Heute habe ich eine Situation erlebt, in der eine Person, die für die Sicherheit eines Unternehmens verantwortlich ist, von einem Pentesting-Unternehmen verlangt, eine Klausel im Vertrag zurückzuziehen, die besagt, dass:
"während des Pentests die Möglichkeit, vertrauliche Daten in der Produktionsumgebung aufgrund der Ausführung einiger Tools, Exploits, Techniken usw. unbeabsichtigt zu löschen oder zu ändern. "
Der Client sagt, dass er diese Klausel nicht akzeptieren wird und dass er glaubt, dass kein Unternehmen diese Klausel akzeptieren würde. Er glaubt, dass während eines Pentests auf Informationen zugegriffen werden konnte, diese jedoch nie gelöscht oder geändert wurden.
Wir wissen, dass die Ausführung einiger Tools wie Webcrawler oder Spider Daten löschen kann, wenn die Webanwendung sehr schlecht programmiert ist Es besteht immer die Möglichkeit, wenn diese Arten von Tools verwendet werden.
Ich weiß, dass dies die Bedingungen des Kunden sind und akzeptiert werden sollten, aber:
Can Ein erfahrener und professioneller Pentester stellt immer sicher, dass während eines Pentests keine Daten in der Produktion gelöscht oder geändert werden.
Kann ein Pentest wirklich durchgeführt werden, wenn das Pentest-Team die Einschränkung dieser Daten hat Kann nicht erstellt oder geändert werden?
Sollte das Pentesting-Unternehmen für alle Fälle immer die Haftungsausschlussklausel einschließen?