我负责一个必须非常安全的网络应用程序。用户将使用该站点向对方提交高度敏感的信息。安全必须是世界一流的。
我们相信我们以最小化安全风险的方式构建网站,并且我们在全公司范围内实施了许多政策和程序以提高安全性。
我们希望第三方执行详尽且持续的安全测试:自动化测试,应用程序测试等,以检查跨站点脚本问题,服务器配置错误,表单/隐藏字段操作,命令注入, Cookie中毒,已知平台漏洞等。
这些类型服务的最佳公司是什么?
答案 0 :(得分:6)
我不能告诉你哪家公司是最好的,但我可以提到一类我认为应该避免使用的服务/公司。这些公司针对主题IP运行简单的脚本(可能只是NMAP),并收集表面信息以报告可能的漏洞。此类别中一家受欢迎的公司是Scan Alert的“黑客安全”。
去年我写了一篇关于我对这家公司的经历的帖子:Is Your Site Hacker Safe?
Scan Alert,McAffee等的问题在于,他们只是扫描网站上的版本字符串和已知漏洞。没有考虑到某些服务(如Red Hat Enterprise Linux)将在保留先前版本标识符的同时向后移植安全修复程序。更糟糕的是,没有尝试实际检测到实时漏洞,因此实际的安全漏洞仍未被发现,而误报则会分散注意力。
如果我真的需要知道我的应用程序或系统是否容易受到攻击,我会保留信誉良好的渗透测试顾问的服务。我不相信自动化测试,但会尝试利用我的应用程序/系统可能存在的任何漏洞的实际专家。
答案 1 :(得分:4)
我肯定会去: http://www.sectheory.com/ 经常在网络安全上发表博客的人:http://ha.ckers.org/blog/
答案 2 :(得分:2)
我不熟悉提供此类服务的公司。我们使用HP application security center。它是一个自动测试工具,用于验证您提到的方面的应用程序安全性。
免责声明:我为HP软件工作。
答案 3 :(得分:2)
S21Sec是一家非常专业的安全公司,拥有许多重要的机构和公司作为客户。
Tenable,最着名的VA-Tool Nessus的创建者,拥有也很有用的培训和认证课程。尽管如此,我不知道他们自己是否提供安全服务。
Counterpane,由着名的cryptoanalyst Bruce Schneier创建的公司,现在是BT group的一部分,提供您正在寻找的服务。
答案 4 :(得分:1)
目前我只推荐两家公司:Artec的Gunnar Peterson和Security Compass的Nish Bhalla。
答案 5 :(得分:1)
首先,你应该意识到你有几种不同类型的选择:根据你的预算和实际的安全需求,你可以通过获得一个自动的网络扫描工具(很多那些)来提供服务。但考虑到这些并不是很好,你可以期待发现多达30-40%的漏洞,另一方面,这确实有助于清理scriptkiddies之类的低悬的水果。
另一方面,您可能需要的不仅仅是渗透测试,而是更全面的安全审核,包括设计审核,代码审核,指南等。这个问题的答案通常与您原来的问题不同,似乎是针对测试。如果您确实需要这些,请告诉我,我也可以提供帮助。
但对你直接的问题,一个好的测试公司 - 取决于你所在的地区 此外,您的具体需求 - 不仅仅是您想要的安全性,还有您拥有的技术。有些人在某些方面比其他方面更好。无论如何,你不想要一个特定的名字,你应该要求标准。
同样,根据您所在的地区,有许多本地的“精品”类型公司,但重要的是从了解安全性的客户那里获取这些的参考资料。在这个令人困惑的领域中有太多的东西只是为他们不知情的客户提供了一些奇怪的信息,而且直到有一天他们被一些微不足道的漏洞攻击破坏之前,这些信息永远都不会知道。