Asesoramiento sobre herramientas de pruebas de escaneo de código / de penetración
https://stackoverflow.com/questions/2078776
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Por lo que yo puedo ver las ofertas se dividen en dos categorías - los Servicios de exploración como McAfee, Comodo, etc., y herramientas como Burp Proxy, WebInspect de HP, Codescan, etc.
En un mundo ideal, me gustaría usar algo que escanea activamente una URL determinada (el objetivo de ser una pila LAMP) sobre una base diaria (o según sea necesario si se trata de una herramienta independiente), pero estoy un poco preocupado de herramientas independientes en términos de su cobertura y frecuencia de actualización. (Los escáneres ‘remotas’ como McAfee están presumiblemente actualizan según sea necesario.)
También he tenido problemas con algunas herramientas independientes (no recuerdo que uno desgracia) que arregló para conseguir perdidos dentro de nuestro sistema de reescritura de URL (hay una búsqueda de facetas en el juego, por lo que se puede imaginar las cosas se ponen bastante profundo en la parte delantera URL).
Como tal, me pregunto qué experiencias han tenido las personas con las ofertas por ahí y si las herramientas independientes comparan con los servicios de escaneado.
(Por cierto, estoy al tanto de las herramientas de pruebas de penetración - Me pregunto si el situación ha cambiado desde entonces)
Solución
He hecho pruebas de penetración y explotar el desarrollo . Te puedo decir por experiencia de primera mano que la piratería no es sólo disparar alguna herramienta. A veces, las herramientas pueden hacer la vida más fácil, pero si usted no sabe lo que está haciendo entonces una herramienta no va a ayudar.
Si quieres SABER que su sistema es seguro, entonces usted necesita mayor que un hacker experto de romper. El PCI-DSS es una certificación requerida para el procesamiento de tarjetas de crédito que establece que usted tiene regulares pruebas de penetración a cabo en el servidor. La realización de pruebas de penetración regular es algo que debe adoptar si quieren tener un servidor muy seguro.
Una muy buena medida de seguridad para los servidores web es una Web Application Firewall (WAF). FAT también son requeridos por el PCI-DSS. mod_security es libre y de código abierto WAF. Mod_security se puede utilizar para evitar que cientos de diferentes tipos de ataques. A WAF puede ser una pesadilla para un probador de penetración o sería usuario remoto.
