웹 사이트/서버 취약점을 확인하기위한 좋은 서비스가 있습니까?

Question

현재 평가를위한 가용 기술 및 보안 문제에 대한 향후 웹 사이트에 대한 정보를 제공하라는 요청을 받았습니다. 요청은의 형태입니다

보안 구멍을 검사하는 좋은 무료를 알고 있습니까?

우리의 데이터 보안은 아마도 소량의 선불 지출 가치가 있다고 생각하므로 모든 비없는 방법도 감사 할 것입니다.

우리의 시스템은 MySQL, Oracle, SQLServer, PHP, ASP.NET 등 시스템의 엄청난 매쉬입니다. 모든 시스템은 패치가 패치 된만큼 보안되어 있으며 방화벽은 현명하게 설정되어 외부 사람들은 데이터베이스 상자 등에 직접 이동할 수 없습니다.

우리가 예방하고자하는 것은 XSS 및 유사한 공격입니다.

시스템에 대한 자신감을주기 위해 무엇을 사용합니까? '); 드롭 테이블 답변;

Answer 1

OWASP 시작하기에 좋은 곳이 될 것입니다. 여기에 포함시키기에는 너무 많은 것이 있습니다.

Answer 2

귀하의 사이트의 보안이 귀하의 회사에 가치가 없다면, 이것이 당신이 지불 해야하는 것입니다. 내 회사의 경우 데이터와 브랜드 이미지의 보안은 상당히 높은 가치가 있습니다.

우리는 정기적 인 스캔을 위해 많은 돈을 지불하고, 애플리케이션의 기본 해킹/보안 분야에서 개발자들을 훈련 시켰으며, 코드 리뷰에는 보안 검토가 포함되어 있으며 이제 IBM의 AppScan을보고 있습니다 (비싸지 만 오랫동안 AppScan을보고 있습니다. 우리가 지불하는 모든 펜 테스트보다 더 저렴하게 달리십시오).

당신은 당신이 지불하는 것을 얻습니다. OWASP 문제를 이해하도록하는 것이 좋은 시작 일 것입니다.

Answer 3

개인적으로, 나는 우리 시스템의 보안에 확신을 갖지 않기로 선택합니다. 나는 항상 내가 놓친 것이 있다고 확신합니다. 따라서 나는 그것을 계속 찾고 있습니다.

당신이 찾고있는 것처럼 보이는 것은 다른 사람들이 자신감을 느끼게하는 것입니다 (자신감이 환상이더라도). 침투 테스트는 아마도 올바른 선택 일 것입니다. 이 도구에 따라 멋진 보고서에서 잠재적 인 빈곤성을 보여주고 완화 방법을보고 할 수 있습니다.

우리는 IBM AppScan을 사용하며이를위한 좋은 도구입니다. 이 유형의 모든 테스터와 마찬가지로 많은 나쁜 리드를 따르는 자신을 찾을 수 있습니다. 그들 대부분은 거짓 우편 자체가 아니며, 문제가 될 수있는 것들이 있거나 보이는 것들이 더 많으며, 당신은 그들이 실제로 있는지 조사하고 결정해야 할 것입니다.

나는 이런 종류의 테스트에 대해 많은 믿음을 가지지 않을 것입니다. 앱을 청소한다고해서 실제로 앱이 깨끗하다는 의미는 아닙니다. 그것이 쓸모가 없다는 것을 의미하지는 않지만 그보다 더 많은 것을 만들지는 않습니다.

다음으로 살펴볼 것은 다양한 언어로 된 정적 분석 도구입니다. 이것들 중 많은 부분이 무료입니다. 그와 함께 개발자 교육입니다. 그것은 일반적으로 문제에 대한 매우 저렴한 솔루션이며, 위험이 무엇인지 이해하도록합니다.

실버 총알도없고 간단한 답변이 없으며, 보안을 모든 사람의 문제로 정의하고 우선 순위와 헌신이 모두 제공되어야합니다.

Answer 4

DotDefender를 확인하십시오 - IIS/Apache/ISA 용 버전이 있습니다. 이 앱을 사용하여 SQL 주입/XSS/DDOS/프로브/인코딩 공격으로부터 보호합니다. 완벽한 소프트웨어는 완벽하지는 않지만 제 경우에는 .NET, PHP 및 클래식 ASP에서 사이트가 개발되고 일부 사이트가 새롭고 다른 사이트가 5 세 이상인 시스템을 실행합니다.

http://www.applicure.com/?page=dotdefender

나는 또한 회사가 매년 침투 / 사회 공학을하고 있지만 Dotdefender와 함께 내 사이트를 보호하기위한 기준 보안 담요가 있다는 것이 기쁘다.

나에게 특히 관심이있는 것은 그들의 앱이 x64 웹 서버를 사용하기 때문에 x64 호환 가능하다는 것이었다.