Skocz do zawartości


 

Zdjęcie

Testy penetracyjne

Testy penetracyjne vps testy

  • Proszę się zalogować aby odpowiedzieć
10 odpowiedzi na ten temat

Testy penetracyjne

#1 Tomasz I.

Tomasz I.

    Nowy użytkownik

  • Użytkownicy
  • 12 postów
  • Imię:Tomasz

Napisany 29 listopad 2016 - 21:40

Czy ktoś poleci jakiś przyzwoity zarządzany hosting VPS, a'la HitMe.pl gdzie można zrobić testy penetracyjne skryptu? Potrzebujemy wykonać testy penetracyjne naszej usługi, żeby sprawdzić czy nasz skrypt jest bezpieczny, niestety HitMe.pl na takie coś nie pozwala.
Chodzi o coś w podobnej cenie, ze wsparciem.


Edytowany przez Tomasz I., 29 listopad 2016 - 22:45.

  • 0

#2 devon

devon

    Stały użytkownik

  • Firma Bronze
  • PipPipPipPipPip
  • 327 postów

Napisany 29 listopad 2016 - 21:58

https://www.vultr.com/freetrial/ - 50$ bezpłatnie po rejestracji (na 60 dni - potem ceny od 5$ mc), KVM, 15 lokalizacji, SLA z ostatnich 6 miesięcy 100% u mnie, rozliczanie tylko godzinowe - brak stałych umów, możliwość własnego ISO, SSD - z wyłączoną opcją ochrony antyddos możesz robić co chcesz. Z testami nie ma problemów. Sami dostarczają nawet instrukcję do kali linux.


Edytowany przez devon, 29 listopad 2016 - 22:02.

  • 0

#3 Tomasz I.

Tomasz I.

    Nowy użytkownik

  • Użytkownicy
  • 12 postów
  • Imię:Tomasz

Napisany 29 listopad 2016 - 22:02

https://www.vultr.com/freetrial/ - 50$ bezpłatnie po rejestracji, KVM, 15 lokalizacji, SLA z ostatnich 6 miesięcy 100% u mnie, rozliczanie tylko godzinowe, możliwość własnego ISO, SSD - z wyłączoną opcją ochrony antyddos możesz robić co chcesz. Z testami nie ma problemów. Sami dostarczają nawet instrukcję do kali linux.

 

Dziękuję. Ale to trzeba być specem, żeby tam ruszyć? Bo potrzebuję LAMP z PHP-FPM, doinstalowany APC i kilka drobnych ustawień w PHP i Apache. Oni coś takiego robią na start, czy całość jest po mojej stronie?
 


  • 0

#4 devon

devon

    Stały użytkownik

  • Firma Bronze
  • PipPipPipPipPip
  • 327 postów

Napisany 29 listopad 2016 - 22:07

Robisz wszystko sam - to jest VPS z dostępem do roota. 

 

Mają gotowe obrazy - LAMP/LEMP/Presta/Wordpress/Joomla i kilka innych więc możesz skorzystać z gotowych obrazów. Opcjonalnie do szybkiej konfiguracji środowiska pod testy możesz użyć rozwiązań typu: http://centminmod.com/ 

 

Nie wiem jaką masz metodykę testów i kto je wykonuje - ale z większością dostawców nie będzie problemów. Po to masz VPS żeby być odizolowany od maszyny. Nawet na współdzielony nie powinni ci tego bronić (po wcześniejszej informacji) typowa metodyka testów nie wpływa znacząco na obciążenie maszyny a przy okazji jakiś ciekawych globalnych wniosków przekazujemy je dostawcy ;) - jednak mam wątpliwość czy wiesz o czym mówisz skoro pytasz czy na root vps trzeba coś robić ;)


Edytowany przez devon, 29 listopad 2016 - 22:16.

  • 0

#5 SiXwishlist

SiXwishlist

    Freedom Forever

  • Firma Bronze
  • PipPipPipPipPipPipPipPip
  • 2366 postów
  • Skąd:Great Britain
  • Firma:SiXwishlist

Napisany 29 listopad 2016 - 22:08

 

Dziękuję. Ale to trzeba być specem, żeby tam ruszyć? Bo potrzebuję LAMP z PHP-FPM, doinstalowany APC i kilka drobnych ustawień w PHP i Apache. Oni coś takiego robią na start, czy całość jest po mojej stronie?
 

