Des conseils sur la numérisation de code de test de pénétration / outils
https://stackoverflow.com/questions/2078776
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Aussi loin que je peux voir les offres se répartissent en deux catégories – la numérisation services, tels que McAfee, Comodo, etc.et des outils tels que Rot Proxy, HP WebInspect,CodeScan, etc.
Dans un monde idéal, j'aimerais utiliser quelque chose qui activement numérisés à une certaine URL (la cible étant une pile LAMP) sur une base quotidienne (ou plus si c'est un outil autonome), mais je suis un peu méfiant des outils autonomes en termes de couverture et de fréquence de mise à jour.(La distance de lecteurs tels que McAfee sont probablement mis à jour selon les besoins).
J'ai aussi eu des problèmes avec certains outils autonomes (impossible de me souvenir laquelle malheureusement) qui a réussi à obtenir eux-mêmes perdus au sein de notre système de réécriture d'URL (il y a une facettes de la recherche dans le jeu, vous pouvez donc imaginer les choses deviennent assez profonde sur l'URL avant).
En tant que tel, je me demandais simplement ce qu'expériences de personnes ont eu avec les offres de là-bas et si les outils autonomes pile face à la numérisation des services.
(D'ailleurs, je suis conscient de La pénétration des outils de test - Je me demandais simplement si la situation a changé depuis)
La solution
J'ai fait les tests de pénétration et exploiter développement.Je peux vous dire par expérience de première main que le piratage n'est pas seulement de tirer certains outils.Parfois, les outils peuvent rendre la vie plus facile, mais si vous ne savez pas ce que vous faites alors un outil ne va pas aider.
Si vous voulez SAVOIR que votre système est sécurisé alors vous avez besoin de plus d'un pirate doué à l'effraction.La norme PCI-DSS est une certification requis pour le traitement de carte de crédit qui mandats que vous avez régulièrement des tests de pénétration effectuée sur votre serveur.La conduite régulière de tests de pénétration est quelque chose que vous devriez adopter si vous voulez avoir un serveur très sécurisé.
Une très bonne mesure de sécurité pour les serveurs web est une Web Application Firewall (WAF).Smpz sont également requis par la norme PCI-DSS. Mod_security est gratuit et open source WAF.Mod_Security peut être utilisé pour empêcher des centaines de différents types d'attaques.Un WAF peut être un cauchemar pour un testeur de pénétration ou serait hacker.
