Webサイトのコピー機を使用することは、侵入テストで積極的な偵察と見なされますか?
PTは初めてで、偵察スキルをテストしたいと考えています。
まず、これはパッシブまたはアクティブの偵察と見なされますか?第二に、私がこのようなツールをbuinessのウェブサイトで使用した場合、私は合法的な灰色の領域に飛び込むでしょうか?練習したいのですが、判断に苦労しています。
一般的に言って、トラフィックを会社のサイトに直接送信するものはすべて、パッシブではなくアクティブと見なされます。
これで、ほとんどの組織は、公開サイトへのトラフィックは問題なく、攻撃ではないことを認識します(サービス拒否を引き起こすほど過剰でない限り)が、たとえば、スパイダーがコンテンツにヒットする可能性があるため、これは法的な灰色の領域です。会社が非公開と見なし、それが彼らからの反応を引き起こす可能性があること。
練習中は、ダウンロードできる多くのテストアプリケーションの1つに固執することをお勧めします。たとえば OWASP Broken Web Applications Project