购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

0.4 限制和排除

在没有特定授权文件规定的情况下,测试人员应默认不执行拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击。从经验来看,此类攻击的授权执行情况实属罕见。当获得DoS攻击授权时,通常会在正式文件中明确说明。此外,除非特定项目需求,渗透测试与社会工程学实践通常相互独立。同时,在渗透测试中,应始终检查你是否可以使用社会工程学攻击(如语音网络钓鱼、短信网络钓鱼)的可行性。

在默认情况下,漏洞赏金计划都不会接受针对社会工程学攻击、DoS或DDoS攻击、攻击客户以及访问客户数据的尝试。在特定情况下,当允许对用户实施攻击时,通常建议采取创建多个账户的策略,并在适当的时间对自身的测试账户展开攻击。

此外,部分程序或客户可能会详细阐述已知的问题。API的某些方面可能被视为安全问题,但也可能是为了提供便利而设的功能。例如,密码找回功能可能会展示一条信息,告知终端用户其电子邮件地址或密码是否错误。然而,这一功能也可能赋予攻击者暴力破解有效用户名和电子邮件地址的权限。组织可能已决定接受这一风险,并不愿对其进行修正。

请在合同中的任何排除或限制方面保持谨慎。针对API,程序可能允许测试特定部分,同时可能限制某些路径。例如,银行API提供商可能与第三方共享资源,未经授权不允许测试。因此,他们可能会明确指出可以攻击 /api/accounts端点,但禁止攻击/api/shared/accounts。或者,目标的身份验证过程可能通过未被授权攻击的第三方进行。你需要密切关注测试范围,以便进行合法的授权测试。

0.4.1 安全测试云API

现代Web应用程序普遍部署在云端。针对云端Web应用程序的攻击,实质上是对云服务提供商物理服务器(如亚马逊、谷歌或微软等)的攻击。各个云服务提供商均具有独特的渗透测试条款和服务,了解这些条款和服务至关重要。截至2021年,云服务提供商普遍对渗透测试人员持友好的态度,且很少需要授权申请。然而,部分云端Web应用程序和API(如组织使用的Salesforce API)可能需要获取渗透测试授权。

在展开攻击之前,务必充分了解目标云服务提供商的现行规定。以下是对若干主流提供商政策的具体阐述。

● 亚马逊网络服务(AWS):至撰写本书时,AWS允许客户执行多种安全测试,但DNS区域遍历、DoS或DDoS攻击、模拟DoS或DDoS攻击、端口洪泛、协议洪泛及请求洪泛等除外。针对此类特殊情况,客户需通过电子邮件联系AWS申请测试权限。若申请例外情况,请确保提供测试日期、涉及账户、资产、联系电话以及拟议攻击描述。

● 谷歌云平台(GCP):谷歌明确表示,客户可自行执行渗透测试,无须申请许可或通知公司。然而,客户需遵守可接受使用政策(AUP)和服务条款(TOS),并在授权范围内开展活动。AUP和TOS禁止非法行为、钓鱼、垃圾邮件、分发恶意或破坏性文件(如病毒、蠕虫和木马),以及对GCP服务的中断。

● 微软Azure:微软采用友好型黑客策略,无须在测试前通知公司。同时,微软设有“渗透测试规则”页面,详细说明允许进行的渗透测试类型。当前,云服务提供商对渗透测试活动持积极态度。只要客户了解提供商条款,合法攻击授权目标,并避免导致服务中断的攻击,即可顺利进行渗透测试。

0.4.2 DoS测试

先前的论述中强调了DoS攻击普遍而言是不能被接受的。在与客户进行合作时,需充分了解他们对潜在风险的承受能力。将DoS测试视为一项可供希望评估其基础设施性能和可靠性的客户选择的服务。否则,便与客户协同探讨,了解他们所能接受的限度。

DoS攻击对API安全构成重大威胁。无论是故意还是无意引发的DoS攻击,都将破坏目标组织所提供的服务,导致API或Web应用程序无法访问。这种未经计划的业务中断往往成为组织寻求法律救济的导火索。因此,务必确保仅实施经授权的测试!

最终,客户是否将DoS测试纳入评估范围,取决于组织的风险承受能力,即在实现组织目标的过程中,组织愿意承担的风险程度。理解组织的风险承受能力有助于制定针对性强的测试方案。倘若某一组织位居行业前列,且对自身安全性充满信心,则其可能具备较高的风险承受能力。为高风险承受能力量身定制的项目,将涵盖连接的各功能并实施所需的各类攻击。而风险规避的另一极端则是那些行事谨慎的组织。针对这类组织的评估项目,必须要如履薄冰、小心翼翼。此类项目在评估范围中将充满细致入微的细节,即把所有可能遭受攻击的设备都明确列出,并在实施某些攻击前征求许可。 kpN0AhkhePHw3JLB0VxpvCr59rF2YIbLiU2G+xM92TBAV6HI8sh/G4z0bFSJ3c6G

点击中间区域
呼出菜单
上一章
目录
下一章
×