Nie ma możliwości, aby pentester mógł w 100% zapewnić, że dane nie zostaną zmodyfikowane lub usunięte, w taki sam sposób, w jaki nie mogą zapewnić, że nie wpłynie to na dostępność systemu (przewróciłem systemy za pomocą portu skan lub pojedynczy znak). jak mówisz, robot sieciowy może usunąć dane z systemu, jeśli został źle skonfigurowany.

Powiedziałbym, że należy powiedzieć coś w stylu „dołożymy wszelkich starań, aby upewnić się, że testowanie nie wpływa negatywnie na systemy objęte przeglądem i nie będą podejmowane celowe próby modyfikacji lub usunięcia danych produkcyjnych ani negatywnego wpływu na dostępność systemów objętych zakresem. Jednak przy wszystkich testach bezpieczeństwa istnieje ryzyko, że wpłynie to na systemy, a klient powinien upewnić się, że kopie zapasowe wszystkich danych i systemów są na miejscu przed rozpoczęciem przeglądu "

Pentester, który twierdzi, że nigdy nie zmieni danych produkcyjnych, jest albo plugawym kłamcą , albo uważa się za znacznie bardziej kompetentnego niż w rzeczywistości, lub zdecydowanie nie zamierza nic robić (to jedyny pewny sposób, aby niczego nie złamać). W każdym razie nie chcesz pracować z tym facetem.

Potencjalny klient, który uważa, że ​​wykwalifikowani pentestry nigdy nie uszkodzą testowanych systemów i który odmawia współpracy z pentestrami, chyba że dokładnie to obiecuje, to klient, który 1. mieszka w krainie baśni jednorożca i 2. prawie na pewno będzie prowadził interesy tylko z plugawymi kłamcami. W pewnym momencie czeka go pewne rozczarowanie, prawdopodobnie w dość spektakularny sposób.

Jest to imperatyw moralny , a także podstawowa samoobrona dla pentesterów, aby zawarli klauzule dotyczące możliwego zerwania umów. Ryzyko szkód ubocznych jest realne, nawet jeśli pentester jest bardzo dobry w tym, co robi (ponieważ szkoda nie pochodzi z tego, jak dobry jest pentester , ale z tego, jak zły jest testowany system i wdrożone ). Pentester może zostać pozwany za nie ostrzeżenie klienta.

Klient, który odmówi zawarcia umowy z taką klauzulą, ma inną nazwę: „kłopoty”. Zwykle lepiej jest całkowicie pominąć takich klientów.

Uwaga: nie jestem profesjonalnym pentesterem. Pracuję w oprogramowaniu do tworzenia kopii zapasowych.

Czy wykwalifikowany i profesjonalny pentester może zawsze zapewnić, że żadne dane nie zostaną usunięte lub zmodyfikowane podczas produkcji podczas pentestu?

Powiedziałbym, że nie, nie ma absolutnych gwarancji, że coś nie zostanie przypadkowo usunięte, gdy próbujesz coś zepsuć. Jednak to powiedziawszy, pentester powinien generalnie próbować wykorzystywać systemy w sposób, który nie wymaga usuwania danych. Na przykład, chociaż ulubioną instrukcją SQL dla wszystkich jest:

  select * from users where userid = 'dave'; DROP ALL TABLES;  

Bardziej odpowiedzialnym podejściem byłoby po prostu wyświetlenie wszystkich danych:

  wybierz * spośród użytkowników, gdzie userid = '2' LUB 1 = 1;  

Generalnie, wyobrażam sobie, że większość testerów pisaków opracowała serię exploitów tej odmiany, która nie jest destrukcyjna, jak ta ostatnia.

Wstrzykiwanie JavaScript w różnych formach może użyj prostego kodu potwierdzającego koncepcję, takiego jak alert ("wykorzystałem cię"); zamiast prawdziwego kodu exploita.

Czy pentest może być naprawdę wykonany, jeśli zespół pentestowy ma ograniczenie, że dane nie mogą być tworzone ani modyfikowane?

