让我们说我认识一个道德黑客,我想雇用他来进行渗透测试,但信任是一个问题。我可以复制我的系统但是删除了敏感数据,并且让拥有它的公司无法追踪它吗?
如果仅保留结构和安全措施,是否可以通过黑客攻击来查看是否可以访问某些区域?我猜它可以和hackthissite.org上的'mission'类似地完成。然后,我可以被告知这些漏洞。测试网站会是什么样子?
它的公司真的完全无法追踪吗?这有多难?
答案 0 :(得分:1)
您通常无法为您的雇主网站分发代码。
但是,经过他们的许可,您可以做的是设置一个临时环境(大多数开发环境都应该有这些),从这个意义上说,您可以将相关人员指向该站点(没有真实数据)以便提供渗透测试。当然,它可能会限制其攻击有效性的范围,但通常不会如此,因为您已基本上说“攻击此Web基础结构”,并且他们看到的数据有点无关紧要(只要它具有相同的结构);暴露网站功能中的弱点的目的与数据无关。答案 1 :(得分:-1)
你可以这样做,但有细微差别。只需确保结构不会改变。也就是说,删除非行为程序并创建克隆并允许他仅对其进行测试。
但请记住,即使您删除了敏感数据,您仍然可能被黑客入侵。安全漏洞可能不依赖于行为,而是服务等(大多数情况下都是如此)。
测试人员很容易无法报告漏洞,并将其打开作为真实应用程序的后门。