编程/黑客

时间:2011-03-01 01:29:36

标签: security penetration-testing

让我们说我认识一个道德黑客,我想雇用他来进行渗透测试,但信任是一个问题。我可以复制我的系统但是删除了敏感数据,并且让拥有它的公司无法追踪它吗?

如果仅保留结构和安全措施,是否可以通过黑客攻击来查看是否可以访问某些区域?我猜它可以和hackthissite.org上的'mission'类似地完成。然后,我可以被告知这些漏洞。测试网站会是什么样子?

它的公司真的完全无法追踪吗?这有多难?

2 个答案:

答案 0 :(得分:1)

您通常无法为您的雇主网站分发代码。

但是,经过他们的许可,您可以做的是设置一个临时环境(大多数开发环境都应该有这些),从这个意义上说,您可以将相关人员指向该站点(没有真实数据)以便提供渗透测试。当然,它可能会限制其攻击有效性的范围,但通常不会如此,因为您已基本上说“攻击此Web基础结构”,并且他们看到的数据有点无关紧要(只要它具有相同的结构);暴露网站功能中的弱点的目的与数据无关。

答案 1 :(得分:-1)

你可以这样做,但有细微差别。只需确保结构不会改变。也就是说,删除非行为程序并创建克隆并允许他仅对其进行测试。

但请记住,即使您删除了敏感数据,您仍然可能被黑客入侵。安全漏洞可能不依赖于行为,而是服务等(大多数情况下都是如此)。

测试人员很容易无法报告漏洞,并将其打开作为真实应用程序的后门。