我想创建一家渗透测试公司,我已经拥有该网站(以html,css和PHP创建)
网站所有者/系统管理员想要雇用我的笔试,可以通过邮件与我联系。他不得不说他拥有的网站,并希望得到我的测试。
但有一个问题
如果somone声称自己是www.example.com的所有者,但他不是我测试的,那么实际所有者并没有给我许可,这是非法的。 如果我将报告中的漏洞报告给声称是网站所有者的人,那么他就可以向真正的所有者发送邮件,并且他可以像发现错误一样行事。
那我怎么能防止这种情况发生呢? (顺便说一句:来自我公司的网络渗透测试"费用约为50-100欧元,非常便宜)
我应该要求网站文件作为身份验证吗? (包括服务器端文件,因为只有网站所有者才能访问服务器端文件,如PHP)
提前致谢
答案 0 :(得分:0)
这不是一个编程问题,而是一个有趣的问题。
您可以要求网站所有者将某些特定文件放入网站目录,因此可以通过网络浏览器直接访问它来访问它。
您还可以创建一个自动执行此过程的客户端软件,并确保重定向规则不会阻止对此测试文件的访问。 基本上,这就是让我们加密ACME挑战的方式。