コードスキャン/侵入テストツールのアドバイス

Question

私の知る限り製品は2つのカテゴリに分類され見ることができるように - などマカフィー、コモド、およびなどげっぷプロキシ、HPのWebInspectでは、CodeScan、

などのツールとして、スキャンサービス

理想的な世界では、私は（それは、スタンドアロンのツールだ場合は、必要に応じまたは）積極的に日常的に特定のURLを（ターゲットはLAMPスタックである）スキャンしたものを使用したいが、私は少し警戒しています取材や更新の頻度の点では、スタンドアロンのツール。 （必要に応じて、例えばマカフィーとして「リモート」スキャナがおそらく更新される。）

私はまた、自身がシステムを書き換え、当社のURLの中に迷子に管理し、いくつかのスタンドアロンのツール（その1残念ながら覚えていない）の問題を持っていた（劇中のファセット検索がありますので、あなたは物事がかなり深い乗る想像することができますURLフロント）。

このようにして、私はちょうどそことスタンドアロンのツールがスキャンサービスに対して積み重なるかどうかを人々は供物を持っていた経験何を思ったんだけど。

（ちなみに、私はペネトレーションテストツールのを知っている - 場合、私はただ思ったんだけど状況はそれ以来変更されている）。

Answer 1

私は、侵入テストを行っていると開発を利用します。私はいくつかのツールをオフに発射されていないハッキング最初の手の経験からあなたを伝えることができます。時にはツールは、人生を容易にすることができますが、あなたはあなたがして何をしているかわからない場合はツールが助けに行くのではありません。

あなたのシステムが安全であることの KNOW をしたいなら、あなたは破るために高い熟練したハッカーにする必要があります。PCI-DSSは、あなたが定期的に持っていることを義務付けクレジットカード処理のために必要な証明書であります侵入テストは、サーバー上で行いました。定期的な侵入テストを実施することで、非常に安全なサーバを持たせたい場合は、採用すべきものです。

Webサーバのための非常に良いセキュリティ対策は、Webアプリケーションファイアウォール（WAF）です。 WAFには、PCI-DSSによって必要とされています。 mod_securityののフリーでオープンソースWAFです。 mod_securityのは、攻撃の異なる種類の何百ものを防ぐために使用することができます。 WAFは、侵入テスターのために悪夢であってもよく、またはハッカーであろう。