Powiedziałbym, że nie. Jak pokazałbyś dowód koncepcji przechowywanego XSS bez możliwości przechowywania swojego XSS w bazie danych? To niezmiennie spowoduje powstanie nowych danych.

Istnieje wiele przykładów, w których exploit wymaga zapisania danych, nawet jeśli tylko tymczasowo.

Czy pentestująca firma powinna zawsze dołączać klauzulę o zrzeczeniu się odpowiedzialności na wszelki wypadek?

Ponownie poszerzam tutaj swoją wiedzę osobistą, ale powiem tak.

To jednak wraca do sedna sprawy zatrudniania firmy testującej pióra. Celem testu piórkowego jest zidentyfikowanie zagrożeń, które mogą wymagać oceny i naprawienie ich, zanim złoczyńcy je znajdą.

Mam również nadzieję, że każdy dobry pentester zapyta o to, a każdy dobry biznes pomyślałby o przywróceniu po awarii na jakąś skalę. Z pewnością powinieneś mieć kopię zapasową w jakiejś formie w swoich systemach, aby móc przywrócić ją w razie potrzeby. Potrzebujesz tego nie tylko na wypadek, gdyby pentest zniszczył twoje dane, ale na wypadek, gdyby naprawdę zostałeś naruszony przez złoczyńców, w takim przypadku możesz chcieć przywrócić niezanieczyszczoną kopię zapasową.

Dość regularnie przeprowadzam testy penetracyjne w swoich witrynach.

Po pierwszym uruchomieniu zatrzymałem witrynę i zalałem serwer pocztowy spamem.

Wtedy przerobiłem kilka formularzy, aby pozbyć się spamu i pozwoliło to zidentyfikować i naprawić wszystkie inne znane dziury, bez zatrzymywania serwera.

Byłem szczerze zdumiony przebiegłością wyzyskiwaczy , Musiałem zatkać dziury, których nie brałem pod uwagę.

Ale przed uruchomieniem testów wydawało mi się, że moje strony są bezpieczne. Postępowałem zgodnie z najlepszymi praktykami, jeśli chodzi o projektowanie stron internetowych, ale nadal były problemy.

Teraz, patrząc z perspektywy czasu, doceniam, że testowanie może wpłynąć na moją witrynę produkcyjną.

Planuję więc z wyprzedzeniem.

Najpierw upewniam się, że wszystko jest zarchiwizowane.

Jeśli witryna jest naprawdę, naprawdę krytyczna, utworzę kompletny klon, a następnie najpierw przetestuj ten klon.

Z doświadczenia dowiedziałem się, że jeśli tworzysz klon, utwórz go na innym serwerze. W przeciwnym razie, gdy klon się zatrzyma, serwer nadal będzie wpływał na twoje środowisko produkcyjne.

Ale nadal przeprowadzam testy. Jak myślisz, w jaki sposób hakerzy uzyskują dostęp do witryn? Prawdopodobnie sami przeprowadzają takie testy w nieautoryzowany sposób. Tak więc dopóki Twoja witryna nie będzie chroniona, zawsze będzie podatna na ataki. O wiele lepiej jest najpierw wykonać testy, zachowując środki ostrożności (tworzenie kopii zapasowych itp.), Niż zbierać elementy, kiedy najmniej się tego spodziewasz.

Tak, jest to dopuszczalne, ale jest również przewidywalny i powinien być odpowiednio zarządzany.

Odpowiedź na Twój tytuł brzmi „Tak” i klient musi to wiedzieć!

To zastrzeżenie nie dotyczy CYA, jest to zamiast tego istotne informacje, których klient potrzebuje, aby się przygotować pentest. Nie jestem testerem pisaków, ale IMO nie powinno to być zakopane na ostatniej stronie drobnym drukiem, ale powinno znajdować się na pierwszej stronie umowy, z przodu i pośrodku i dużą, pogrubioną czcionką. Firma klienta musi przygotować się na coś złego - należy wykonać kopie zapasowe, stworzyć i wdrożyć plany przywracania, itp. Nieodpowiedzialne jest przekonanie klienta, że ​​test pióra jest wolny od ryzyka. Z definicji próbujesz wywołać niewłaściwe zachowanie, bez kontroli nad tym, jak daleko to zepsute zachowanie się rozszerza lub do jakiego stopnia.

