从受信任的 VPS 进行网络钓鱼活动和托管 Metasploit 会话对于任何专业安全研究人员、渗透测试人员或黑客来说都很重要。然而,选择非常有限,因为大多数供应商对任何类型的黑客行为都采取零容忍政策,无论是好的还是坏的。在研究了数十种产品之后,我们得出了 5 种适合 Null Byte 阅读器的潜力。首先什么是 VPS?好吧,它代表虚拟专用服务器,是一种虚拟化服务器,许多用户将其视为专用或专用服务器,即使它安装在同时运行多个操作系统的物理计算机上。 VPS 最常用于在线托管网站。当我们从供应商那里购买 VPS 时,我们实际上是在“租用”一台功能强大的高性能物理机上的一个分区,该物理机包含许多虚拟服务器。每个 VPS 都连接到互联网,授予个人客户使用不同操作系统的能力,并提供对操作系统的完全根访问权限。每个客户(或服务器管理员)独立于其他共享 VPS 公司提供的物理计算机的客户进行操作。从本质上讲,虚拟专用服务器是一台我们可以从世界上任何联网设备远程控制的计算机。这给了我们很大的力量。从远程服务器,这些只是一些可以完成的事情:为了正确地做到这一点,根据我们的研究,BulletShield 是迄今为止最好的 VPS 提供商,紧随其后的是 BuyVM 和 ClientVPS。亚军是 VPSDime 和 OneHost Cloud。您可以在下面的图表中看到原因,但跳到图表下方以更深入地研究每个比较点的含义。更新:BulletShield 不再存在。我们将寻找更多的 VPS 供应商,看看是否有足够的价值进入我们的名单,我们会在这样做时进行相应的更新。与此同时,BuyVM 是下一个最好的选择
网上有几个 VPS 比较图表,但作为渗透测试者和帽子,没有一个与我相关。在大多数专业渗透测试场景中,我们需要将 VPS 启动数天以托管有效载荷、接收渗漏数据或执行网络钓鱼攻击。 VPS 提供商是否提供实时技术支持、难以理解的硬件规格或过多的操作系统选择都无关紧要。理想情况下,我们希望使用比特币 (BTC) 从位于尊重隐私的国家/地区的 VPS 提供商处快速购买最新的 Debian 版本。在比较本文中介绍的 VPS 提供商时,我尽量做到客观和公正。本文中没有任何 VPS 提供商付费才能出现在比较图表中。我使用下面的标准来得出上面的图表。不要错过:如何出售您的 Stellar,Ripple& Binance 中比特币或以太坊的其他替代币
服务条款 (ToS) 和可接受的使用政策 (AUP) 可能是进入此比较图表的最高优先级。虽然最初考虑了数十家 VPS 提供商,但大多数都明确禁止或不鼓励端口扫描器、有效负载分发、网络钓鱼和/或任何类型的黑客攻击。除了少数例外,这立即取消了 VPS 提供商在比较图表中的资格。 IT 专业人员、安全研究人员和自学成才的黑客在远程服务器上做了很多出色的工作。对我来说重要的是,此处介绍的 VPS 提供商维护了最适合 Null Byte 受众需求的 ToS 政策。我图表中的 VPS 提供商是为数不多的没有完全反对“黑客攻击”的 ToS 政策的供应商之一。被认为对渗透测试友好的供应商并未在其服务条款中明确声明允许“黑客攻击”(或任何相关术语)。没有 VPS 提供商会这样做。这些提供商中的大多数要么在其服务条款中未提及黑客攻击,要么在其网站上根本没有可用的服务条款。这被认为表明黑客活动受到强烈反对,但可能不会导致帐户终止
向任何网站提交我们的真实姓名、地址、电话号码和其他个人身份信息是不可取的。即使匿名不是您的首要任务,VPS 提供商仍然有可能在某天受到损害并使所有客户数据在线泄露。购买 VPS 订阅最好是匿名完成的,因为不知道我们在研究或渗透测试期间可能会遇到什么麻烦。某天可能会对 VPS 提供商采取法律行动,因为在您购买的服务器上发生的事情,因此在提供商的客户数据库中存储尽可能少的关于您自己的信息是明智的。在大多数情况下,我发现在注册过程中可以提交完全虚假的姓名、地址和电话号码,但我并不认为这对提供商来说是一个“好功能”。向任何合法公司提交虚假信息几乎肯定会违反提供商的服务条款并导致帐户立即终止。 VPS 提供商要求提供的电子邮件地址不构成“个人信息”,因为匿名获取一次性电子邮件地址很容易。 VPS 提供商与客户建立某种沟通方式也是有道理的
