Sve zavisi kakav je dogovor za penetration testing? Ako radis u okviru te kuce onda nije problem, ako radite npr neki sajt unapred bez znanja vlasnika, penetration testing se racuna kao pasivan napad i za to se odgovara krivicno.

Penetration testing alati mogu da poruzrokuju stetu tokom analize sajta/servera.

Ovde imas zanimljivih alata...

http://www.owasp.org/index.php/Phoenix/Tools

Za web preporucujem ti Acunetix.

http://www.acunetix.com/

_{[Ovu poruku je menjao Danilo Cvjeticanin dana 19.10.2009. u 14:29 GMT+1]}

Acunetix ima velik broj "false positive" nalaza ali ipak vredi. Kombinuj ga s drugim alatima.

Što se tiče usluge testiranja obavezno sklopi ugovor gde naručilac odgovorno tvrdi da je on vlasnik sajta/domena(ako se javi pravi vlasnik), da ti nećeš snositi krvicu za eventualni gubitak podataka (ako nabodeš mysql injection i slično), da nećeš biti kriv ako im sajt tokom tog perioda dospe na RBL liste (testiranjem mejlova) i ostalo zavisno od prirode testova.

Proces testiranja nije tako jednostavan, uglavnom na pocetku treba precizno da definises sve uslove testiranja kao i odgovornosti obe strane.
Moras da se ogranicis od potencijalnih problema koji mogu da nastanu u toku procesa testiranja sistema kao sto su gubici podataka i sl.

U vecini slucajeva potrebno je i da navedes sa koje IP adrese ce se vrsiti test, tacan vremenski period testiranja kao i tip izvestaja. U svakom ugovoru ima prilicno stavki koje moras precizno da analaziras kako ne bi prekrsio zakon i/ili povredio "prava" druge strane ;)

Pomenuti alati i linkovi su korisni resursi ali pen test zahteva puno vise iskustva od koriscenja popularnih alata ...

S'tim da tacan vremenski period testiranja ne mozes da znas ni priblizno.

Takodje mnogo dobar alat:

http://www.safety-lab.com/en/products/securityscanner.htm