Esiste un buon servizio per controllare la vulnerabilità del sito Web / server

Question

Mi è stato chiesto di fornire informazioni sulle tecniche disponibili per valutare i nostri siti Web attuali e futuri per problemi di sicurezza. la richiesta è in forma di

  

Sei a conoscenza di qualsivoglia buono gratuito che esamina le falle della sicurezza?

Penso che la nostra sicurezza dei dati valga probabilmente una piccola quantità di spesa iniziale, quindi anche i metodi non gratuiti sarebbero apprezzati.

I nostri sistemi sono un miscuglio di sistemi mySQL, Oracle, SQLServer, PHP, ASP.NET ecc ecc, anche se immagino che ciò non abbia importanza. Tutti i sistemi sono protetti nella misura in cui sono patchati e i firewall sono impostati in modo ragionevole in modo che le persone esterne non possano accedere direttamente alle caselle del database ecc.

È XSS e attacchi simili che desideriamo prevenire.

Cosa usi per darti fiducia nei tuoi sistemi? '); Risposta DROP TABLE;

Answer 1

owasp sarebbe un buon punto di partenza. C'è troppo da coprire per includere qui.

Answer 2

Se la sicurezza del tuo sito non vale nulla per la tua azienda, allora è quello che dovresti pagare. Per la mia azienda la sicurezza dei nostri dati e l'immagine del marchio ha un valore piuttosto elevato.

Paghiamo un sacco di soldi per scansioni regolari, abbiamo istruito gli sviluppatori sull'hacking / la sicurezza delle applicazioni di base, le nostre revisioni del codice includono una revisione della sicurezza e ora stiamo guardando AppScan da IBM (che è costoso ma a lungo termine probabilmente più economico di tutti i test delle penne per cui paghiamo).

Ottieni ciò per cui paghi. Assicurarti di comprendere i problemi di Owasp sarebbe comunque un buon inizio.

Answer 3

Personalmente, ho scelto di non essere fiducioso nella sicurezza dei nostri sistemi. Sono convinto che ci sia sempre qualcosa che mi manca e quindi continuo a cercarlo.

Quello che sembri cercare è qualcosa per far sentire gli altri sicuri (anche se quella fiducia è un'illusione). Il test di penetrazione è probabilmente la scelta giusta per questo. A seconda dello strumento, mostra le potenziali valutazioni in un bel rapporto e quindi puoi segnalare come le hai mitigate.

Utilizziamo IBM AppScan ed è un ottimo strumento per questo. Come con qualsiasi altro tester di questo tipo, ti ritroverai a seguire molti problemi. La maggior parte di loro non sono falsi postivi di per sé, più semplicemente cose che potrebbero essere un problema o che sembrano essere e dovrete indagare e determinare se lo sono effettivamente.

Non avrei molta fiducia in questo tipo di test. Se le scansioni delle app sono pulite, ciò non significa che l'app sia pulita. Ciò non significa che sia inutile, ma non farne di più.

La prossima cosa che vorrei esaminare sono gli strumenti di analisi statica nelle tue varie lingue. Molti di questi sono gratuiti. Di pari passo con l'educazione degli sviluppatori. Questa è di solito una soluzione abbastanza economica al problema, assicurandosi solo che capiscano quali sono i rischi

Non esiste un proiettile d'argento, nessuna risposta semplice, è necessario definire la sicurezza come un problema PER TUTTI e assicurarsi che sia data priorità e impegno.

Answer 4

Dai un'occhiata a dotDefender: hanno versioni per IIS / Apache / ISA. Uso questa app per proteggermi dagli attacchi SQL Injection / XSS / DDOS / probing / encoding. Nessun software sarà mai perfetto, ma nel mio caso eseguo sistemi con siti sviluppati in .NET, PHP e ASP classico con alcuni dei nostri siti nuovi e altri con più di 5 anni.

http://www.applicure.com/?page=dotDefender

Ho anche una società che esegue test di penetrazione / ingegneria sociale ogni anno o giù di lì, ma con dotDefender sono almeno felice di avere una coperta di sicurezza di base per proteggere i miei siti.

Di particolare interesse per me è che la loro app è pienamente compatibile con x64 - necessaria dal momento che sto usando i web server x64.