web-dev-qa-db-fra.com

Pentesting contre son propre service Web hébergé sur une plateforme tierce

Je veux tester les sites Web et les services programmés par notre entreprise, ce qui est bien tant que nous les testons sur notre propre infrastructure. Quelles sont les implications (juridiques) lorsque vous testez nos services une fois qu'ils ont été déployés sur d'autres plateformes comme AWS, Azure, etc.? Puisque techniquement nous ne possédons pas le système cible (nous venons d'en louer une part), devrais-je obtenir l'autorisation des hébergeurs? De toute évidence, leur mise en œuvre d'un service hébergé affecte grandement la sécurité, je voudrais donc comparer les différences avec notre propre hébergement intranet.

28
knipp

En général, vous avez raison, vous aurez besoin de l'autorisation de la société d'hébergement où vous analysez les services déployés sur leur infrastructure. C'est en partie pour que leurs systèmes de détection d'intrusion sachent qu'il s'agit d'une analyse autorisée.

AWS et Azure ont tous deux des politiques détaillant le processus et ce qui est acceptable à tester. Celui d'AWS est ici et celui d'Azure est ici . Si une société d'hébergement n'a pas de politique publiée, cela vaut la peine de la contacter pour vérifier.

Cela peut également dépendre du service exact que vous utilisez du fournisseur d'hébergement cloud. Ainsi, par exemple pour AWS, ils vous permettent de tester des offres de style IAAS telles que AWS EC2 où le client est responsable du système d'exploitation et non des offres SAAS comme AWS S3 où Amazon est responsable du système d'exploitation et des logiciels associés. Cependant, Azure semble avoir une stratégie plus large où vous pouvez tester tous les services que vous possédez.

Les types de tests peuvent également être limités, par exemple, les tests DoS peuvent ne pas être autorisés, car cela peut évidemment avoir un impact sur le fournisseur de cloud.

Pour l'hébergement "traditionnel" cela dépend généralement du type de service dont vous disposez. Si vous utilisez un hébergement partagé où vous avez juste accès au webroot, vous pouvez très bien être empêché de tester, car il y a évidemment un risque d'affecter d'autres utilisateurs sur le même serveur, cependant où vous avez une image complète du système d'exploitation (par exemple, Digital Ocean Droplets ), vous avez tendance à être d'accord tant que vous les avez notifiés (dans le cas de Digital Ocean, via un ticket d'assistance).

Il y a aussi une liste plus longue où aller pour différentes entreprises ici

43
Rory McCune

Vous devriez également vérifier auprès de votre FAI. En fonction des réglementations gouvernementales et de leurs propres politiques d'exploitation, ils pourraient être tenus de bloquer vos actions de pentest s'ils étaient détectés, ou d'annuler complètement votre service. Ils peuvent même être tenus de vous signaler aux services répressifs.

7
Mike Lane

En plus de la considération du FAI selon la réponse de "Mike Lane", gardez à l'esprit que vous allez également pentest sur des réseaux qui sont les propriétés de différentes entités qui appartiennent à l'État en général; vous n'êtes donc pas automatiquement autorisé à effectuer ce type d'activité.

Si vous pouviez louer une autre part ou VPS au sein de la même infrastructure que vos services, à partir de là, vous êtes en mesure de pentest en vertu des politiques d'une seule entité.

2
elsadek