Κατ' αρχάς να ζητήσω συγγνώμη για την αρκετά αργοπορημένη απάντηση... αλλά μιας που τώρα έτυχε να μπω μετά από πολύ καιρό και είδα ένα post like this να έχει... επιβιώσει από τις 26/12/2008 και μάλιστα χωρίς ούτε μια απάντηση με βάζει σε υποψίες...
1. Μπορεί κανείς να μην ενδιαφέρεται για security.
2. Μπορεί κανείς να μην ενδιαφέρεται για penetration Test στο συγκεκριμένο site.
Έστω... ας είναι κι έτσι. Υπάρχουν όμως και μερικά άλλα... θεματάκια:
Φίλε Γιώργο Παπαδημητρίου, δεν έχω κάτι personal... απλά μου φαίνεται λίγο περίεργο το post σου... και επέτρεψε μου να εκφράσω τις υποψίες μου γραπτώς:
Με "ξένισε" κάπως το γεγονός οτι κανένας admin δεν έσβησε ή δεν κλείδωσε ή έστω (βρε αδελφέ) δεν σχολίασε το συγκεκριμένο post.
Και εξηγώ:
1. Πως ζητάει κάποιος να κάνουμε pen test στο site του? Με την ίδια ακριβώς λογική θα μπορούσα να ζητήσω να το εξής:
"
Παιδιά, μόλις ξεκινησα με μια ομάδα φίλων ένα καινούριο site. Αν είστε μάγκες "ρίχτε" το. Βρίσκεται εδώ: www.microsoft.com... "
Εντάξει, μπορεί το συγκεκριμένο site να ανήκει πράγματι στον Κο Παπαδημητρίου?
Εγώ όμως που το ξέρω?
Γνωρίζετε αν είναι παράνομο το pen test σε sites που δεν έχετε εξουσιοδότηση για κάτι τέτοιο?
Αν ο ιδιοκτήτης του site είναι άλλος και σας "πετάξει" ένα εξώδικο... ποιός να σας καλύψει?
2. Κύριε Παπαδημητρίου λέτε: "
...XSS, SQL injection (και οτιδήποτε άλλο υπάρχει)..."
Προφανώς αναφέρεστε σε τεχνικές επιθέσεων. Τι θα λέγατε αν κάποιος δοκίμαζε ένα πολύ απλό Denial Of Services Attack και γονάτιζε όλο τον server στον οποίο βρίσκεστε? Και καλά να είναι dedi server που το κακό θα αφορά μόνο εσάς, αν όμως (πράγμα πολύ πιθανόν) σας φιλοξενεί (hosting) κάποια εταιρία μαζί με καμιά 200αριά άλλα sites στον ίδιο server, δεν θα έλεγα οτι όλοι αυτοί θα σημερίζονταν την ανάγκη σας για επίδειξη robusteness. Φαντάζομαι θα συμφωνείτε με αυτό!
Επίσης, σε μια τέτοια περίπτωση αν η εταιρία hosting εκινήτο νομικά εναντίον σε αυτόν που έκανε την επίθεση, εσείς πως θα τον καλύπτατε? Μάλλον δεν θα τον καλύπτατε καθόλου και ίσως κάνατε οτι δεν γνωρίζετε το θέμα... για να γλυτώσετε την ηθική αυτουργία.
3. Αυτό που ζητάτε δεν είναι τόσο απλό όσο φαίνεται. Pen Test μπορείτε να κάνετε μόνο στον δικό σας server. Επιστρέψτε μου να σας δώσω ένα παράδειγμα:
Ας δεχτώ οτι το site σας είναι πολύ γερό και αντέχει... λέμε τώρα...
Απ' οτι βλέπω είσαστε σε ένα μόνο domain (καλό αυτό από πλευράς security) με hosting εδώ:
http://www.hostcollective.com/ . Πολύ πιθανόν να είναι jailed μαζί με κάποια άλλα sites. Πως ξέρετε οτι τα sites αυτά είναι το ίδιο "γερά" με το δικό σας? Γνωρίζετε οτι σε ένα hosting server ισχύει το ρητό: "Η αλυσίδα είναι τόσο δυνατή όσο ο ασθενέστερος κρίκος της...".
Μην προκαλέιτε λοιπόν μιας και μπορεί να την "φάτε" από εκεί που δεν το περιμένετε... Δεν θα ήθελα να επεκταθώ περισότερ εδώ, o νοών νωείτο.
4. Υπάρχουν ειδικά έτοιμα εργαλεία για αυτό που θέλετε... Μερικά από αυτά είναι: Nessus, Nikto, Metasploit κλπ. google it αν ενδιαφέρεστε... θα μάθετε πολλά.
3. Τέλος...το pen test είναι επάγγελμα και πωλείται στο εξωτερικό... Εδώ πολλοί το θέλουνε... τσάμπα. Ok... δικαίωμα τους! Δεν είναι σωστό όμως (πάντα κατά την γνώμη μου) να ζητάει κάποιος κάτι τέτοιο χωρίς να συνυπολογίσει τις συνέπειες.
thnx for... Reading
Nothing to declare...