هناك خدمة جيدة للتحقق من موقع الضعف / الخادم
https://stackoverflow.com/questions/253545
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ولقد طلب مني أن تقدم معلومات عن التقنيات المتاحة لتقييم أعمالنا الحالية، وأي من المواقع المستقبلية لمشاكل أمنية. كان الطلب في شكل
<اقتباس فقرة>هل تعرف من أي واحد حر جيد أن يدرس لالثغرات الأمنية؟
وأعتقد أمن البيانات لدينا وربما يستحق كمية صغيرة من قضاء مقدما لذلك سيكون موضع تقدير أي أساليب غير حرة أيضا.
وأنظمتنا هي الهريس مش من الخلية، وأوراكل، سيكلسرفير، PHP، ASP.NET الخ الخ النظم على الرغم من أنني أعتقد أن هذا لا يهم كثيرا. يتم تأمينها جميع الأنظمة بقدر ما هي مصححة أنها ويتم تعيين جدران الحماية بشكل معقول الناس خارج حتى لا يمكن الحصول مباشرة إلى صناديق قاعدة البيانات وما إلى ذلك.
ومن XSS والهجمات المماثلة التي نود أن منع.
وماذا عن استخدام لتعطيك الثقة في النظم الخاصة بك؟ ')؛ DROP TABLE الجواب؛
المحلول
OWASP سيكون مكان جيد للبدء. هناك الكثير لتغطية لتشمل هنا.
نصائح أخرى
إذا أمن موقعك لا يساوي شيئا لشركتك ثم هذا ما يجب أن تدفع. لشركتي أمن البيانات المتوفرة لدينا وصورة العلامة التجارية لديها تماما قيمة عالية.
ونحن ندفع مجموعة كاملة من المال لاجراء الفحوصات المعتادة، لقد تدريب المطورين في القرصنة الأساسي / أمن التطبيقات، ومراجعة الكود لدينا وتشمل مراجعة الاجراءات الامنية، ونحن الآن نبحث في AppScan من IBM (وهو أمر مكلف ولكن على المدى الطويل ربما أرخص من جميع التجارب القلم "نحن ندفع ثمن).
وأنت تحصل على ما تدفعه مقابل. التأكد من أنك تفهم أن قضايا OWASP يكون بداية جيدة على الرغم من.
وشخصيا، وأنا اخترت لا أن تكون واثقة في أمن أنظمتنا. أنا مقتنع أن هناك دائما شيء ما أنا في عداد المفقودين، وبالتالي وأظل أبحث عنه.
ما يبدو لك أن تبحث عن شيء لجعل الآخرين يشعرون بالثقة (حتى لو أن الثقة هي وهم). اختبار الاختراق وربما كان الخيار الصحيح لذلك. تبعا للأداة، فإنه يظهر vunerabilities المحتملين في تقرير لطيفة وبعد ذلك يمكنك الإبلاغ عن كيفية التخفيف منها.
ونحن نستخدم IBM AppScan وإنما هي أداة جيدة لهذا الغرض. كما هو الحال مع أي اختبار من هذا النوع سوف تجد نفسك بعد الكثير من الخيوط سيئة. معظمهم لا postives خاطئة في حد ذاتها، أكثر عدلا الأشياء التي قد يكون مشكلة أو يبدو أن وسيكون لديك للتحقيق وتحديد ما إذا كانت هي في الواقع.
وأود أن لا تضع الكثير من الثقة في هذا النوع من التجارب. إذا كنت app ومسح نظيفة حقا لا يعني التطبيق الخاص بك نظيفة. لا يعني أنها لا قيمة لها، ولكن لا تجعل من ذلك أن يكون أكثر مما هو عليه.
ووالشيء التالي أود أن ننظر إلى وأدوات التحليل ثابتة في مختلف اللغات الخاصة بك. وهناك الكثير من هذه أحرار. جنبا إلى جنب مع ذلك هو التعليم المطور. الذي عادة ما يكون حل رخيص جدا لهذه المسألة، مما يجعل مجرد التأكد من أنهم يفهمون ما هي المخاطر.
وليس هناك حل سحري، لا إجابة بسيطة، تحتاج إلى تعريف الأمن باعتباره مشكلة الجميع وتأكد من المسلم به على حد سواء الأولوية والالتزام.
تحقق من dotDefender - لديهم إصدارات لIIS / أباتشي / ISA. يمكنني استخدام هذا التطبيق لحماية ضد SQL حقن / هجمات XSS / DDOS / التحقيق / الترميز. لن قطعة من البرمجيات أن يكون من أي وقت مضى مثاليا ولكن في حالتي أنا تشغيل أنظمة مع المواقع التي يجري تطويرها في .NET، PHP، ASP والكلاسيكية مع بعض مواقعنا كونها جديدة والبعض الآخر يجري 5+ سنة.
http://www.applicure.com/؟page=dotDefender
وولدي أيضا شركة القيام اختبار الاختراق / الهندسة الاجتماعية كل عام أو نحو ذلك كذلك، ولكن مع dotDefender أنا سعيد على الأقل بعد أن حصلت على غطاء أمنيا الأساس لحماية المواقع بلدي.
وذات أهمية خاصة بالنسبة لي هو أن تطبيقاتهم بشكل كامل إلى x64 متوافق - لزم الأمر منذ أنا باستخدام خوادم الويب إلى x64
