ウェブサイト/サーバーの脆弱性をチェックするための良いサービスはありますか

Question

セキュリティの問題について、現在および将来のWebサイトを評価するための利用可能な技術に関する情報を提供するよう求められました。リクエストの形式は

です

  

セキュリティホールを調べる無料の優れたものを知っていますか？

私たちのデータセキュリティはおそらく少額の先行投資の価値があると思いますので、フリーでない方法も歓迎します。

私たちのシステムはmySQL、Oracle、SQLServer、PHP、ASP.NETなどのシステムのごちゃごちゃしたものですが、それはあまり重要ではないと思います。すべてのシステムは、パッチが適用される限りセキュリティで保護され、ファイアウォールは適切に設定されているため、外部の人はデータベースボックスなどに直接アクセスできません。

私たちが防止したいのは、XSSと同様の攻撃です。

システムに自信を持たせるために何を使用しますか？ '）; DROP TABLE answer;

Answer 1

owasp を開始するのに適した場所です。ここに含めるには多すぎます。

Answer 2

サイトのセキュリティが会社にとって何の価値もない場合、それはあなたが支払うべきものです。私の会社にとって、データとブランドイメージのセキュリティは非常に高い価値があります。

定期的なスキャンに全額を支払い、開発者にアプリケーションの基本的なハッキング/セキュリティのトレーニングを行い、コードレビューにセキュリティレビューを含め、IBMのAppScanを検討しています（高価ですが、長期的にはおそらく、私たちが支払うすべてのペンのテストよりも安いでしょう）。

お支払いいただいた金額を受け取ります。ただし、owaspの問題を確実に理解することは良い出発点です。

Answer 3

個人的に、私はシステムのセキュリティに自信がないことを選択します。私は常に何かが欠けていると確信しているので、探し続けています。

あなたが探しているのは、他の人に自信を持たせることです（たとえその自信が幻想であっても）。侵入テストはおそらくそのための正しい選択です。ツールによっては、潜在的な脆弱性を素敵なレポートで表示し、それらをどのように軽減したかを報告できます。

IBM AppScanを使用しており、このための優れたツールです。このタイプのテスターと同様に、多くの悪いリードをたどっていることに気付くでしょう。それらのほとんどは、それ自体が偽の主張ではなく、問題であるか、またはそうである可能性のある単なるものであり、実際にそうであるかどうかを調査して判断する必要があります。

私はこの種のテストにはあまり信頼していません。アプリをきれいにスキャンしても、アプリがきれいというわけではありません。価値がないという意味ではありませんが、それ以上にならないようにしてください。

次に検討するのは、さまざまな言語の静的分析ツールです。これらの多くは無料です。それと連動するのが開発者教育です。これは通常、この問題に対する非常に安価な解決策であり、リスクが何であるかを確実に理解させるだけです。

特効薬や簡単な答えはありません。セキュリティをすべての問題として定義し、優先度とコミットメントの両方が与えられていることを確認する必要があります。

Answer 4

dotDefenderをチェックしてください-IIS / Apache / ISAのバージョンがあります。このアプリを使用して、SQLインジェクション/ XSS / DDOS /プローブ/エンコード攻撃から保護します。完璧なソフトウェアはありませんが、私の場合は、.NET、PHP、および古典的なASPで開発されたサイトでシステムを実行します。一部のサイトは新しく、他のサイトは5歳以上です。

http://www.applicure.com/?page=dotDefender

毎年、侵入テスト/ソーシャルエンジニアリングを行っている会社もありますが、dotDefenderを使用すると、サイトを保護するためのベースラインセキュリティブランケットを手に入れることができて少なくとも満足しています。

特に興味深いのは、アプリがx64と完全に互換性があることです-x64 Webサーバーを使用しているためです。