Skocz do zawartości
Zaloguj się, aby obserwować  
Tomasz I.

Testy penetracyjne

Polecane posty

Czy ktoś poleci jakiś przyzwoity zarządzany hosting VPS, a'la HitMe.pl gdzie można zrobić testy penetracyjne skryptu? Potrzebujemy wykonać testy penetracyjne naszej usługi, żeby sprawdzić czy nasz skrypt jest bezpieczny, niestety HitMe.pl na takie coś nie pozwala.
Chodzi o coś w podobnej cenie, ze wsparciem.

Edytowano przez Tomasz I. (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

https://www.vultr.com/freetrial/ - 50$ bezpłatnie po rejestracji (na 60 dni - potem ceny od 5$ mc), KVM, 15 lokalizacji, SLA z ostatnich 6 miesięcy 100% u mnie, rozliczanie tylko godzinowe - brak stałych umów, możliwość własnego ISO, SSD - z wyłączoną opcją ochrony antyddos możesz robić co chcesz. Z testami nie ma problemów. Sami dostarczają nawet instrukcję do kali linux.

Edytowano przez devon (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

https://www.vultr.com/freetrial/ - 50$ bezpłatnie po rejestracji, KVM, 15 lokalizacji, SLA z ostatnich 6 miesięcy 100% u mnie, rozliczanie tylko godzinowe, możliwość własnego ISO, SSD - z wyłączoną opcją ochrony antyddos możesz robić co chcesz. Z testami nie ma problemów. Sami dostarczają nawet instrukcję do kali linux.

 

Dziękuję. Ale to trzeba być specem, żeby tam ruszyć? Bo potrzebuję LAMP z PHP-FPM, doinstalowany APC i kilka drobnych ustawień w PHP i Apache. Oni coś takiego robią na start, czy całość jest po mojej stronie?

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Robisz wszystko sam - to jest VPS z dostępem do roota.

 

Mają gotowe obrazy - LAMP/LEMP/Presta/Wordpress/Joomla i kilka innych więc możesz skorzystać z gotowych obrazów. Opcjonalnie do szybkiej konfiguracji środowiska pod testy możesz użyć rozwiązań typu: http://centminmod.com/

 

Nie wiem jaką masz metodykę testów i kto je wykonuje - ale z większością dostawców nie będzie problemów. Po to masz VPS żeby być odizolowany od maszyny. Nawet na współdzielony nie powinni ci tego bronić (po wcześniejszej informacji) typowa metodyka testów nie wpływa znacząco na obciążenie maszyny a przy okazji jakiś ciekawych globalnych wniosków przekazujemy je dostawcy ;) - jednak mam wątpliwość czy wiesz o czym mówisz skoro pytasz czy na root vps trzeba coś robić ;)

Edytowano przez devon (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Dziękuję. Ale to trzeba być specem, żeby tam ruszyć? Bo potrzebuję LAMP z PHP-FPM, doinstalowany APC i kilka drobnych ustawień w PHP i Apache. Oni coś takiego robią na start, czy całość jest po mojej stronie?

 

 

Nie wiesz jak to zainstalować a chcesz przeprowadzić testy penetracyjne??? Idąc dalej skoro masz środowisko produkcyjne o ile masz to test testowi nie będzie równy ponieważ pomimo tych samych składników można każdą usługę inaczej skonfigurować a co idzie za tym zabezpieczyć.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Robisz wszystko sam - to jest VPS z dostępem do roota.

 

Mają gotowe obrazy - LAMP/LEMP/Presta/Wordpress/Joomla i kilka innych więc możesz skorzystać z gotowych obrazów. Opcjonalnie do szybkiej konfiguracji środowiska pod testy możesz użyć rozwiązań typu: http://centminmod.com/

 

Nie wiem jaką masz metodykę testów i kto je wykonuje - ale z większością dostawców nie będzie problemów. Po to masz VPS żeby być odizolowany od maszyny. Nawet na współdzielony nie powinni ci tego bronić (po wcześniejszej informacji) typowa metodyka testów nie wpływa znacząco na obciążenie maszyny a przy okazji jakiś ciekawych globalnych wniosków przekazujemy je dostawcy ;) - jednak mam wątpliwość czy wiesz o czym mówisz skoro pytasz czy na root vps trzeba coś robić ;)

No właśnie to są testy typu SQL Injection itp, a nie DDoS dlatego byłem mocno zdziwiony, że w Hitme się na to nie zgodzili.

Wiem, że jest dostęp do root'a tylko pytam czy już oni wszystko konfigurują pod moje wymagania, a potem sobie tylko używam? (tak jak robią to w Hitme), czy wszystko muszę robić samemu.

 

 

Nie wiesz jak to zainstalować a chcesz przeprowadzić testy penetracyjne??? Idąc dalej skoro masz środowisko produkcyjne o ile masz to test testowi nie będzie równy ponieważ pomimo tych samych składników można każdą usługę inaczej skonfigurować a co idzie za tym zabezpieczyć.