Odpowiedzi na 3 pytania w treści Twojego posta to: (1) nie, ty nie może dać żadnych gwarancji co do kodu innych osób (2) ograniczona forma testowania za pomocą pióra może być wykonana bez CELOWEGO modyfikowania lub tworzenia danych (jeśli wykluczysz jakiekolwiek logowanie, które może wykonać aplikacja), ale wyniki nie będą kompletne, a na koniec 3) ZAWSZE powinieneś zamieszczać to zastrzeżenie - tak samo z korzyścią dla klientów, jak dla Ciebie.

Tester zasadniczo szuka luki do wykorzystania i nie może w żaden sposób zagwarantować, że nie znajdzie błędu które szkodzą. Rozważ typowe zastrzeżenie dotyczące oprogramowania w przypadku czegoś, co NIE jest przeznaczone do napotkania lub tworzenia błędów, a następnie zastanów się, że prawdopodobnie nie napisałeś kodu, który testujesz ...

Prawdopodobnie możesz to zapewnić tylko pod pewnymi warunkami. Oczywiście Pentest jest kompromisem między wieloma czynnikami, niektóre czynniki są bezpośrednio antagonistami dostępności systemu, a jednym z nich jest głębia analizy. Niektórzy ludzie mogą argumentować, że pentest bez wyzysku nie jest pentestem.

W przeszłości musiałem testować kilka systemów SCADA, które są dość znane ze swojej kruchości i zapewniam, że można dostroić większość narzędzi, aby były wystarczająco delikatne. Na przykład wyłączenie odcisku palca NMAP i zwiększenie opóźnienia między pakietami bardzo pomogło.

Jednak aby osobiście odpowiedzieć na twoje pytanie, NIGDY nie zgodzę się na umieszczenie klauzuli gwarantującej to mojemu klientowi. Daję mu moje słowo, ale z biznesowego punktu widzenia nie możesz być odpowiedzialny, jeśli ich aplikacja zepsuje się sama podczas twojego pentestu.

„Czy wykwalifikowany i profesjonalny pentester może zawsze zapewnić, że żadne dane nie zostaną usunięte lub zmodyfikowane podczas produkcji podczas pentestu?”

Nie.

„Czy naprawdę można przeprowadzić pentest, jeśli zespół pentestowy ma ograniczenie, że dane nie mogą być tworzone ani modyfikowane?”

Nie sądzę. .

„Czy pentestująca firma powinna zawsze dołączać klauzulę zrzeczenia się odpowiedzialności na wszelki wypadek?”

Umowa wewnętrzna będzie wyglądać znacznie inaczej niż umowa strony trzeciej umowa. Nie znam żadnej firmy zajmującej się testami piórkowymi, która nie ma między innymi ograniczeń ubezpieczenia odpowiedzialności cywilnej ...

Testy penetracyjne powinny być zgodne z metodologią, w której testy, które mogą spowodować szkody, są wykonywane tylko w scenariuszach nieprodukcyjnych, takich jak środowisko przejściowe lub laboratoryjne.

Prawdziwym problemem nie jest usuwanie ani modyfikacja danych, ponieważ testerzy mogą pozostawić te przypadki testowe w systemach nieprodukcyjnych. Prawdziwym problemem jest pozostawienie nowych danych, takich jak dzienniki błędów lub zbędne błędne pliki, które ujawniają poufne informacje, a nawet istnienie samego pentestu, w tym danych po stronie klienta testera penetracji.

Inny problem W testach penetracyjnych powszechne jest ujawnianie innych danych klientów, służbowej poczty e-mail lub zakładek przeglądarki podczas pokazów lub screencastów.