侵入テストを行うために雇いたい倫理的なハッカーを知っていたとしましょうが、信頼が問題でした. システムを複製して機密データを削除し、それを所有している会社が追跡できないようにすることはできますか?
構造とセキュリティ対策だけが残っている場合、この複製をハッキングして、特定の領域にアクセスできるかどうかを確認できますか? hackthissite.org の「ミッション」と同じようにできると思います。その後、エクスプロイトについて通知を受けることができました。テストサイトはどのように見えますか?
それは実際にその会社まで完全に追跡できないのでしょうか? これはどれほど難しいでしょうか?
通常、雇用者サイトのコードを配布することはできません。
ただし、彼らの許可があれば、ステージング環境をセットアップすることができます (ほとんどの開発環境にはこれらが必要です)。その意味で、侵入テストを提供する目的で、関連する人々をそのサイト (実際のデータなし) に向けることができます。 . もちろん、それは彼らの攻撃の有効性の範囲を制限するかもしれませんが、一般的にはそうではありません。なぜなら、あなたはすでに基本的に「この Web インフラストラクチャを攻撃する」と言っているからです。同じ構造); これは、データに依存しないサイト機能の弱点を明らかにすることを目的としています。
あなたはそれを行うことができますが、ニュアンスがあります. 構造が変更されていないことを確認してください。つまり、非行動手順を削除してクローンを作成し、それのみをテストできるようにします。
ただし、機密データを削除しても、ハッキングされる可能性があることに注意してください。セキュリティ上の欠陥は、動作に依存するのではなく、サービスなどに依存する可能性があります (ほとんどの場合)。
テスターは簡単に脆弱性を報告せず、これを実際のアプリケーションへのバックドアとして開いたままにしておくことができます。