Hosting Service Kontakt für PenTests?
Angenommen man möchte den Hosting Service der jeweiligen WebSite nach Erlaubnis Fragen kleine automatische Scans wie nmap oder oder auch größere wie nikto auszuführen. Wie ist es bei Hosting Services der verschiedenen Größenordnung wie zb. AWS/GoogleCloud , Strato/1&1 & kleinere Hoster. Bei kleineren Firmen kann man sicherlich mit diesen in Kontakt treten. Wie ist es bei Aws oder Strato. Wie geht man da am besten bei beauftragten Penetration Tests um?
4 Antworten
Du meinst also du machst bei einem Kunden von Strato Hosting einen PenTests ?
Also für die Netzwerksicherheit solltest Du nicht zuständig sein sondern der Anbieter . Dann musst Du den Anbieter fragen ob Du das überhaupt darfst . Könnte gut sein das andere Services davon betroffen sind und es dann mehrere Kunden betrifft .
Ausserdem garantieren die ja für ihren service , kannst ja auch nicht einfach prüfer in irgendeine firma schicken nur um zu gucken ob die dir gerecht werden .
Du kannst Dir die Mühe sparen. Weder Strato, noch 1&1 oder gar Google, Amazon oder Microsoft haben Bedarf an Pentests. Das können die selbst oder sie haben fähige Dienstleister mit langjähriger Erfahrung. Ein nmap oder auch nikto ist als Penetration Test nicht ernstzunehmen, das macht bei den Großen der Praktikant in der Frühstückspause.
Du solltest lernen, Deine Frage unmissverständlich zu formulieren.
Du musst unterscheiden zwischen Kunden, die einen eigenen Server gemietet haben, und Kunden, die einen virtualisierten Server oder gar Shared Hosting (also nur einen vHost eines Webservers) gemietet haben. Bei letzteren würdest Du eventuell auch die Infrastruktur des Hosters angreifen. Das wird niemand zulassen. Alles, was unterhalb der Applikation ansetzt, fällt also weg, ebenso Dinge, die die Performance beeinflussen.
Simple Dinge wie Nikto gehen nur gegen den Webserver bzw. vHost. Hier gibt es keine Performance-Probleme. Da gibt es dann eine Adresse im Impressum, die Du kontaktieren kannst. Dinge, für die Du die Zustimmung des Hosters benötigen, kannst Du gleich vergessen. Die werden Dir auf die Finger klopfen.
Ok, ich hab das einigermaßen verstanden danke, was sind jetzt jedoch die Merkmale wann ich Penetration Tests, nur durch Zustimmung des Kunden vom Host der die Website gehört, machen kann? Das habe ich leider noch nicht ganz verstanden. Angenommen man checkt auf xss sql pipapo, bei aws Servern darf man das, auch ohne aws zu kontaktieren. Kannst du mir das nochmal erklären wann genau ich sowas zb bei Strato und 1&1 bei Webseiten von Kunden machen darf?
Ich kann Dir hier keine rechtlich verbindlichen Auskünfte geben. Problematisch wird es auf jeden Fall, wenn man die Zielmaschine außergewöhnlich belastet und es zu Performance-Problemen kommen könnte. Die Kunden sollten zwar bezüglich Prozessorlast/Scriptlaufzeiten/Speichernutzung voneinander entkoppelt sein, aber man weiß ja nie. Ich kann Dir hier jedoch nicht detailliert sagen, was Du darfst und was Du nicht darfst.
Man stellt die Anfrage und wartet..
Weiß nicht, was erwartest du denn?
Ja, was erwartest du denn?
Wenn du keine Erlaubnis bekommst oder mit niemandem in Kontakt treten kannst, dann darfst du auch keinen Penetrations-Test durchführen, weil das dann ein Angriff auf das Netzwerk darstellt.
Wenn das deine eigene Infrastruktur ist, bittesehr.
Dies ist keine richtige Antwort, ich kenne die Antoqrt nur teilweise und bin mir unsicher, aber das hier was du schreibst trifft kaum zu.
"Weiß nicht, was erwartest du denn?"
Wie wärs, wenn du mal deine Anfrage spezifizierst?
Das ist keine richtige Anfrage, ich kenne die Anfrage nur teilweise, aber deine Anfrage trifft kaum zu.
Die werden sich totlachen und deine Anfrage entweder unkommentiert lassen, oder es dir ausdrücklich verbieten.
Vergiss es!
Das hat bei weitem meine Frage verfehlt. Auch wenn meine Frage nicht die ausführlichste ist, bis du sehr voreingenommen rein gegangen muss ich leider sagen. Meine Frage war auf die Website des Kunden von Strato bezogen, ob man da solche Tools benutzen darf seitens Strato, wenn man halt die website des Kunden checken will.