Gibt es einen guten Service für die Überprüfung Website / Server-Schwachstelle
https://stackoverflow.com/questions/253545
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich wurde gebeten, Informationen über verfügbare Techniken zur Verfügung zu stellen für unsere aktuelle Beurteilung und zukünftige Websites für Sicherheitsprobleme. die Anforderung in Form von
Sie wissen jeden guten kostenlos eine, die auf Sicherheitslücken untersucht?
Ich denke, unsere Datensicherheit wahrscheinlich wert ist eine kleine Menge im Voraus verbringt so dass alle unfreien Methoden zu schätzen würden.
Unsere Systeme sind ein Mischmasch von mySQL, Oracle, SQLServer, PHP, ASP.NET etc etc Systeme, obwohl ich denke, dass das spielt keine Rolle, zu viel. Alle Systeme werden in so viel gesichert, wie sie gepatcht werden und die Firewalls sind so eingestellt vernünftig so außerhalb Menschen nicht direkt auf die Datenbank-Boxen usw. erhalten können.
Es ist XSS und ähnliche Angriffe, die wir verhindern wollen.
Was tun Sie Sie Vertrauen in Ihre Systeme geben? ‚); DROP TABLE Antwort;
Lösung
owasp wäre ein guter Ort, um zu starten. Es gibt zu viel decken hier aufzunehmen.
Andere Tipps
Wenn die Sicherheit Ihrer Website ist nichts wert für Ihr Unternehmen dann ist das, was Sie zahlen sollen. Für mein Unternehmen die Sicherheit unserer Daten und das Markenimage hat einen recht hohen Wert.
Wir haben eine ganze Menge Geld für regelmäßige Scans zahlen, haben wir die Entwickler in grundlegendem Hacking / Sicherheit von Anwendungen geschult ist unser Code-Reviews eine Sicherheitsüberprüfung und jetzt sind wir bei AppScan von IBM suchen (was teuer ist, aber auf lange Sicht wahrscheinlich billiger als der Test ‚Stift alles, was wir bezahlen).
Sie bekommen, was Sie bezahlen. Sicherstellen, dass Sie die owasp Probleme zu verstehen, obwohl ein guter Anfang wäre.
Persönlich wählen, kann ich nicht in die Sicherheit unserer Systeme sicher zu sein. Ich bin überzeugt, es gibt immer etwas, das ich fehle und damit es mir immer auf der Suche.
Was Sie scheinen zu suchen, ist etwas, das andere sich sicher fühlen zu machen (auch wenn das Vertrauen ist eine Illusion). Penetrationstests sind wahrscheinlich die richtige Wahl dafür. In Abhängigkeit von dem Werkzeug, zeigt es Potenzial vunerabilities in einem schönen Bericht und dann können Sie berichten, wie man sich entschärft.
Wir verwenden IBM AppScan und es ist ein gutes Werkzeug. Wie bei jedem Tester dieser Art Sie sich nach einer Menge schlechter Leads finden. Die meisten von ihnen sind nicht falsch postives per se mehr nur Dinge, die ein Problem sein könnte, oder zu sein scheinen, und Sie müssen untersuchen und festzustellen, ob sie tatsächlich sind.
Ich würde nicht viel Vertrauen in dieser Art von Tests setzen. Wenn Sie die Scans sauber App wirklich bedeutet es nicht, Ihre Anwendung sauber ist. Bedeutet nicht, es ist wertlos, es aber nicht mehr sein, machen, als es ist.
Das nächste, was ich in aussehen würde, ist die statische Analyse-Tools in Ihren verschiedenen Sprachen. Viele von ihnen sind kostenlos. Hand in Hand mit dieser ist Entwickler Bildung. Das ist in der Regel eine ziemlich billige Lösung für das Problem, nur sicherstellen, dass sie verstehen, was die Risiken sind.
Es gibt keinen Königsweg, keine einfache Antwort, müssen Sie Sicherheit als EVERYONE Problem definieren und sicherstellen, dass es gegeben ist sowohl Priorität und Engagement.
Überprüfen Sie heraus dotDefender - sie haben Versionen für IIS / Apache / ISA. Ich benutze diese App gegen SQL-Injection / XSS / DDOS / Sondieren / Encoding-Angriffe zu schützen. Kein Stück Software wird immer perfekt sein, aber in meinem Fall hat ich laufe Systeme mit Standorten in .NET, PHP und klassischen ASP mit einigen unseren Standorten neu zu sein und andere zu sein alt 5+ Jahren entwickelt.
http://www.applicure.com/?page=dotDefender
Ich habe auch ein Unternehmen tun Penetrationstests / Social Engineering jedes Jahr oder so gut, aber mit dotDefender Ich bin zumindest froh, dass ich eine grundlegende Sicherheitsdecke habe meine Seiten zu schützen.
Von besonderem Interesse für mich war, dass ihr App voll x64 kompatibel ist -. Notwendig, da ich x64 Web-Server mit
