Non c'è modo che un pentester possa garantire al 100% che i dati non verranno modificati o eliminati, nello stesso modo in cui non può garantire che la disponibilità del sistema non sarà influenzata (ho rovesciato i sistemi con una porta scansione o un singolo carattere). come dici tu, un web crawler può eliminare i dati da un sistema se è stato impostato male.

Direi che ciò che dovrebbe essere detto è qualcosa del tipo "sarà prestata ogni attenzione per garantire che il test non influisce negativamente sui sistemi in esame e non verrà effettuato alcun tentativo deliberato di modificare o eliminare i dati di produzione o di influire negativamente sulla disponibilità dei sistemi nell'ambito. Tuttavia, con tutti i test di sicurezza esiste il rischio che i sistemi ne siano interessati e il cliente dovrebbe garantire che siano presenti backup di tutti i dati e sistemi prima dell'inizio della revisione "

Un pentester che afferma che mai altererà i dati di produzione o è un schifoso bugiardo , o pensa di essere molto più competente di quanto non sia in realtà, o fortemente non intende fare assolutamente nulla (questo è l'unico modo sicuro per non rompere mai nulla). In ogni caso, non vuoi lavorare con quel ragazzo.

Un potenziale cliente che crede che i pentesteri esperti non danneggeranno mai i sistemi testati e che si rifiuta di lavorare con i pentesteri a meno che non promettano esattamente questo, è un cliente che 1. vive nel mondo dei sogni dell'unicorno fatato e 2. è quasi garantito che farà affari solo con bugiardi sporchi. Ad un certo punto è disilluso, probabilmente in un modo piuttosto spettacolare.

È un imperativo morale e anche una auto-protezione di base per pentesters per includere clausole su possibili rotture nei loro contratti. Il rischio di danno collaterale è reale, anche se il pentester è molto bravo in quello che fa (perché il danno non deriva da quanto è buono il pentester ma da quanto è stato progettato il sistema testato e implementato ). Un pentester potrebbe essere citato in giudizio per non aver avvertito il cliente.

Un cliente che rifiuta un contratto con una tale clausola ha un altro nome: "guai". Di solito è meglio ignorare del tutto questi clienti.

Avvertenza: non sono un pentester professionista. E lavoro nel software di backup.

Un pentester esperto e professionale può sempre assicurare che nessun dato verrà cancellato o modificato in produzione durante un pentest?

Direi di no, non ci sono garanzie assolute che qualcosa non verrà cancellato accidentalmente quando si tenta di rompere le cose. Tuttavia, detto questo, un pentester dovrebbe generalmente provare a sfruttare i sistemi in un modo che non implichi l'eliminazione dei dati. Ad esempio, mentre l'istruzione SQL preferita da tutti è:

  select * from users where userid = 'dave'; ELIMINA TUTTE LE TABELLE;  

Un approccio più responsabile sarebbe semplicemente elencare tutti i dati:

  seleziona * dagli utenti dove userid = '2' OR 1 = 1;  

In generale, immagino che la maggior parte dei pen tester abbiano sviluppato una serie di exploit della varietà non distruttiva come quest'ultima.

L'iniezione di Javascript nelle sue varie forme può utilizzare un semplice codice proof of concept come alert ("exploited you"); piuttosto che un vero e proprio codice exploit.

Si può davvero fare un pentest se il team pentest ha la limitazione che i dati non possono essere creati né modificati?

Direi di no. Come mostreresti una prova di concetto di XSS archiviato senza essere in grado di memorizzare il tuo XSS nel database? Questo invariabilmente creerà nuovi dati.

Ci sono numerosi esempi in cui un exploit richiede la scrittura di dati, anche se solo temporaneamente.

La società pentesting dovrebbe sempre includere la clausola di esclusione di responsabilità per ogni evenienza?

Ancora una volta, sto estendendo la mia conoscenza personale qui, ma dirò sì.

Questo però torna al punto centrale di assumere una società di test penne in primo luogo, comunque. Lo scopo di un pen test è identificare i rischi che potrebbero richiedere una valutazione e risolverli prima che i cattivi li trovino.

Spero anche che qualsiasi buon pentestro chieda, e qualsiasi buona azienda abbia pensato, al ripristino di emergenza su una certa scala. Sicuramente dovresti avere un backup di qualche forma sui tuoi sistemi in modo da poterlo ripristinare se necessario. Hai bisogno di questo non solo nel caso in cui il pentest ti distrugga i dati, ma nel caso in cui sei veramente violato dai cattivi, nel qual caso potresti volere un backup non contaminato su cui eseguire il rollback.

Eseguo test di penetrazione abbastanza regolarmente sui miei siti.

La prima volta che ne ho eseguito uno, ho bloccato il sito e ho inondato il loro server di posta con spam.

Allora ho tweek alcuni moduli, per sbarazzarsi dello spam e ha permesso di identificare e correggere tutti gli altri buchi noti, senza fermare il server.

Sono stato francamente stupito dalla tortuosità degli sfruttatori , Ho dovuto tappare buchi che non avevo considerato.