相信一家提供安全加密交易的公司会全力配合当局抓获黑客并非不切实际。 VPS IP 地址是否来自尊重隐私的国家并不总是那么重要。如果为您提供 VPS 的公司位于美国或英国,他们很可能会毫不犹豫地将您的个人信息交给任何权威人士。进一步关注隐私问题,UKUSA 协议是英国、美国、澳大利亚、加拿大和新西兰之间合作收集、分析和共享情报的协议。该组织的成员被称为“五眼联盟”。这些国家/地区因拥有侵犯隐私权的法律和政策而臭名昭著。在最尊重隐私的国家/地区选择 VPS 提供商可能不是最优先考虑的事情,但至少考虑具有良好隐私法的国家/地区的提供商是有意义的
“离岸 VPS”意味着服务器位于公司的国家边界位置之外,并且可能允许一定程度的自由裁量权。这对您作为渗透测试者和您受托保护的公司来说很重要,因为您可能会获得不应共享或泄露的妥协和敏感信息。我们鼓励读者独立咨询 VPS 提供商,以确定他们的离岸解决方案是否适合您。以提供离岸解决方案而著称的供应商通常会收取高价。不应假定他们最便宜的可用 VPS 解决方案也是他们离岸期权的价格
BulletShield 是我的首选,因为它是 Null Byte 阅读器的最佳 VPS 提供商。 BulletShield 在注册账户或准备提交 BTC 交易时不要求或要求任何类型的个人信息。他们还强制执行 BTC 交易,并且没有明确禁止任何类型的渗透测试活动的服务条款。缺点是他们不接受预付信用卡,最便宜的价格有点贵,但如果你重视你的隐私,价格不一定是主要考虑的因素。说到公司总部,BulletShield 并没有透露这些信息。快速域名搜索显示,它是由加拿大公司Tucows Domains Inc.购买的,但却是从位于西印度群岛偏远岛屿的城市查尔斯敦购买的。但是,这并不意味着那是 BulletShield 的总部所在地,它只是 BulletShield 使用的域名注册商注册域名的所在地。他们确实提供离岸解决方案和一个 Tor 友好的网站,这使 BulletShield 处于领先地位。然而,一位客户服务代表向我提到,“渗透测试”“只允许在防弹服务上使用”,这在成本方面可能是个问题
BuyVM 是允许合法渗透测试的亚军,在相关公司或个人给出明确和合法的书面同意的情况下。一位代表证实了这一点,称他们“需要代表相关目标的法律团队提供一份完整的文件来授权它。”他们的起始价格确实提升了他们的排名,VPS 解决方案低至每月 2.42 美元。但是,他们确实要求您提供个人信息,并且为了注册帐户,“帐户详细信息必须与付款方式提供的信息相匹配”,这可能意味着匿名预付卡已过时。不过,比特币是被接受的。虽然他们确实有一个 Tor 友好的网站,但他们的总部位于加拿大并且不提供离岸解决方案,这可能是负面的,具体取决于您使用 VPS 的目的
ClientVPS 有一个服务条款,但除了他们不会对您执行的任何导致人身或财产“伤害”、侵犯版权等的行为承担任何责任外,没有太多内容,让您承担全部责任。总的来说,他们的价格是最贵的,但亮点包括接受比特币(预付 Visa 卡不清楚)、拥有一个 Tor 友好的网站、总部位于俄罗斯(那里的信息请求经常被忽略)以及提供离岸解决方案,所有这些其中巩固了其目前在排名中的位置。除了价格高之外,其他缺点包括他们缺乏有关合法渗透测试的信息(他们没有回复我的询问)并且他们确实要求您提供个人数据
OneHost Cloud 是我能找到的唯一一家提供 Kali Linux VPS 和渗透测试解决方案的 VPS 提供商。他们的起价仅为每月 6.59 美元,这是该提供商的另一大优势,而且他们接受 BTC 付款。 OneHost Cloud 似乎是无意非法扫描网站或未经同意入侵实体的帽子的最佳选择。如果他们提供 Kali 解决方案但不允许合法的渗透测试,这也会让客户感到非常困惑。然而,当我询问有关合法渗透测试的问题时,他们只是简单地回答说:以后所有来自该地址的电子邮件都将被阻止。这是毫无理由或解释地寄给我的。出于这个原因,OneHost Cloud 排在最后,我建议读者在执行任何类型的渗透测试之前独立向 OneHost Cloud 查询他们的 ToS 政策。该提供商的其他缺点是要求提供个人信息;位于英国伦敦;没有准备好匿名的网站;以及缺乏关于离岸解决方案和预付卡的信息。