 

Nie wiesz jak to zainstalować a chcesz przeprowadzić testy penetracyjne??? Idąc dalej skoro masz środowisko produkcyjne o ile masz to test testowi nie będzie równy ponieważ pomimo tych samych składników można każdą usługę inaczej skonfigurować a co idzie za tym zabezpieczyć. 


  • 0

#6 Tomasz I.

Tomasz I.

    Nowy użytkownik

  • Użytkownicy
  • 12 postów
  • Imię:Tomasz

Napisany 29 listopad 2016 - 22:27

Robisz wszystko sam - to jest VPS z dostępem do roota. 

 

Mają gotowe obrazy - LAMP/LEMP/Presta/Wordpress/Joomla i kilka innych więc możesz skorzystać z gotowych obrazów. Opcjonalnie do szybkiej konfiguracji środowiska pod testy możesz użyć rozwiązań typu: http://centminmod.com/ 

 

Nie wiem jaką masz metodykę testów i kto je wykonuje - ale z większością dostawców nie będzie problemów. Po to masz VPS żeby być odizolowany od maszyny. Nawet na współdzielony nie powinni ci tego bronić (po wcześniejszej informacji) typowa metodyka testów nie wpływa znacząco na obciążenie maszyny a przy okazji jakiś ciekawych globalnych wniosków przekazujemy je dostawcy ;) - jednak mam wątpliwość czy wiesz o czym mówisz skoro pytasz czy na root vps trzeba coś robić ;)

No właśnie to są testy typu SQL Injection itp, a nie DDoS dlatego byłem mocno zdziwiony, że w Hitme się na to nie zgodzili.

Wiem, że jest dostęp do root'a tylko pytam czy już oni wszystko konfigurują pod moje wymagania, a potem sobie tylko używam? (tak jak robią to w Hitme), czy wszystko muszę robić samemu.

 

 

Nie wiesz jak to zainstalować a chcesz przeprowadzić testy penetracyjne??? Idąc dalej skoro masz środowisko produkcyjne o ile masz to test testowi nie będzie równy ponieważ pomimo tych samych składników można każdą usługę inaczej skonfigurować a co idzie za tym zabezpieczyć. 

Testy będzie wykonywała firma trzecia i testy będą dotyczyły skryptu, nie zaś samego serwera. A jeśli już to i tak chciałem postawić tą samą wersję PHP lub nowszą. Poza tym, jeśli polecana firma będzie fajna to przeniesiemy tam usługę swoją, a z Hitme zrezygnujemy. A w razie potrzeby i tak potem możemy dostosować ustawienia serwera produkcyjnego, żeby były takie jak w testowym środowisku.


  • 0

#7 devon

devon

    Stały użytkownik

  • Firma Bronze
  • PipPipPipPipPip
  • 327 postów

Napisany 29 listopad 2016 - 22:39

Wiem, że jest dostęp do root'a tylko pytam czy już oni wszystko konfigurują pod moje wymagania, a potem sobie tylko używam? (tak jak robią to w Hitme), czy wszystko muszę robić samemu.


Głupie pytanie - dostajesz czysty zasób mocy z możliwością wgrania jednej z dystrybucji i tyle. Więcej pomocy ani konfiguracji w usługach niezarządzanych nie otrzymasz. Wszystko trzeba skonfigurować samodzielnie (można się posiłkować skryptami czy gotowymi obrazami tak jak wspomniałem).
 

Testy będzie wykonywała firma trzecia i testy będą dotyczyły skryptu, nie zaś samego serwera. A jeśli już to i tak chciałem postawić tą samą wersję PHP lub nowszą. Poza tym, jeśli polecana firma będzie fajna to przeniesiemy tam usługę swoją, a z Hitme zrezygnujemy. A w razie potrzeby i tak potem możemy dostosować ustawienia serwera produkcyjnego, żeby były takie jak w testowym środowisku.


Jeżeli robi ci to firma to każda normalna ustawi ci własny serwer zgodnie z specyfikacją produkcyjnego i będzie tam dokonywała testów.