Testy będzie wykonywała firma trzecia i testy będą dotyczyły skryptu, nie zaś samego serwera. A jeśli już to i tak chciałem postawić tą samą wersję PHP lub nowszą. Poza tym, jeśli polecana firma będzie fajna to przeniesiemy tam usługę swoją, a z Hitme zrezygnujemy. A w razie potrzeby i tak potem możemy dostosować ustawienia serwera produkcyjnego, żeby były takie jak w testowym środowisku.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wiem, że jest dostęp do root'a tylko pytam czy już oni wszystko konfigurują pod moje wymagania, a potem sobie tylko używam? (tak jak robią to w Hitme), czy wszystko muszę robić samemu.

Głupie pytanie - dostajesz czysty zasób mocy z możliwością wgrania jednej z dystrybucji i tyle. Więcej pomocy ani konfiguracji w usługach niezarządzanych nie otrzymasz. Wszystko trzeba skonfigurować samodzielnie (można się posiłkować skryptami czy gotowymi obrazami tak jak wspomniałem).

 

Testy będzie wykonywała firma trzecia i testy będą dotyczyły skryptu, nie zaś samego serwera. A jeśli już to i tak chciałem postawić tą samą wersję PHP lub nowszą. Poza tym, jeśli polecana firma będzie fajna to przeniesiemy tam usługę swoją, a z Hitme zrezygnujemy. A w razie potrzeby i tak potem możemy dostosować ustawienia serwera produkcyjnego, żeby były takie jak w testowym środowisku.

Jeżeli robi ci to firma to każda normalna ustawi ci własny serwer zgodnie z specyfikacją produkcyjnego i będzie tam dokonywała testów.

 

Jeżeli nie potrafisz postawić systemu od zera to skorzystaj z VPS zarządzanych lub administratora. Jednak w przypadku serwera pod testy głównie to kopia maszyny i zabawa snapshotami w chmurze. Najlepiej zostaw to firmie - będą sami wiedzieć co trzeba zrobić ;)

Edytowano przez devon (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Podobno nie ma głupich pytań.

 

Tak, interesuje mnie opcja zarządzanego hostingu.

 

Ta firma, która będzie robiła testy nie jest firmą tego typu sensu stricte, tylko oddziałem Security IT dużej firmy. Oni wymagają, żeby takie środowisko im dostarczyć.

 

Nie wiem natomiast czy HitMe przygotuje mi Snapshot, żebym mógł sobie go zgrać, wgrać na testowy serwer i odpalić.

 

Nie znam żadnego administratora, który mi to zrobi w przyzwoitych pieniądzach i nie znam firm, które oferują hosting VPS zarządzany i pozwalają na takie testy. Stąd w ogóle te wątek. Zaktualizuję pytanie z głównego wpisu.

Edytowano przez Tomasz I. (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Testy penetracyjne powinno się wykonywać na środowisku docelowym, produkcyjnym. Jeśli firma u której masz to środowisko trzymać się na nie nie zgadza pomimo twoich wyjaśnień, to czas zmienić firmę, a nie robić coś co nie ma sensu - sprawdzasz na motorze koło zapasowe, żeby być pewnym że ruszy w samochodzie?

 

Cały koncept testów to upewnić się, że dane środowisko jest w stanie w odpowiedni sposób zareagować na niepożądane akcje, a nie testować kod na okoliczność określonych podatności - do audytu kodu nie jest potrzebne Ci żadne środowisko, a już na pewno żadne produkcyjne. Z kolei na dev środowiskach się raczej testów unika, poza specyficznymi przypadkami kiedy test ma spowodować utratę danych lub destabilizację serwisu, a nie sprawdzić bezpieczeństwo, jednak takie testy na ogół są wykonywane w bardziej kontrolowanych warunkach.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Testy bezpieczeństwa swojej usługi, aplikacji oczywiście, że możesz robić i nic przeciwko nie mamy.

Nie zezwalamy na wszelkie naruszenia sieci itp. operacje które są logowane i monitorowane dlatego tutaj nikt nie będzie się godził na takie próby.

 

Tomaszu doprecyzuj w zgłoszeniu do nas co dokładnie chciałbyś zrobić, bo w zgłoszeniu mamy inne informacje i inny zakres widać też tutaj w temacie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Testy bezpieczeństwa swojej usługi, aplikacji oczywiście, że możesz robić i nic przeciwko nie mamy.

 

Nie zezwalamy na wszelkie naruszenia sieci itp. operacje które są logowane i monitorowane dlatego tutaj nikt nie będzie się godził na takie próby.

 

Tomaszu doprecyzuj w zgłoszeniu do nas co dokładnie chciałbyś zrobić, bo w zgłoszeniu mamy inne informacje i inny zakres widać też tutaj w temacie.

 

Dziękuję Panie Marku, sprawa rozwiązana w Zgłoszeniu. Czyli nie zrozumieliśmy się i testy aplikacji będzie można przeprowadzić.

Dziękuję pozostałym za dyskusję.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×