我希望在托管我们网站的Azure App Service上运行Veracode的Dynamic Scan,它是一种自动笔式测试仪。术语https://security-forms.azure.com/penetration-testing/terms中有一个条款规定“运行常见的现成漏洞扫描程序时不需要Pentest表单提交。这些不需要预先确认。”。
Veracode的动态扫描是否算作“现成的漏洞扫描程序”?
答案 0 :(得分:1)
您不需要权限就可以在Azure资源上运行渗透测试,但是Microsoft确实存在DDOS攻击问题,可以将其作为笔测试的一部分。自2017年6月15日起,Microsoft不再需要预先批准即可针对Azure资源进行渗透测试。
您可以在Microsoft Pen Testing上阅读更多内容。
Microsoft还在自己的体系结构上运行了自己的Red Team Penetration测试,您可以搜索有关正在完成的测试的最新白皮书。
答案 1 :(得分:0)
笔测试可能会产生法律后果,因此您需要将此问题指向 MS Azure支持和Veracode,而不是中继“常识”的答案。
即使有人在过去有这方面的经验,也可以改变条件/要求。
要求MS许可将使您和您的网站更安全。
答案 2 :(得分:0)
您应该查看此页面:http://plnkr.co/edit/1EVs7R20pCffewrG0EmI?p=preview。
总之,您应该阅读条款和条件,看看您能做些什么。首先,您必须提前通知Microsoft,否则他们会认为您是攻击者。