Jeżeli nie potrafisz postawić systemu od zera to skorzystaj z VPS zarządzanych lub administratora. Jednak w przypadku serwera pod testy głównie to kopia maszyny i zabawa snapshotami w chmurze. Najlepiej zostaw to firmie - będą sami wiedzieć co trzeba zrobić ;)

Edytowany przez devon, 29 listopad 2016 - 22:44.

  • 0

#8 Tomasz I.

Tomasz I.

    Nowy użytkownik

  • Użytkownicy
  • 12 postów
  • Imię:Tomasz

Napisany 29 listopad 2016 - 22:43

Podobno nie ma głupich pytań.

 

Tak, interesuje mnie opcja zarządzanego hostingu.

 

Ta firma, która będzie robiła testy nie jest firmą tego typu sensu stricte, tylko oddziałem Security IT dużej firmy. Oni wymagają, żeby takie środowisko im dostarczyć.

 

Nie wiem natomiast czy HitMe przygotuje mi Snapshot, żebym mógł sobie go zgrać, wgrać na testowy serwer i odpalić.

 

Nie znam żadnego administratora, który mi to zrobi w przyzwoitych pieniądzach i nie znam firm, które oferują hosting VPS zarządzany i pozwalają na takie testy. Stąd w ogóle te wątek. Zaktualizuję pytanie z głównego wpisu.


Edytowany przez Tomasz I., 29 listopad 2016 - 22:49.

  • 0

#9 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 30 listopad 2016 - 01:49

Testy penetracyjne powinno się wykonywać na środowisku docelowym, produkcyjnym. Jeśli firma u której masz to środowisko trzymać się na nie nie zgadza pomimo twoich wyjaśnień, to czas zmienić firmę, a nie robić coś co nie ma sensu - sprawdzasz na motorze koło zapasowe, żeby być pewnym że ruszy w samochodzie?

 

Cały koncept testów to upewnić się, że dane środowisko jest w stanie w odpowiedni sposób zareagować na niepożądane akcje, a nie testować kod na okoliczność określonych podatności - do audytu kodu nie jest potrzebne Ci żadne środowisko, a już na pewno żadne produkcyjne. Z kolei na dev środowiskach się raczej testów unika, poza specyficznymi przypadkami kiedy test ma spowodować utratę danych lub destabilizację serwisu, a nie sprawdzić bezpieczeństwo, jednak takie testy na ogół są wykonywane w bardziej kontrolowanych warunkach.


  • 0

#10 marekxbx

marekxbx

    www.HitMe.pl

  • Firma Bronze
  • PipPipPipPipPipPipPipPip
  • 857 postów
  • Skąd:Gdańsk
  • Firma:HitMe.pl
  • Imię:Marek
  • Nazwisko:Bajerski

Napisany 30 listopad 2016 - 01:58

Testy bezpieczeństwa swojej usługi, aplikacji oczywiście, że możesz robić i nic przeciwko nie mamy.

Nie zezwalamy na wszelkie naruszenia sieci itp. operacje które są logowane i monitorowane dlatego tutaj nikt nie będzie się godził na takie próby.

 

Tomaszu doprecyzuj w zgłoszeniu do nas co dokładnie chciałbyś zrobić, bo w zgłoszeniu mamy inne informacje i inny zakres widać też tutaj w temacie.


  • 0

#11 Tomasz I.

Tomasz I.

    Nowy użytkownik

  • Użytkownicy
  • 12 postów
  • Imię:Tomasz

Napisany 30 listopad 2016 - 12:28

Testy bezpieczeństwa swojej usługi, aplikacji oczywiście, że możesz robić i nic przeciwko nie mamy.

Nie zezwalamy na wszelkie naruszenia sieci itp. operacje które są logowane i monitorowane dlatego tutaj nikt nie będzie się godził na takie próby.

 

Tomaszu doprecyzuj w zgłoszeniu do nas co dokładnie chciałbyś zrobić, bo w zgłoszeniu mamy inne informacje i inny zakres widać też tutaj w temacie.

 

Dziękuję Panie Marku, sprawa rozwiązana w Zgłoszeniu. Czyli nie zrozumieliśmy się i testy aplikacji będzie można przeprowadzić.

Dziękuję pozostałym za dyskusję.


  • 0






Także otagowane jednym lub więcej z tych słów kluczowych: vps, testy

0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników