Domanda:
Quali sono alcune buone soluzioni di scansione della sicurezza del sito web?
Doozer Blake
2010-11-12 07:13:34 UTC
view on stackexchange narkive permalink

Quali sono alcune buone soluzioni di scansione per la sicurezza dei siti Web basate sul Web? Non sono troppo preoccupato se si tratta di soluzioni basate sul Web o di software che possono essere eseguiti localmente.

In generale, sto cercando qualcosa che possiamo eseguire per fornire ai clienti una sorta di certificazione che i loro siti sono sicuri. Un vantaggio di alcune delle soluzioni basate sul web sarebbe che possono automatizzarlo e fornire un "sigillo" che dimostra che il controllo di sicurezza è aggiornato. Un esempio di quello che ho visto è lo GoDaddy Website Protection Site Scanner

Quel servizio di GoDaddy sembra piuttosto losco, simile al famigerato HackerSafe di McAfee. Più come "HackerTarget" ... nota che NON lo sto raccomandando.
Buon punto. Avrebbe senso espandere la domanda per chiedere anche se un servizio come questo è buono / cattivo da pubblicizzare?
Domanda interessante, volevo semplicemente dire che di solito le aziende certificano i prodotti dei loro partner sulla base della scansione del codice con scanner come Fortify Veracode e altri.
Sette risposte:
#1
+17
Tate Hansen
2010-11-12 08:41:04 UTC
view on stackexchange narkive permalink

Sfortunatamente non ci sono scanner automatici per rilevare tutti i tipi di vulnerabilità nelle moderne applicazioni web (spesso ne sento meno del 50%).

Affidarsi solo a soluzioni automatizzate è irto di carenze. Gli scanner automatici possono esporre le cose facili, ma è necessaria l'intelligenza umana per esplorare e rivelare ulteriori vulnerabilità.

Detto questo, puoi fare riferimento a questa domanda (e alle risposte) per visualizzare un elenco di strumenti di valutazione delle vulnerabilità delle applicazioni web automatizzati più diffusi.

#2
+8
Weber
2010-12-10 00:51:45 UTC
view on stackexchange narkive permalink

Dai un'occhiata all'elenco Web Application Security Scanner del Web Application Security Consortium (WASC). Nota, sono uno degli autori di Watcher che è uno scanner di vulnerabilità passivo gratuito e open source in questo elenco. Questo elenco include anche le soluzioni di scansione Software as a Service.

#3
+7
spinkham
2010-11-20 03:36:14 UTC
view on stackexchange narkive permalink

Forse è utile parlare di un analogo del mondo reale.

Supponi che il tuo cliente abbia un negozio fisico. Come si verifica che sia sicuro?

Per prima cosa è necessario comprendere il modello di minaccia. È un chiosco di limonate, un minimarket o una gioielleria? Richiedono tutti livelli di sicurezza molto diversi.

Quindi è necessario implementare i controlli richiesti per quel tipo di proprietà. Per un chiosco di limonate, probabilmente è sufficiente un semplice registratore di cassa da pesca con chiusura a scatto.

Infine, è necessario monitorare periodicamente che i controlli funzionino. Le casseforti bancarie sono valutate nel tempo previsto per il crack. Non esiste una sicurezza perfetta e una sorta di monitoraggio fa quasi sempre parte della sicurezza fisica. In ambienti a bassa sicurezza questo di solito accade solo se il personale è presente almeno periodicamente.

Allo stesso modo, non esiste una risposta adatta a tutte le dimensioni nella sicurezza delle applicazioni, indipendentemente da ciò che il fornitore o il consulente dice diversamente. Forse fare una domanda più specifica, inclusi dettagli come: questi siti gestiscono i pagamenti? Esistono requisiti normativi? Se stai gestendo i dati della carta di credito, la risposta è probabilmente sì. Ci sono accessi? Quali dati di identificazione personale vengono protetti? ecc ...

