Tipps von Code Scanning / Penetration Test-Tools
https://stackoverflow.com/questions/2078776
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Soweit ich das Angebot fallen in zwei Kategorien sehen - Scannen Dienste wie McAfee, Comodo, usw. und Tools wie Burp Proxy, HP WebInspect, CodeScan etc.
In einer idealen Welt würde ich etwas verwenden, die aktiv nach einer bestimmten URL gescannt auf einer täglichen Basis (das Ziel ein LAMP-Stack ist) (oder wie erforderlich, wenn es sich um ein eigenständiges Tool ist), aber ich bin ein bisschen vorsichtig Standalone-Tools hinsichtlich ihrer Reichweite und Häufigkeit der Aktualisierung. (Die ‚Remote‘ Scanner wie McAfee sind vermutlich bei Bedarf aktualisiert.)
Ich habe auch Probleme mit einigen Standalone-Tools hatte (kann mich nicht erinnern, die man leider), dass es geschafft, sich Schreibungssystem innerhalb unserer URL verloren gehen (es gibt eine facettierte Suche im Spiel, so dass Sie die Dinge ziemlich tief bekommen vorstellen können auf die URL vorne).
Als solches Ich frage mich nur, welche Erfahrungen Menschen mit den Angeboten draußen gehabt haben und ob die Standalone-Tools stapeln sich gegen den Scanning-Service.
(Übrigens, ich bin mir dessen bewusst Penetration Testing Tools - Ich frage mich nur, wenn die Situation hat sich seitdem verändert)
Lösung
Ich habe Penetrationstests durchgeführt und ausnutzen Entwicklung . Ich kann Ihnen aus erster Hand Erfahrung sagen, dass Hacking ist nicht nur ein Tool abzufeuern. Manchmal können Werkzeuge das Leben leichter machen, aber wenn Sie nicht wissen, was Sie tun, dann ist ein Werkzeug, nicht, um Hilfe zu gehen.
Wenn Sie auf wollen KNOW , dass Ihr System sicher ist, dann müssen Sie einen erfahrenen Hacker höher zu brechen. Der PCI-DSS ist eine Zertifizierung für die Verarbeitung von Kreditkarten erforderlich, die Mandate, dass Sie regelmäßige haben Penetrationstests auf dem Server durchgeführt. regelmäßige Durchführung von Penetrationstests ist etwas, das Sie annehmen sollten, wenn Sie einen sehr sicheren Server haben wollen.
Eine sehr gute Sicherheitsmaßnahme für Web-Server ist eine Web Application Firewall (WAF). WAF werden auch durch den PCI-DSS erforderlich. Mod_security ist kostenlos und Open-Source-WAF. Mod_Security kann verwendet werden, Hunderte von verschiedenen Arten von Angriffen zu verhindern. Eine WAF kann ein Alptraum für einen Penetration Tester sein oder Hacker wäre.
