web-dev-qa-db-ja.com

PT(侵入テスト)はサーバーのルート化を許可しますか?

PTを実行するときに、ルートサーバーに権限を昇格させることはできますか?私は悪用を計画しており、そのためにサーバーをルート化する必要があります。したがって、そこで停止するか、さらに先に進むことをお勧めします。

3
Nabin KC

侵入テストでは、許可されている場合はサーバーをroot化できます。質問できないには一般的な答えがあります。それは、それぞれの場合にのみ特定できます。

エンゲージメントルールでは、サーバーをルートできるかどうかを指定します。このために考慮されることがいくつかあります。

  1. サーバーは本番サーバーですか?もしそうなら、確かにあなたはそれを応援することを控えるべきです。
  2. そのテストサーバーの場合、このサーバーのルート化を直接使用して、同じネットワーク上の運用サーバーを侵害/盗聴/ etcできるかどうかを検討する必要があります。もしそうなら、おそらくあなたはそれを根付かせるべきではありません。
  3. サーバーのルート権限を取得し、悪用手順を実行することによって引き起こされる可能性のあるビジネス/財務への影響。
  4. また、同意した条件/契約を考慮する必要があります。たとえあなたの意図が良くても、経営陣からの反発が時々あります。

不明な場合は、サーバー(管理)の責任者に確認してください。

結局、悪用後はサーバーをルート化する必要はありませんが、タスクを実行するための1つのオプションです。

12
Sravan

Sravanの発言に加えて、サーバーに対して元に戻すのが難しいことは何もしないように努力する必要があります。攻撃者が簡単に元に戻せるアクションに固執することはほとんどありませんが、会社は、不十分に実行された監査またはテストに起因する長時間のダウンタイムの恩恵を受けません。監査人がコアビジネスマシンを壊しすぎて会社が回復するまでに1週間も必要となるため、監査人が同時にバックアップを取ったため、ホラーストーリーはすでに数多くあります。

したがって、RoEがサーバーをルート化できると述べている場合でも、サーバーをルート化するために見つけた方法が、ファームウェアの再フラッシュやハードウェアの破壊など、単に「バックアップからの復元」ではない方法でそれを破壊する場合は、そうすることを試みるべきではありません。 RoEまたは追加の明確化リクエストのいずれかによる許可がない限り。

2
Nzall