#4
+6
Rory Alsop
2010-12-09 05:00:21 UTC
view on stackexchange narkive permalink

Andare un po 'fuori tema rispetto alla sicurezza IT ... una "certificazione" è una cosa molto pericolosa dal punto di vista della responsabilità. Consiglierei una buona lettura delle scritte in piccolo su qualsiasi servizio di "certificazione", se offre qualcosa che resista quando necessario (ad esempio, se il sito web viene violato puoi rivendicare o passare la colpa) sarei molto sbalordito.

Ciò che è molto più facile da offrire per un fornitore è una dichiarazione di quanto sia appropriato la sicurezza è in un punto nel tempo, quindi questo è ciò che accade di solito.

In un'organizzazione precedente, mi sarei aspettato di addebitare 5-10 volte di più se dovessi fornire qualcosa come una certificazione, poiché i miei problemi di rischio e responsabilità erano significativi.

Come è preziosa la certificazione per te e per i tuoi clienti? Potresti accettare un rapporto che consigli sulla sicurezza del sito rispetto ai colleghi?

#5
+4
James T
2010-11-12 08:39:44 UTC
view on stackexchange narkive permalink

Potresti dare un'occhiata a questo elenco google. Mostra un sacco di scanner principali, ma la maggior parte degli scanner automatici non riesce a testare ogni istanza di exploit. I veri test umani sono i migliori.

#6
+4
atdre
2010-11-14 18:00:03 UTC
view on stackexchange narkive permalink

Esistono due tipi di scanner di sicurezza per siti Web basati sul Web di cui sono attualmente a conoscenza:

  • Quelli che cercano difetti di sicurezza di siti Web e applicazioni Web
  • che cercano malware ospitato sul tuo sito web

Qualys fornisce servizi per entrambi che sono abbastanza standardizzati, economici (per quello che ottieni) e ordinari. Nessuna delle loro scansioni è molto avanzata e non mirerà al tuo sito web o alla tua applicazione web come farebbe un vero hacker. Nessuno scanner è in grado di simulare un vero hacker. Ci sono alcuni bot come Aprox che hanno simulato un attacco di SQL injection automatizzato, ma questo è solo uno strumento nella toolchain di un avversario moderno.

Ci sono alcuni servizi gratuiti, ma mancano anche di lucentezza:

  • Qualys SSL Labs (esegue la scansione solo per problemi di sicurezza SSL / TLS)
  • ZeroDayScan (esegue la scansione solo per alcuni siti Web e difetti di sicurezza dell'applicazione web)
  • Unmask Parasites (esegue la scansione solo per malware presente sul tuo sito web)

Se l'applicazione web che stai provando testare, valutare o controllare le vulnerabilità delle applicazioni web ha una classificazione di rischio reale (cioè è sotto attacco, o è stato sotto attacco in passato, o c'è motivo di credere che sarà attaccato in futuro) o classificazione dei dati (ad esempio, i dati dei servizi o elabora / archivia / trasmette dati di natura sensibile), quindi è nel tuo interesse contattare una società di consulenza per la sicurezza delle applicazioni. Dovresti preferire lavorare con partner per i quali hai un buon riferimento e con cui hai avuto successo lavorando in passato. È anche utile stabilire partner commerciali che soddisfino il tuo specifico settore verticale o situazione. La maggior parte di quelle buone sono piccole boutique di sicurezza con 5-15 dipendenti / appaltatori, ma se la tua azienda è abbastanza grande, potresti scegliere un'azienda più grande per coordinare il lavoro con le aziende più piccole.

Se sei sotto attacco e hai bisogno di aiuto per la gestione degli incidenti, suggerisco boutique simili specializzate nella risposta agli incidenti e nella ricerca sul malware. Puoi trovare ulteriori informazioni su ciò che viene offerto da analisti di settore come Gartner, Forrester Research, ecc., Ma ci sono anche piccole boutique di sicurezza specializzate in analisi di settore che vale sicuramente la pena dare un'occhiata.

#7
+3
jrdioko
2011-08-04 02:30:57 UTC
view on stackexchange narkive permalink

Mi sono appena imbattuto in questo post del blog che fornisce un confronto molto dettagliato tra scanner di applicazioni Web commerciali e open source.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...