web-dev-qa-db-fra.com

Les identifiants et le mot de passe sont-ils nécessaires pour penter un site Web?

Nous sommes une entreprise qui possède de nombreuses applications Web développées dans ASP.NET. Notre fournisseur de services Internet (Telefonica) souhaite tester nos sites Web à la recherche de vulnérabilités. Pour cela, ils nous demandent de leur fournir des informations d'identification (accès en lecture seule) pour chaque site Web.

C'est la première fois que j'ai entendu dire que pour tester les vulnérabilités dans des sites Web, vous devez fournir de telles informations à un fournisseur de services Internet. J'ai toujours pensé que pour tester les vulnérabilités, vous devriez essayer de casser ou de pirater des sites Web sans savoir que des informations précieuses? J'ai peut-être tort.

Edit:

Enfin, je sais ce que les tests de vulnérabilités vont-ils effectuer. Ils vont utiliser Qualys Guard Scan et effectuer des "scans authentifiés". Première fois que j'ai entendu parler de cela. Selon Qualys Company, ils sont très utiles pour trouver des vulnérabilités de sécurité:

https://community.qualys.com/thread/11562

Toute expérience avec ce genre de scans?

8
Delmonte

Alors que @gowenfawr a répondu, il est normal qu'un Pentester professionnel de demander le mot de passe de l'utilisateur, vous devez leur poser les questions suivantes:

  1. Quels tests allez-vous effectuer avec ces utilisateurs? (Donc, vous savez exactement ce qu'ils font).
  2. Comment allez-vous gérer les informations d'identification que je vous donne? (Vous pouvez donc savoir s'ils vont protéger correctement les informations d'identification.
  3. Quel type de privilèges avez-vous besoin pour ces informations d'identification? (Vous pouvez donc leur donner les privilèges minimaux possibles).

Ensuite, vous devriez être conscient de ce que vous leur donnez:

  1. Vous devez créer de nouveaux utilisateurs pour les pentasters et vous devez surveiller correctement ces utilisateurs (afin que vous puissiez savoir ce qui se passe).
  2. Vous devez rendre l'utilisateur disponible à droite lorsque le test commence, vous devez coordonner avec eux.
  3. Vous devez supprimer les comptes dès que vous avez été signalé la fin des tests.
  4. autres?

Aussi, permettez-moi d'ajouter une clarification sur les tests de pénétration, ces tests, entre autres, essayez, comme vous le dites, trouvez des vulnérabilités afin de pouvoir obtenir des utilisateurs ou d'accéder à vos services sans eux. Mais ils devraient également essayer d'effectuer des opérations qui doivent être interdites pour différents types d'utilisateurs, c'est-à-dire: un utilisateur normal ne doit pas être en mesure de gagner des privilèges d'administration. Vous devez donc vraiment tester chaque profil utilisateur différent de votre application Web.

8
kiBytes