Existe um serviço bom para verificar vulnerabilidade site / servidor

Question

I foram convidados a fornecer informações sobre técnicas disponíveis para avaliar o nosso actual e todos os sites futuros para problemas de segurança. o pedido é na forma de

Você sabe de qualquer bom livre que examina para falhas de segurança?

Eu acho que a nossa segurança de dados é provavelmente vale uma pequena quantidade de gastos adiantado assim quaisquer métodos não-livres seria apreciada também.

Nossos sistemas são uma mistura louca de mySQL, Oracle, SQLServer, PHP, ASP.NET etc etc sistemas embora eu acho que isso não importa muito. Todos os sistemas estão garantidos na medida em que eles são corrigidos e os firewalls são definidas de forma sensata as pessoas para fora não pode chegar diretamente às caixas de banco de dados, etc.

É XSS e ataques semelhantes que queremos evitar.

O que você usa para dar-lhe a confiança em seus sistemas? '); Resposta DROP TABLE;

Answer 1

OWASP seria um bom lugar para começar. Há muito a cobertura para incluir aqui.

Answer 2

Se a segurança do seu site não vale nada para sua empresa, então é isso que você deve pagar. Para a minha empresa a segurança de nossos dados e a imagem de marca tem um valor bastante elevado.

Nós pagamos um monte de dinheiro para exames regulares, que já treinou os desenvolvedores em hacking básico / segurança das aplicações, nossas revisões de código incluem uma revisão de segurança e agora estamos olhando para AppScan da IBM (que é caro, mas no longo prazo, provavelmente, mais barato do que toda a caneta' testando nós paga).

Você recebe o que você paga. Certificando-se de compreender as questões OWASP seria um bom começo embora.

Answer 3

Pessoalmente, eu optar por não estar confiante na segurança dos nossos sistemas. Estou convencido de que há sempre algo que eu estou ausente e, portanto, eu continuo olhando para ele.

O que você parece estar à procura de algo para fazer os outros sentir confiante (mesmo que a confiança é uma ilusão). Os testes de penetração é provavelmente a escolha certa para isso. Dependendo da ferramenta, ele mostra potenciais Vunerabilities em um relatório bom e, em seguida, você pode relatar como você mitigados-los.

Nós usamos IBM AppScan e é uma boa ferramenta para isso. Como acontece com qualquer testador deste tipo que você vai encontrar-se após uma série de maus leads. A maioria deles não são falsos postives por si só, as coisas mais justas que possam ser um problema ou parecem ser, e você terá que investigar e determinar se eles realmente são.

Eu não colocaria muita fé neste tipo de testes. Se você aplicativo varre limpo realmente não significa que seu aplicativo é limpo. não significa que é inútil, mas não torná-lo a ser mais do que é.

A próxima coisa que eu olhar é ferramentas de análise estática em suas várias línguas. Muitos deles são gratuitos. De mãos dadas com que é a educação desenvolvedor. Que normalmente é uma solução barata bonita para o problema, apenas fazendo com que eles entendam quais são os riscos.

Não há bala de prata, nenhuma resposta simples, você precisa definir a segurança como um problema de todos e se certificar de que é dado tanto prioridade e compromisso.

Answer 4

Confira dotDefender - eles têm versões para IIS / Apache / ISA. I usar este aplicativo para proteger contra SQL Injection / XSS / DDOS / sondagem / ataques que codificam. Nenhum pedaço de software nunca vai ser perfeito, mas no meu caso eu executar sistemas com os locais a ser desenvolvido em .NET, PHP e ASP clássico com alguns de nossos sites de ser novo e outros sendo 5 + anos de idade.

http://www.applicure.com/?page=dotDefender

Eu também tenho uma empresa de fazer testes de penetração / engenharia social cada ano ou assim tão bem, mas com dotDefender eu sou, pelo menos feliz que eu tenho um cobertor de segurança da linha de base para proteger os meus sites.

De particular interesse para mim foi que a sua aplicação é totalmente compatível com x64 -. Necessário desde que eu estou usando servidores x64 web