web-dev-qa-db-ja.com

銀行機関における倫理的なハッキング要件

銀行から倫理的ハッキングの調査を行う必要がある場合は、自分の銀行口座を使用するか、銀行に口座を要求するか、新しい口座を開設して送金し、送金して口座を作成するか、「テスト」します。エリア」より現実的な可能性?銀行がサイドチャネル攻撃テストを実行しなければならない可能性のあるすべてのカードを要求する必要がありますか?

私はハッカーではありませんし、研究をするつもりもありません。実際の生活でどうなるか知りたいだけです。

1
Vector

私が理解している限り、問題は、自分の「実際の」アカウント、新しく作成されたアカウント、または銀行が提供するテストアカウントのどれを使用するかということです。

私の経験から、どの企業も侵入テストを行う際の潜在的な影響を制限したいと考えています。したがって、本番システムを攻撃し始めた場合、彼らはおそらく満足しないでしょう。一部のサーバーがクラッシュしたり、ユーザー名などを強引に使用しているために数百人のユーザーがアカウントからロックアウトされた場合にどうなるか想像してみてください。

ペネトレーションテストを行いたい場合は、教育機関のサポートを受けて、可能な場合はテスト環境にアクセスしてください。はい、これは「実際の」システムと同じではありませんが、おそらく両方の危険性は少ないでしょう。そして、あなたはトラブルに巻き込まれたくないですよね? ;-)

1
Lukas

あなたが説明しているのは侵入テストです。通常、これは、企業がセキュリティをテストし、実際の攻撃の専門家の意見を聞きたいときに行われます。また、企業が特定の認証を維持するために、侵入テストが実際に必要になる場合もあります。

ペネトレーションテストが行​​われる場合、通常はサードパーティ企業間で行われ、1人ではなくテストを実行するチームが含まれます。両社は、どの領域をテストするか、どの領域を回避するか、テストで問題が発生した場合の責任など、テストの範囲について合意します。

この裏付け、法的合意、および彼らが何をしているかについての知識がなければ、誰も金融機関で「調査」を行うべきではありません。これを一人で行おうとすると、大きな損害を与える可能性があり、いくつかの法律に違反する可能性が非常に高くなります。

ペネトレーションテストについて詳しく調べてください。それは全体のキャリアです。

0
Daisetsu