Консультации по инструментам сканирования кода/тестирования на проникновение
https://stackoverflow.com/questions/2078776
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Насколько я понимаю, предложения делятся на две категории — сервисы сканирования, такие как McAfee, Comodo и т. д.и такие инструменты, как Burp Proxy, HP WebInspect, CodeScan и т. д.
В идеальном мире я бы использовал что-то, что активно сканировало бы определенный URL-адрес (целью был стек LAMP) ежедневно (или по мере необходимости, если это автономный инструмент), но я немного настороженно отношусь к автономным инструментам в с точки зрения их охвата и частоты обновления.(Предположительно, «удаленные» сканеры, такие как McAfee, обновляются по мере необходимости.)
У меня также были проблемы с некоторыми автономными инструментами (к сожалению, не помню, какие именно), которые терялись в нашей системе переписывания URL-адресов (есть фасетный поиск, так что вы можете себе представить, что на фронте URL-адресов все становится довольно глубоко). ).
Таким образом, мне просто интересно, какой опыт люди получили от существующих предложений и сравнимы ли автономные инструменты со службами сканирования.
(Кстати, я в курсе Инструменты тестирования на проникновение - Мне просто интересно, изменилась ли ситуация с тех пор)
Решение
Я провел тестирование на проникновение и эксплуатировать развитие.Я могу сказать вам по собственному опыту, что хакерство — это не просто запуск какого-то инструмента.Иногда инструменты могут облегчить жизнь, но если вы не знаете, что делаете, инструмент не поможет.
Если вы хотите ЗНАТЬ Если ваша система безопасна, вам понадобится опытный хакер, чтобы взломать ее.PCI-DSS — это сертификат, необходимый для обработки кредитных карт, который требует регулярного проведения тестов на проникновение на вашем сервере.Если вы хотите иметь очень безопасный сервер, вам следует проводить регулярное тестирование на проникновение.
Очень хорошей мерой безопасности для веб-серверов является брандмауэр веб-приложений (WAF).WAF также требуются PCI-DSS. Mod_security является бесплатным WAF с открытым исходным кодом.Mod_Security можно использовать для предотвращения сотен различных типов атак.WAF может стать кошмаром для тестера на проникновение или стать хакером.
