Есть ли хороший сервис для проверки уязвимости сайта/сервера

Question

Мне было предложено предоставить информацию о доступных методах оценки наших текущих и любых будущих веб-сайтов для проблем безопасности. просьба заключается в форме

Знаете ли вы, что у вас есть хороший товар, который проверяет наличие дыр в безопасности?

Я думаю, что наша безопасность данных, вероятно, стоит небольшого количества авансовых расходов, поэтому любые необоснованные методы также будут оценены.

Наши системы - это мишень из систем mySQL, Oracle, SQLServer, PHP, ASP.NET и т. Д., Хотя я думаю, что это не имеет большого значения. Все системы закреплены так же сильно, как и исправлены, и межсетевые экраны настроены так, что люди не могут попасть непосредственно в ящики базы данных и т. Д.

Это XSS и подобные атаки, которые мы хотим предотвратить.

Что вы используете, чтобы дать вам уверенность в своих системах? '); Ответ DROP TABLE;

Answer 1

owasp было бы хорошим местом для начала. Здесь слишком много, чтобы включить сюда.

Answer 2

Если безопасность вашего сайта ничего не стоит для вашей компании, то это то, что вы должны заплатить. Для моей компании безопасность наших данных и имиджа бренда имеет весьма высокую ценность.

Мы платим целую кучу денег за регулярные проверки, мы подготовили разработчиков к основным взломам/безопасности приложений, наши обзоры кода включают обзор безопасности, и теперь мы смотрим на AppScan от IBM (что дорого но в долгосрочной перспективе, вероятно, дешевле, чем все тесты, которые мы платим за перо.

Вы получаете то, за что платите. Тем не менее, убедитесь, что вы понимаете проблемы с овасом.

Answer 3

Лично я предпочитаю не быть уверенным в безопасности наших систем. Я убежден, что всегда есть что-то, чего мне не хватает, и поэтому я продолжаю искать его.

То, что вы, похоже, ищете, - это то, чтобы заставить других чувствовать себя уверенно (даже если эта уверенность является иллюзией). Вероятно, подходящим вариантом для этого является тестирование на проникновение. В зависимости от инструмента, он показывает потенциальную привлекательность в хорошем отчете, а затем вы можете сообщить, как вы их смягчили.

Мы используем IBM AppScan, и это хороший инструмент для этого. Как и в случае с любым тестером этого типа, вы обнаружите, что следуете множеству плохих результатов. Большинство из них не являются ложными постами как таковыми, более всего, что может быть проблемой или кажется, и вам придется исследовать и определить, действительно ли они.

Я бы не стал верить в такое тестирование. Если вы сканируете приложение, это действительно не означает, что ваше приложение чистое. Не означает, что это бесполезно, но не делайте это больше, чем есть.

Следующее, что я хотел бы изучить, - это инструменты статического анализа на разных языках. Многие из них бесплатны. Рука об руку с этим - образование разработчика. Обычно это довольно дешевое решение проблемы, просто убедитесь, что они понимают, что представляют собой риски.

Нет серебряной пули, нет простого ответа, вам необходимо определить безопасность как проблему «ВСЕ» и убедиться, что ей предоставляется как приоритет, так и приверженность.

Answer 4

Проверьте dotDefender - у них есть версии для IIS/Apache/ISA. Я использую это приложение для защиты от атак SQL Injection/XSS/DDOS/зондирования/кодирования. Никакая часть программного обеспечения никогда не будет идеальной, но в моем случае я запускаю системы с сайтами, которые разрабатываются в .NET, PHP и классическом ASP, причем некоторые из наших сайтов являются новыми, а другим - 5+ лет.

http://www.applicure.com/?page=dotDefender

Я также компании делать проникновение тестирования/социальной инженерии каждый год или так хорошо, но с dotDefender я по крайней мере рад, что у меня есть одеяло безопасности базовой защиты своих сайтов.

Особый интерес для меня заключался в том, что их приложение полностью совместимо с x64 - необходимо, так как я использую x64 веб-серверы.