SQL/XSS Injecties, stress-testing, DDOS en andere exploits

    Hallo,


    Iedereen hier kent het denk ik wel, je maakt een scriptje en gaat deze testen.


    In hoevere is dit toegestaan als je website bijvoorbeeld extern staat?
    Een SQL injectie proberen lijkt me niet zo erg op je eigen website, maar een stress-test is natuurlijk weer een ander verhaal.


    Ook was ik benieuwd in hoevere dit is toegestaan bij iemand anders zijn website, zowel met (Moet dit zwart op wit, of is een email genoeg?) als zonder toestemming.
    In ieder geval zal ik nooit persoonlijke data proberen te stelen, maar lijkt me wel mooi om zulke dingen te testen en de eigenaar erop te kunnen wijzen.


    Pekeltje

    Alle pen-testing voer je best locaal uit als het over je eigen website gaat. DDOS gaat anders je hoster zijn systeem ook overbelasten of zelfs laten crashen, wat problemen voor jou kunnen worden later.


    Bij iemand anders zijn website is het echter nooit toegestaan, of je moet schriftelijk bewijs hebben van iemand met autoriteit in dat bedrijf. Zelf al heb je bewijs dat je alleen maar wilt helpen, vaak draait dat dan toch uit dat je zelf mooi voor de rechter kunt verschijnen. Het is niet zoals in de films, dat ze white hat hackers gaan bedanken en zelfs aannemen in hun bedrijf als security specialist.


    Als je dan toch evil-plans hebt, gebruik voldoende proxies..

    Stel dat ik een website had zou ik het fijn vinden als iemand mij van te voren laat weten dat ie mijn website wilt testen op o.a. lekken. Ik raad je aan om de eigenaar van de website te laten weten wat je gaat doen en waarom. Maar een DDOS testen heeft geen nut. Simpel weg omdat veel websites hosten op de server van een provider waarbij ze niet alle macht hebben over de servers.

    Citaat van Quitta

    Alle pen-testing voer je best locaal uit als het over je eigen website gaat. DDOS gaat anders je hoster zijn systeem ook overbelasten of zelfs laten crashen, wat problemen voor jou kunnen worden later.


    Bij iemand anders zijn website is het echter nooit toegestaan, of je moet schriftelijk bewijs hebben van iemand met autoriteit in dat bedrijf. Zelf al heb je bewijs dat je alleen maar wilt helpen, vaak draait dat dan toch uit dat je zelf mooi voor de rechter kunt verschijnen. Het is niet zoals in de films, dat ze white hat hackers gaan bedanken en zelfs aannemen in hun bedrijf als security specialist.


    Als je dan toch evil-plans hebt, gebruik voldoende proxies..


    Proxies nog wel, Proxies ben je totaal niet veilig mee.
    Eerder een VPN, en nog beter.. dedicated offshore..

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!

Maak een account aan Login