我被要求提供有关评估我们当前以及任何未来网站安全问题的可用技术的信息。请求采用
的形式你知道任何一个检查安全漏洞的好免费的吗?
我认为我们的数据安全性可能值得花费少量的前期支出,因此任何非免费方法也会受到赞赏。
我们的系统是mySQL,Oracle,SQLServer,PHP,ASP.NET等系统的混合体,但我想这并不重要。所有系统都在修补时保护,并且防火墙设置合理,因此人们无法直接进入数据库盒等。
我们希望防止XSS和类似的攻击。
您使用什么来让您对系统充满信心? '); DROP TABLE回答;
答案 0 :(得分:1)
owasp将是一个很好的起点。这里包含的内容太多了。
答案 1 :(得分:1)
如果您网站的安全性对您的公司毫无价值,那么您应该支付的费用。对于我的公司而言,我们的数据安全性和品牌形象具有很高的价值。
我们为定期扫描支付了大量资金,我们已经培训开发人员基本的黑客/应用程序安全性,我们的代码审查包括安全审查,现在我们正在寻找IBM的AppScan(这很昂贵但是从长远来看,可能比我们支付的所有笔测试都要便宜。
你得到你付出的代价。确保你了解owasp问题将是一个良好的开端。
答案 2 :(得分:1)
就个人而言,我选择不对我们系统的安全性充满信心。我确信总有一些东西是我失踪的,因此我一直在寻找它。
你似乎正在寻找的是让别人感到自信的东西(即使这种信心是幻想)。渗透测试可能是正确的选择。根据工具的不同,它会在一个漂亮的报告中显示潜在的可用性,然后您可以报告如何减轻它们。
我们使用IBM AppScan,它是一个很好的工具。与任何此类型的测试仪一样,您会发现自己会遇到很多糟糕的线索。他们中的大多数本身并不是虚假的积极因素,更多的只是可能是一个问题或似乎是一个问题,你将不得不调查并确定它们是否真的存在。
我不会对这种测试充满信心。如果您的应用程序扫描干净,它并不意味着您的应用程序是干净的。并不意味着它毫无价值,但不要让它变得多于它。
接下来我要研究的是各种语言的静态分析工具。其中很多都是免费的。与此同时携手开发人员教育。这通常是一个非常便宜的解决方案,只是确保他们了解风险是什么。
没有灵丹妙药,没有简单的答案,你需要将安全性定义为每个人的问题,并确保它既有优先权又有承诺。
答案 3 :(得分:1)
查看dotDefender - 他们有IIS / Apache / ISA的版本。我使用此应用程序来防止SQL注入/ XSS / DDOS /探测/编码攻击。任何软件都不会是完美的,但在我的情况下,我运行的系统的网站是用.NET,PHP和经典ASP开发的,我们的一些网站是新的,其他网站是5年以上。
http://www.applicure.com/?page=dotDefender
我也有一家公司每年都会进行渗透测试/社交工程,但是使用dotDefender我至少很高兴我有一个基线安全毯来保护我的网站。
我特别感兴趣的是他们的应用程序完全兼容x64 - 因为我使用的是x64网络服务器。