¿Existe un buen servicio para comprobar la vulnerabilidad del sitio web / servidor?

Question

Se me ha pedido que proporcione información sobre las técnicas disponibles para evaluar nuestros sitios web actuales y futuros en caso de problemas de seguridad. La solicitud está en la forma de

  

¿Sabes de alguna buena gratis que examine los agujeros de seguridad?

Creo que nuestra seguridad de datos probablemente valga una pequeña cantidad de gasto inicial por lo que cualquier método no libre también sería apreciado.

Nuestros sistemas son una mezcla de sistemas MySQL, Oracle, SQL Server, PHP, ASP.NET, etc., aunque supongo que eso no importa demasiado. Todos los sistemas están asegurados tanto como están parcheados y los firewalls están configurados con sensatez para que las personas externas no puedan acceder directamente a las cajas de la base de datos, etc.

Deseamos evitar los ataques XSS y similares.

¿Qué usas TÚ para darte confianza en tus sistemas? '); Respuesta DROP TABLE;

Answer 1

owasp sería un buen lugar para comenzar. Hay mucho que cubrir para incluir aquí.

Answer 2

Si la seguridad de su sitio no vale nada para su empresa, entonces eso es lo que debe pagar. Para mi empresa, la seguridad de nuestros datos y la imagen de marca tienen un valor bastante alto.

Pagamos un montón de dinero por las exploraciones regulares, hemos capacitado a los desarrolladores en piratería básica / seguridad de las aplicaciones, nuestras revisiones de código incluyen una revisión de seguridad y ahora estamos viendo AppScan de IBM (que es caro pero a la larga, probablemente sea más barato que todas las pruebas de pluma que pagamos).

Obtienes lo que pagas. Sin embargo, asegurarte de que entiendes los problemas de owasp sería un buen comienzo.

Answer 3

Personalmente, elijo no confiar en la seguridad de nuestros sistemas. Estoy convencido de que siempre hay algo que me falta y por eso sigo buscándolo.

Lo que parece que estás buscando es algo para que los demás se sientan seguros (incluso si esa confianza es una ilusión). La prueba de penetración es probablemente la opción correcta para eso. Dependiendo de la herramienta, muestra las posibles vulnerabilidades en un buen informe y luego puede informar cómo los mitigó.

Usamos IBM AppScan y es una buena herramienta para esto. Al igual que con cualquier probador de este tipo, se encontrará siguiendo muchas pistas malas. La mayoría de ellos no son falsas ideas en sí, sino más bien cosas que podrían ser un problema o que parecen serlo, y tendrá que investigar y determinar si realmente lo son.

No pondría mucha fe en este tipo de pruebas. Si la aplicación analiza, no significa que la aplicación esté limpia. No significa que no valga la pena, pero no hagas que sea más de lo que es.

Lo siguiente que analizaría son las herramientas de análisis estático en sus diferentes idiomas. Muchos de estos son gratuitos. De la mano de eso está la educación del desarrollador. Esta suele ser una solución bastante barata para el problema, solo asegurándose de que entiendan cuáles son los riesgos.

No hay una solución mágica, no hay una respuesta simple, debe definir la seguridad como un problema de TODOS y para asegurarse de que se le dé prioridad y compromiso.

Answer 4

Consulte dotDefender: tienen versiones para IIS / Apache / ISA. Utilizo esta aplicación para protegerme contra ataques de Inyección SQL / XSS / DDOS / sondeo / codificación. Ningún software será perfecto, pero en mi caso ejecuto sistemas con sitios desarrollados en .NET, PHP y ASP clásico, algunos de los cuales son nuevos y otros tienen más de 5 años.

http://www.applicure.com/?page=dotDefender

También tengo una compañía que realiza pruebas de penetración / ingeniería social cada año o algo así, pero con dotDefender, al menos estoy contento de tener una manta de seguridad de referencia para proteger mis sitios.

De particular interés para mí fue que su aplicación es totalmente compatible con x64, necesario ya que estoy usando servidores web x64.