pour chaque site Web.
C'est la première fois que j'ai entendu dire que pour tester les vulnérabilités dans des sites Web, vous devez fournir de telles informations à un fournisseur de services Internet. J'ai toujours pensé que pour tester les vulnérabilités, vous devriez essayer de casser ou de pirater des sites Web sans savoir que des informations précieuses? J'ai peut-être tort.
Edit:
Enfin, je sais ce que les tests de vulnérabilités vont-ils effectuer. Ils vont utiliser Qualys Guard Scan et effectuer des "scans authentifiés". Première fois que j'ai entendu parler de cela. Selon Qualys Company, ils sont très utiles pour trouver des vulnérabilités de sécurité:
https://community.qualys.com/thread/11562
Toute expérience avec ce genre de scans?
Alors que @gowenfawr a répondu, il est normal qu'un Pentester professionnel de demander le mot de passe de l'utilisateur, vous devez leur poser les questions suivantes:
Ensuite, vous devriez être conscient de ce que vous leur donnez:
Aussi, permettez-moi d'ajouter une clarification sur les tests de pénétration, ces tests, entre autres, essayez, comme vous le dites, trouvez des vulnérabilités afin de pouvoir obtenir des utilisateurs ou d'accéder à vos services sans eux. Mais ils devraient également essayer d'effectuer des opérations qui doivent être interdites pour différents types d'utilisateurs, c'est-à-dire: un utilisateur normal ne doit pas être en mesure de gagner des privilèges d'administration. Vous devez donc vraiment tester chaque profil utilisateur différent de votre application Web.