Hosting Service Kontakt für PenTests?

3 Antworten

Du kannst Dir die Mühe sparen. Weder Strato, noch 1&1 oder gar Google, Amazon oder Microsoft haben Bedarf an Pentests. Das können die selbst oder sie haben fähige Dienstleister mit langjähriger Erfahrung. Ein nmap oder auch nikto ist als Penetration Test nicht ernstzunehmen, das macht bei den Großen der Praktikant in der Frühstückspause.

Das hat bei weitem meine Frage verfehlt. Auch wenn meine Frage nicht die ausführlichste ist, bis du sehr voreingenommen rein gegangen muss ich leider sagen. Meine Frage war auf die Website des Kunden von Strato bezogen, ob man da solche Tools benutzen darf seitens Strato, wenn man halt die website des Kunden checken will.

0
@test8889

Du solltest lernen, Deine Frage unmissverständlich zu formulieren.

Du musst unterscheiden zwischen Kunden, die einen eigenen Server gemietet haben, und Kunden, die einen virtualisierten Server oder gar Shared Hosting (also nur einen vHost eines Webservers) gemietet haben. Bei letzteren würdest Du eventuell auch die Infrastruktur des Hosters angreifen. Das wird niemand zulassen. Alles, was unterhalb der Applikation ansetzt, fällt also weg, ebenso Dinge, die die Performance beeinflussen.

Simple Dinge wie Nikto gehen nur gegen den Webserver bzw. vHost. Hier gibt es keine Performance-Probleme. Da gibt es dann eine Adresse im Impressum, die Du kontaktieren kannst. Dinge, für die Du die Zustimmung des Hosters benötigen, kannst Du gleich vergessen. Die werden Dir auf die Finger klopfen.

1
@franzhartwig

Ok, ich hab das einigermaßen verstanden danke, was sind jetzt jedoch die Merkmale wann ich Penetration Tests, nur durch Zustimmung des Kunden vom Host der die Website gehört, machen kann? Das habe ich leider noch nicht ganz verstanden. Angenommen man checkt auf xss sql pipapo, bei aws Servern darf man das, auch ohne aws zu kontaktieren. Kannst du mir das nochmal erklären wann genau ich sowas zb bei Strato und 1&1 bei Webseiten von Kunden machen darf?

0
@test8889

Ich kann Dir hier keine rechtlich verbindlichen Auskünfte geben. Problematisch wird es auf jeden Fall, wenn man die Zielmaschine außergewöhnlich belastet und es zu Performance-Problemen kommen könnte. Die Kunden sollten zwar bezüglich Prozessorlast/Scriptlaufzeiten/Speichernutzung voneinander entkoppelt sein, aber man weiß ja nie. Ich kann Dir hier jedoch nicht detailliert sagen, was Du darfst und was Du nicht darfst.

1

Du meinst also du machst bei einem Kunden von Strato Hosting einen PenTests ?

Also für die Netzwerksicherheit solltest Du nicht zuständig sein sondern der Anbieter . Dann musst Du den Anbieter fragen ob Du das überhaupt darfst . Könnte gut sein das andere Services davon betroffen sind und es dann mehrere Kunden betrifft .

Ausserdem garantieren die ja für ihren service , kannst ja auch nicht einfach prüfer in irgendeine firma schicken nur um zu gucken ob die dir gerecht werden .

Die werden sich totlachen und deine Anfrage entweder unkommentiert lassen, oder es dir ausdrücklich verbieten.

Vergiss es!

Woher ich das weiß:Berufserfahrung

Was möchtest Du wissen?