Ma il fatto era che, prima di eseguire i test, pensavo che i miei siti fossero sicuri. Avevo seguito le migliori pratiche, per quanto possibile, per la progettazione del sito web, ma c'erano ancora problemi.

Ora, con il senno di poi, apprezzo che i test possano influire sul mio sito di produzione.

Quindi pianifico in anticipo.

Mi assicuro che venga prima eseguito il backup di tutto.

Se il sito è davvero, davvero critico, creerò un clone completo, quindi prima prova quel clone.

Ho imparato per esperienza che se crei il clone, crealo su un server diverso. Altrimenti, quando il clone si ferma, il server continuerà a influenzare il tuo ambiente di produzione.

Ma continuo a eseguire i miei test. Come pensi che gli hacker abbiano accesso ai siti? Presumibilmente eseguono essi stessi test come questi, in modo non autorizzato. Quindi, finché il tuo sito non sarà protetto, sarà sempre vulnerabile. È molto meglio fare prima i test, con le precauzioni (backup ecc.) In atto, piuttosto che dover raccogliere i pezzi quando meno te lo aspetti.

Quindi, sì, è accettabile, ma è anche prevedibile e dovrebbe essere gestito di conseguenza.

La risposta al tuo titolo è "Sì" e il cliente deve saperlo!

Questa esclusione di responsabilità non è un caso di CYA, è invece un'informazione vitale di cui il cliente ha bisogno per prepararsi il pentest. Non sono un tester di penna, ma IMO questo non dovrebbe essere sepolto nell'ultima pagina in caratteri piccoli, ma dovrebbe essere a pagina 1 del contratto, davanti e al centro e in un grande carattere in grassetto. L'azienda cliente deve prepararsi affinché le cose vadano male: è necessario eseguire i backup, creare e mettere in atto piani di ripristino, ecc. Lasciare che il cliente creda che un pen test sia privo di rischi è irresponsabile. Per definizione stai tentando di innescare un comportamento scorretto, senza alcun controllo su quanto si estenda o si estenda quel comportamento rotto.

Le risposte alle 3 domande nel corpo del tuo post sono: (1) no, tu non può fornire alcuna garanzia sul codice di altri (2) una forma limitata di test della penna potrebbe essere eseguita senza modificare o creare intenzionalmente dati (se si esclude qualsiasi registrazione che l'app potrebbe eseguire) ma i risultati non sarebbero completi e infine ( 3) dovresti SEMPRE includere questo disclaimer, tanto per i clienti che per i tuoi.

Il tester sta fondamentalmente cercando un difetto da sfruttare e non può in alcun modo garantire che non troverà un difetto che fa danno. Considera una tipica declinazione di responsabilità relativa al software per qualcosa che NON ha lo scopo di incontrare o creare difetti, quindi considera che probabilmente non hai scritto il codice che stai testando ...

Probabilmente puoi assicurarlo solo a determinate condizioni. Ovviamente Pentest è un compromesso tra molti fattori, alcuni sono direttamente antagonisti alla disponibilità del sistema e uno di questi è la profondità della tua analisi. Qualcuno potrebbe sostenere che un pentest senza sfruttamento non sia un pentest.

In passato ho dovuto reprimere alcuni sistemi SCADA che sono abbastanza famosi per la loro fragilità e posso assicurarti che è possibile sintonizzarne la maggior parte degli strumenti per essere abbastanza delicati. Ad esempio, disabilitare l'impronta digitale NMAP e aumentare il ritardo tra i pacchetti ha aiutato molto.

Tuttavia, per rispondere alla tua domanda, personalmente, MAI accetterò di mettere una clausola per garantirlo a un mio cliente. Gli darò la mia parola, ma dal punto di vista degli affari non puoi essere responsabile se la loro domanda si interrompe da sola durante il tuo pentesto.

"Un pentestista esperto e professionale può sempre assicurare che nessun dato verrà cancellato o modificato in produzione durante un pentest?"

No.

"Si può davvero fare un pentest se il team pentest ha il limite che i dati non possono essere creati né modificati?"

Non credo. .

"La società pentesting dovrebbe sempre includere la clausola di esclusione di responsabilità per ogni evenienza?"

Un accordo interno avrà un aspetto molto diverso da quello di una terza parte accordo. Non conosco nessuna compagnia di pen test che non abbia limitazioni di assicurazione di responsabilità, tra le altre protezioni ...

I test di penetrazione dovrebbero seguire una metodologia in cui i test che possono causare danni vengono eseguiti solo in scenari di non produzione, come un ambiente di staging o di laboratorio.

Il vero problema non è l'eliminazione o la modifica dei dati perché i tester possono lasciare questi casi di test a sistemi non di produzione. Il vero problema è lasciare nuovi dati, come log degli errori o file errati superflui che rivelano informazioni riservate, o persino l'esistenza del pentest stesso, compreso il materiale di dati lato client del penetration tester.

Un altro problema prevalente nei test di penetrazione è la rivelazione di altri dati della clientela, email di lavoro o segnalibri del browser durante demo o screencast.