对想要雇用我们进行渗透测试的人进行身份验证
Authentication of someone who wants to hire us for a penetration test
我想创办一家渗透测试公司并且我已经有了网站(创建于 html、css 和 PHP)
想要雇用我进行渗透测试的网站所有者/系统管理员可以通过邮件与我联系。他不得不在他拥有的网站上说要让我测试。
但是有一个问题
如果有人声称是 www.example.com 的所有者但他不是,而我测试了它,那么实际所有者没有给我许可,这是非法的。
如果我将包含漏洞的报告提供给自称是网站所有者的人,那么他只需向真正的所有者发送邮件,他就可以表现得像发现了漏洞一样。
那么我该如何防止这种情况发生呢? (顺便说一下:我的 "company" 的网络渗透测试费用约为 50-100 欧元,非常便宜)
我应该要求网站文件作为身份验证吗? (包括服务器端文件,因为只有网站所有者才能访问服务器端文件,例如 PHP)
提前致谢
这不是真正的编程问题,而是一个有趣的问题。
您可以要求网站所有者将一些特定文件放到网站目录中,这样就可以通过直接在网络浏览器中请求来访问它。
您还可以创建一个客户端软件来自动执行此过程,并确保对该测试文件的访问不会被重定向规则阻止。
基本上,这就是 Let's Encrypt ACME 挑战赛的运作方式。
看看这个 link - https://letsencrypt.org/how-it-works/
我想创办一家渗透测试公司并且我已经有了网站(创建于 html、css 和 PHP)
想要雇用我进行渗透测试的网站所有者/系统管理员可以通过邮件与我联系。他不得不在他拥有的网站上说要让我测试。
但是有一个问题
如果有人声称是 www.example.com 的所有者但他不是,而我测试了它,那么实际所有者没有给我许可,这是非法的。 如果我将包含漏洞的报告提供给自称是网站所有者的人,那么他只需向真正的所有者发送邮件,他就可以表现得像发现了漏洞一样。
那么我该如何防止这种情况发生呢? (顺便说一下:我的 "company" 的网络渗透测试费用约为 50-100 欧元,非常便宜)
我应该要求网站文件作为身份验证吗? (包括服务器端文件,因为只有网站所有者才能访问服务器端文件,例如 PHP)
提前致谢
这不是真正的编程问题,而是一个有趣的问题。
您可以要求网站所有者将一些特定文件放到网站目录中,这样就可以通过直接在网络浏览器中请求来访问它。
您还可以创建一个客户端软件来自动执行此过程,并确保对该测试文件的访问不会被重定向规则阻止。 基本上,这就是 Let's Encrypt ACME 挑战赛的运作方式。
看看这个 link - https://letsencrypt.org/how-it-works/