0.4.1　安全测试云API

现代Web应用程序普遍部署在云端。针对云端Web应用程序的攻击，实质上是对云服务提供商物理服务器（如亚马逊、谷歌或微软等）的攻击。各个云服务提供商均具有独特的渗透测试条款和服务，了解这些条款和服务至关重要。截至2021年，云服务提供商普遍对渗透测试人员持友好的态度，且很少需要授权申请。然而，部分云端Web应用程序和API（如组织使用的Salesforce API）可能需要获取渗透测试授权。

在展开攻击之前，务必充分了解目标云服务提供商的现行规定。以下是对若干主流提供商政策的具体阐述。

● 亚马逊网络服务（AWS）：至撰写本书时，AWS允许客户执行多种安全测试，但DNS区域遍历、DoS或DDoS攻击、模拟DoS或DDoS攻击、端口洪泛、协议洪泛及请求洪泛等除外。针对此类特殊情况，客户需通过电子邮件联系AWS申请测试权限。若申请例外情况，请确保提供测试日期、涉及账户、资产、联系电话以及拟议攻击描述。

● 谷歌云平台（GCP）：谷歌明确表示，客户可自行执行渗透测试，无须申请许可或通知公司。然而，客户需遵守可接受使用政策（AUP）和服务条款（TOS），并在授权范围内开展活动。AUP和TOS禁止非法行为、钓鱼、垃圾邮件、分发恶意或破坏性文件（如病毒、蠕虫和木马），以及对GCP服务的中断。

● 微软Azure：微软采用友好型黑客策略，无须在测试前通知公司。同时，微软设有“渗透测试规则”页面，详细说明允许进行的渗透测试类型。当前，云服务提供商对渗透测试活动持积极态度。只要客户了解提供商条款，合法攻击授权目标，并避免导致服务中断的攻击，即可顺利进行渗透测试。