Existe-t-il un bon service pour vérifier la vulnérabilité des sites Web / serveurs
https://stackoverflow.com/questions/253545
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
On m'a demandé de fournir des informations sur les techniques disponibles pour évaluer nos sites Web actuels et futurs en ce qui concerne les problèmes de sécurité. la demande est sous la forme de
Connaissez-vous un bon logiciel gratuit qui examine les failles de sécurité?
Je pense que notre sécurité des données ne représente probablement qu'une petite quantité de dépenses initiales. Par conséquent, toutes les méthodes non libres seraient également appréciées.
Nos systèmes sont un mélange de bases de données MySQL, Oracle, SQLServer, PHP, ASP.NET, etc., bien que je suppose que cela n’a aucune importance. Tous les systèmes sont sécurisés dans la mesure où ils sont corrigés et les pare-feu sont configurés de manière raisonnable afin que les personnes extérieures ne puissent pas accéder directement aux zones de la base de données, etc.
Ce sont des attaques XSS et similaires que nous souhaitons prévenir.
Qu'est-ce que VOUS utilisez pour vous faire confiance dans vos systèmes? '); DROP TABLE answer;
La solution
owasp serait un bon point de départ. Il y a trop à couvrir pour inclure ici.
Autres conseils
Si la sécurité de votre site ne vaut rien pour votre entreprise, c'est ce que vous devriez payer. Pour mon entreprise, la sécurité de nos données et de l’image de marque a une valeur très élevée.
Nous payons beaucoup d’argent pour des analyses régulières, nous avons formé les développeurs au piratage / à la sécurité d’applications de base, nos révisions de code incluent une révision de la sécurité et nous examinons maintenant AppScan d’IBM (ce qui coûte cher mais à long terme probablement moins cher que tous les tests de stylo que nous payons).
Vous en avez pour votre argent. S'assurer que vous comprenez bien les problèmes liés à owasp serait un bon début cependant.
Personnellement, j’ai choisi de ne pas faire confiance à la sécurité de nos systèmes. Je suis convaincu qu'il y a toujours quelque chose qui me manque et c'est pourquoi je continue à le chercher.
Ce que vous semblez chercher, c’est quelque chose qui donne confiance aux autres (même si cette confiance est une illusion). Les tests de pénétration sont probablement le bon choix pour cela. Selon l’outil utilisé, il affiche les vulnérabilités potentielles dans un rapport intéressant, puis vous pouvez indiquer comment vous les avez atténuées.
Nous utilisons IBM AppScan et c’est un bon outil pour cela. Comme avec tout testeur de ce type, vous vous retrouverez à suivre beaucoup de mauvaises pistes. La plupart d'entre eux ne sont pas de fausses postures en soi, mais plutôt des choses qui pourraient être un problème ou qui semblent l'être et vous devrez enquêter et déterminer si elles le sont réellement.
Je ne mettrais pas beaucoup de confiance dans ce type de test. Si votre application analyse en mode net, cela ne signifie pas pour autant que votre application est propre. Cela ne veut pas dire que cela ne vaut rien, mais ne prétendez pas être plus que ce qu'il est.
La prochaine chose que je voudrais examiner concerne les outils d’analyse statique dans vos différents langages. Beaucoup d'entre eux sont gratuits. La formation des développeurs est de pair avec cela. C’est généralement une solution peu coûteuse au problème, il suffit de s’assurer qu’ils comprennent les risques.
Il n’existe pas de solution miracle, pas de réponse simple, vous devez définir la sécurité comme un problème TOUT LE MONDE et vous assurer qu’elle bénéficie à la fois de la priorité et de l’engagement.
Découvrez dotDefender - ils ont des versions pour IIS / Apache / ISA. J'utilise cette application pour me protéger des attaques par injection SQL / XSS / DDOS / probing / encoding. Aucun logiciel ne sera jamais parfait, mais dans mon cas, je gère des systèmes dont les sites sont développés en .NET, PHP et ASP classique. Certains de nos sites sont nouveaux et d’autres datent de plus de 5 ans.
http://www.applicure.com/?page=dotDefender
J'ai également une entreprise qui effectue des tests de pénétration / ingénierie sociale tous les ans ou plus, mais avec dotDefender, je suis au moins heureuse d'avoir une couverture de sécurité de base pour protéger mes sites.
Ce qui m'intéresse particulièrement, c’est que leur application est totalement compatible x64 - ce qui est nécessaire puisque j’utilise des serveurs Web x64.
