1.2.3  法律边界
  当实施渗透测试时,获取准确的书面授权是非常重要的事情。如果不清楚的话,可能导致用户面临法律诉讼的问题,更有可能为此锒铛入狱。所以,这里简单介绍一些需注意的法律边界问题。如下所示本文选自Android渗透测试入门教程大学霸:
  q  谁有权利授予这次渗透测试任务?
  q  测试的目的是什么?
  q  测试预计的时间范围是多少?测试中有什么限制,如什么时候可以进行测试?
  q  你的客户指定漏洞评估和渗透测试的区别吗?
  q  你在此次扫描测试过程中会和IT安全团队合作吗?你需要测试它们的能力吗?
  q  可以在渗透过程中使用社会工程学攻击吗?可以使用拒绝服务攻击吗?
  q  你能够使用一些物理安全测试方法来测试那些安全服务器、敏感数据存储、或其他能够物理接触的设备吗?例如,撬锁、仿冒一些员工获得进入大楼的权限、或是进入那些普通人员通常不能单独访问的区域。
  q  你是否被允许查看网络文件,或者在测试之前告知网络架构来加速测试过程?如果不明白这一点,可能会影响你得到测试结果的价值。但是在绝大多数业务中,这类企业信息不会像用户想象的那么容易得到。
  q  允许用户检查的IP范围是什么?没有经过正式允许的扫描和测试是法律所不允许的。用户必须尽力弄清属于客户的网络范围和设备,否则可能会陷于法律指控的危险之中。
  q  公司的物理位置在哪里?如果允许使用社会工程学攻击,那么这个信息对测试人员非常重要。因为这能够保证用户身处被测试的建筑物当中。如果时间允许,你应该让客户指定。尽管他们认为自己的位置信息是保密或者难以发现的,但是你却能够轻松地从公开渠道获取上诉的信息。
  q  如果测试时遇到一个问题,或测试的初目标已经达到,你应该做什么?你是否会继续检查,以发现更多入口或结束测试?这个问题非常重要,它关系到客户为什么要进行一次渗透测试这一首要问题。
  q  用户需要注意不同对信息系统制定的法律不同。在针对渗透测试的法律上,不是所有的法律都是相同的。
  q  一旦通过漏洞攻击了系统,进一步拓展是否需要获得其他许可?这在对分段的网络进行测试时非常重要。客户可能不会想到,你能够通过内网一台主机作为支点来进一步渗透内网。
  q  怎样处理数据库?是否允许你添加记录、用户等信息?
  在渗透测试时,用户需要做一个列表,列出根据客户要求需要测试的内容。大部分数据可以从客户那里直接收集,但是还有一些数据需要你们团队进行处理。如果担心法律问题,建议用户咨询一下法律顾问以确保对渗透测试的合法性有一个完全了解本文选自Android渗透测试入门教程大学霸。