Ciao, se cominci dicendo "sto facendo un PT" e poi chiedi se c'era bisogno di un permesso... direi che sei partito proprio #malemale. Se il sito è del tuo amico dovrebbe essere lui a prendere i contatti con il suo provider. Verosimilmente il tuo amico deve chiedere il permesso al provider (soprattutto se l'infrastruttura è condivisa con altri siti) e concordare le modalità e le tipologie di test (e.g. potrebbe dirvi di testarlo di notte per non avere disservizi e di non fare attacchi DoS ). Spesso i provider vogliono sapere da che indirizzo IP arrivano i test in modo da poter controllare e tracciare l'attività o mettere l'IP in whitelist sugli apparati di rete/WAF/etc... Inoltre tu sicuramente vuoi far firmare una manleva al tuo amico (e così a catena), qui [1] c'era qualche spunto tanto per capire come sono fatte, E' importante testare anche la parte infrastrutturale su dove risiede il sito, ma se sei interessato alla sola parte Web puoi sempre farti fare dal tuo amico una Virtual Machine con su il sito (o magari se è virtuale ti può dare uno snapshot che puoi far girare sulla tua macchina). Ovviamente non è la stessa cosa che testare il sistema in produzione ma sicuramente io valutarei questa opzione dato che ti velocizza e ti risparmia il paperwork.
[1] https://www.sikurezza.org/ml/04_03/msg00053.html Ciao, Gabriele Il giorno 27 ottobre 2014 18:18, Base79 <[email protected]> ha scritto: > Ciao a tutti Guru! Piacere conoscervi e Grazie in anticipo per le risposte > che fornirete! > > la questione che vorrei proporvi è la seguente: > Sto facendo un PT da esterno (accesso da internet) su un sito web di un > amico per verificarne e per smanettare un po'. > > In un ottica di Ethical hacking devo richiedere l'autorizzazione a qualche > autorità: Polizia Postale? Provider che ospita il sito? ecc? Oppure possono > muovermi in autonomia senza rischiare nulla? > > Grazie > Ciao > Base79 > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > >
