通过IP请求率识别攻击者的web漏洞扫描器

Question

在进行渗透测试时，我遇到困难，因为防御系统可以识别请求率高的攻击，然后阻止IP地址。

有什么办法可以避免这种发现吗？

Answer 1

将漏洞扫描器配置为在请求之间等待，或要求客户在探测到此对策是否有效的情况下白名单您的IP。

Answer 2

为什么要避免被发现？这不是很好的五角质的一部分吗？如果您正在审核的系统设置正确，则应该检测到您的探测尝试！如果它禁止你的IP做太多的话，那就更好了。

IMHO你不应该做白名单，因为这不是‘常规’的方式，系统的行为。如果由于主机是IDS/防火墙而无法在主机上进行正确的扫描，那么配置该计算机/网络的系统管理员是1-0。

这一切都是关于你的审计范围。如果这是一个黑匣子笔试，或者是一个蓝色/红色的团队设置，你永远不应该改变这些参数，因为你希望这是现实的。一个真正的黑客的IP不会被白化，那么为什么你的呢？

另一方面，如果客户要求对特定的服务或服务器进行笔试，则对该框进行未经过滤的访问是可行的。但在这种情况下，更常见的做法是从“内部”进行扫描(这样就不会使客户易受攻击)，可能是通过坐在客户办公室或通过VPN连接到测试/验收框上。另外，在这样的系统上获得用户帐户更常见，能够登录到服务器或应用程序，因此您的笔试可以非常彻底。