AWSでホストされているアプリケーションAPIのファズテストについて、AWSから(ペネトレーションテスト)承認を受ける必要がありますか?
AWS環境でホストされている自分のスタックでAPIをファジングテストしたかった(ラムダとAPIゲートウェイを使用したことがある)
ほとんどの場合、GETAPIとPUTAPIが1つだけあります。私の要件は、APIヘッダーと本文をファジングテストすることです。このために、特定のペイロードでファイルファジング手法を使用することを計画しています。
ファズテストのためにAWSからペネトレーションテストの承認を受ける必要がありますか?
迅速な対応をお願いします。
ありがとう
はい、AWSでチケットを発行する必要があります。ここで彼らのポリシーを見つけることができます: https://aws.Amazon.com/security/penetration-testing/
ペネトレーションテストの構成に関する具体的なガイドラインはありませんが、CloudFrontまたはELBを使用している場合は、異常な動作を検出する可能性があります。したがって、登録して不正使用の通知を防ぐ方が安全です。
また、EC2で独自のアプリケーションをホストしている場合でも、m1.small、t1.micro、またはt2.nanoでテストできないことにも注意してください。