Сбор информации

Услуги пентест сканирование сайтов, тонкие моменты договора

вовсе не


Нужно понимать, что тестирование на проникновение при успешной атаке предполагает неосознанный (по неосторожности) доступ к конфиденциальной информации (коммерческой тайне), в том числе и к данным, защищаемые законом о ПДн, и к данным, составляющим банковскую тайну (когда мы говорим про тестирование на проникновение в банковском секторе).

Под неосознанным доступом к данным следует понимать, что в момент анализа информации при эксплуатации различного рода уязвимостей, не всегда возможно однозначно сделать вывод о полезности этой информации для планирования дальнейших действий проведения атаки. сис защиты баз данных Например, файл с именем


Пример: $t.docx, хранящийся в каталоге Temp на компьютере системного администратора, может содержать в себе как информацию об информационной системе (имена пользователей и пароли в отрытом виде, список информационных ресурсов и т.д.), которая позволит спланировать дальнейшие действия проведения атаки, так и информацию, являющуюся коммерческой тайной обследуемой компании.

Другой пример. При проведении тестирования на проникновение в корневой директории Web-сервера обнаружен файл users.zip. сис безопасности сервера данных Логично предположить, что хакер скачает этот файл в надежде, что в нем содержится информация, которая позволит спланировать дальнейшую атаку.

На практике в этом файле может содержаться вовсе не список пользователей, а конфиденциальные данные, которые не имеют никакого отношения к дальнейшему пентесту.

Потому и заключаются соглашения о конфиденциальности и о неразглашении полученной информации между компаниями, предоставляющими услуги тестирования на проникновение, и компаниями, заказчиками сканирования сайтов и систем.

С другой стороны, в зависимости от организации самого тестирования на проникновение, многие действия пентестера могут быть строго регламентированы, например, в случае тесного взаимодействия со службой управления ИБ компанией заказчика в процессе проведения работ (получен доступ туда-то, можно провести то-то?).


Запишем функцию GetHTTPCRL в произвольный файл с расширением vbs. При повторном обращении к этому файлу никаких проблем не наблюдается. Удалим все комментарии из этого сценария (все строки, начинающиеся с символа одинарной кавычки) и сохраним его.

Попытаемся вновь обратиться к этому файлу. И что мы видим?
То есть, сценарий приобрел свойство вредоносности только из-за того, что в нем отсутствуют комментарии.

Похожие статьи Pentest

  • Пентест стоимость

    Вчера товарищество специалистов по ИБ RISC (www.risc.today) провело вебинар совместно с Иваном Новиковым (ONSec) « Тестирование на проникновение :...

  • Услуга пентест безопасности для сайтов

    Пентест ( Тестирование на проникновение ) это сервис на сайте, который предлогает индивидуальный план тестирования Вашего сайта на безопасность. 1)...

  • Тестирование на проникновение или пентест

    При проведении аудита безопасности сайта есть несколько видов сбора и оценки информации. сканирование сайта на уязвимости Наиболее популярным во всём...

  • Комплексный тест на проникновение

    Тестирование на проникновение ( penetration testing ) метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки...

  • Пентест стоимость

    Вот теперь Фрилансеру и пригодились все его знания принципов веб-безопасности. Даром не прошли ни чтение профильного хаба, ни многочисленные статьи из...