Есть ли хороший сервис для проверки уязвимости сайта / сервера?

Question

Меня попросили предоставить информацию о доступных методах оценки наших текущих и любых будущих веб-сайтов на предмет проблем безопасности. запрос в форме

Знаете ли вы какой-нибудь хороший бесплатный, который проверяет дыры в безопасности?

Я думаю, что наша безопасность данных, вероятно, стоит небольшого авансового платежа, поэтому любые несвободные методы также будут оценены.

Наши системы представляют собой смесь из систем MySQL, Oracle, SQLServer, PHP, ASP.NET и т. Д., Но я полагаю, что это не имеет большого значения. Все системы защищены настолько, насколько они исправлены, и брандмауэры настроены разумно, чтобы посторонние люди не могли напрямую попасть в блоки базы данных и т. Д.

Это XSS и подобные атаки, которые мы хотим предотвратить.

Что ВЫ используете, чтобы придать вам уверенность в своих системах? '); DROP TABLE ответ;

Answer 1

Проверьте dotDefender - у них есть версии для IIS / Apache / ISA. Я использую это приложение для защиты от SQL-инъекций / XSS / DDOS / зондирующих / кодирующих атак. Ни одна часть программного обеспечения никогда не будет идеальной, но в моем случае я использую системы с сайтами, разрабатываемыми на .NET, PHP и классическом ASP, причем некоторые из наших сайтов являются новыми, а другим более 5 лет.

http://www.applicure.com/?page=dotDefender

У меня также есть компания, которая проводит тестирование на проникновение / социальную инженерию каждый год или около того, но с dotDefender я по крайней мере рад, что у меня есть базовое защитное одеяло для защиты моих сайтов.

Особый интерес для меня заключался в том, что их приложение полностью совместимо с x64 - необходимо, поскольку я использую веб-серверы x64.

Answer 2

Если безопасность вашего сайта ничего не стоит для вашей компании, то это то, что вы должны заплатить. Для моей компании безопасность наших данных и имиджа бренда имеют достаточно высокое значение.

Мы платим целую кучу денег за регулярное сканирование, мы обучили разработчиков основам взлома / безопасности приложений, наши обзоры кода включают обзор безопасности, и теперь мы смотрим на AppScan от IBM (который дорог, но в конечном итоге, вероятно, дешевле, чем все тесты пера, за которые мы платим).

Вы получаете то, за что платите. Убедиться, что вы понимаете проблемы с owasp, было бы хорошим началом.

Answer 3

Лично я предпочитаю не быть уверенным в безопасности наших систем. Я убежден, что мне всегда чего-то не хватает, и поэтому я продолжаю искать это.

То, что вы, похоже, ищете, - это то, что заставляет других чувствовать уверенность (даже если эта уверенность является иллюзией). Тест на проникновение, вероятно, является правильным выбором для этого. В зависимости от инструмента, он показывает потенциальные уязвимости в хорошем отчете, а затем вы можете сообщить, как вы их уменьшили.

Мы используем IBM AppScan, и это хороший инструмент для этого. Как и с любым тестером этого типа, вы обнаружите, что следите за многими плохими новостями. Большинство из них не являются ложными предположениями сами по себе, это скорее всего лишь вещи, которые могут быть проблемой или казаться, и вам придется исследовать и определить, действительно ли это так.

Я бы не поверил в такого рода испытания. Если ваше приложение сканирует чисто, это не значит, что ваше приложение чистое. Это не значит, что оно бесполезно, но не надо понимать, что оно больше, чем есть.

Следующее, что я хотел бы рассмотреть, - это инструменты статического анализа на разных языках. Многие из них бесплатны. Рука об руку с этим является разработчиком образования. Обычно это довольно дешевое решение проблемы, просто убедившись, что они понимают, каковы риски.

Нет серебряной пули, нет простого ответа, вам нужно определить безопасность как КАЖДУЮ проблему и убедиться, что ей даны приоритет и обязательство.

Answer 4

owasp было бы хорошим началом. Здесь слишком много информации, чтобы включить ее.