Deny-by-default scope.
Ingenting er innenfor før du legger det dit. Du erklærer de nøyaktige målene, og alt utenfor det scopet blir aldri rørt, verken enumerert eller probet.
SIKKERHET
Riposte kjører ekte offensivt verktøy mot ekte systemer. Den kraften kommer med én hard regel og et sett kontroller bygget for å håndheve den. Denne siden dekker begge: hvordan du bruker den ansvarlig, og hvordan du sier fra hvis du finner et hull i Riposte selv.
KUN AUTORISERT BRUK
Kjør Riposte kun mot systemer du eier eller har uttrykkelig autorisasjon til å teste. Å rette offensivt verktøy mot infrastruktur du ikke har skriftlig tillatelse til å vurdere er høyst sannsynlig ulovlig, og det er ditt ansvar. Er du i tvil, har du ikke autorisasjon.
Kontrollene under er bygget for å holde et autorisert oppdrag innenfor rammene. De er ikke en erstatning for den autorisasjonen, og de kan ikke gjøre et mål utenfor scope lovlig å røre. De finnes så at når du har klarering til å teste noe, forblir det vanskelig å bevege seg forbi kanten av det du var klarert for.
SLIK HOLDER RIPOSTE SEG INNENFOR
Ingenting er innenfor før du legger det dit. Du erklærer de nøyaktige målene, og alt utenfor det scopet blir aldri rørt, verken enumerert eller probet.
Operatøren gjør det kjedelige arbeidet, men ikke avgjørelsene. Ethvert trekk som kan endre eller nå et system stopper og venter på ditt uttrykkelige klarsignal. Den eskalerer aldri på egen hånd.
Hver handling skrives til en tuklesikker logg der hver oppføring er lenket til den forrige. Bryt lenken og det vises, så det finnes alltid et ærlig referat av hva som kjørte.
Hver kontroll feiler lukket. Er scope usatt, kjører ingenting. Gis ikke en godkjenning, skjer ikke trekket. Kan ikke loggen skrives, stopper operatøren heller enn å handle uten referat.
MELD EN SÅRBARHET
Riposte er et sikkerhetsverktøy, så en feil i det er en feil som betyr noe. Finner du en sårbarhet i Riposte selv, meld den til oss privat gjennom en GitHub security advisory før du avslører den noe annet sted. Det holder rapporten mellom oss til det finnes en fiks.
pre-alpha . kun autorisert bruk . ingen telemetri . kjører offline