Έλεγχος Ασφάλεια Εφαρμογών του .NET Web Application;

ψήφοι
3

Όποιος έχει προτάσεις για τον έλεγχο της ασφάλειας ενός Web Application .NET;

Είμαι ενδιαφέρονται για όλες τις επιλογές. Θα ήθελα να είναι σε θέση να έχουν κάτι agnostically εξετάσουν την αίτησή μου για κινδύνους ασφαλείας.

ΕΠΕΞΕΡΓΑΣΙΑ:

Για να διευκρινιστεί, το σύστημα έχει σχεδιαστεί με γνώμονα την ασφάλεια. Το περιβάλλον έχει ρυθμιστεί με γνώμονα την ασφάλεια. Θέλω ένα ανεξάρτητο μέτρο της ασφάλειας, εκτός από - «ναι αυτό είναι ασφαλές» ... Το κόστος του να έχεις κάποιον έλεγχο 1M + γραμμές κώδικα είναι ίσως πιο ακριβά από ό, τι την ανάπτυξη. Μοιάζει πραγματικά δεν είναι μια καλή αυτοματοποιημένη / ανέξοδη προσέγγιση σε αυτό ακόμα. Ευχαριστώ για τις προτάσεις σας.

Το σημείο του ελέγχου ήταν να ελέγξει ανεξάρτητα την ασφάλεια που τέθηκε σε εφαρμογή από την ομάδα.

BTW - υπάρχουν διάφορα αυτοματοποιημένα εργαλεία hack / αισθητήρα για την ανίχνευση διακομιστές εφαρμογών / ιστοσελίδων, αλλά είμαι λίγο ανησυχούν για το αν είναι σκουλήκια ή όχι ...

Δημοσιεύθηκε 10/12/2008 στις 00:44
πηγή χρήστη
Σε άλλες γλώσσες...                            


6 απαντήσεις

ψήφοι
3

Καλύτερο που έχετε να κάνετε:

  • Η μίσθωση ενός άντρα ασφαλείας για την ανάλυση του πηγαίου κώδικα
  • Δεύτερο καλύτερο πράγμα που κάνει την πρόσληψη ενός / pentesting εταιρεία τύπος ασφαλείας για την ανάλυση μαύρο κουτί

Μετά τα εργαλεία θα βοηθήσουν:

  • Στατική Εργαλεία Ανάλυσης οχυρώσουν Εργαστήρια / ουγγιά - Κωδικός κριτική
  • Σκεφτείτε λύσεις όπως είναι η ασφαλής αντικείμενο (VS.NET addon) WebInspects της HP
  • Αγοράζοντας ένα σαρωτή εφαρμογή blackbox όπως Netsparker, AppScan, WebInspect, Hailstorm, Acunetix ή δωρεάν έκδοση του Netsparker

Πρόσληψη κάποιο ειδικό ασφάλειας είναι πολύ καλύτερη ιδέα (θα κοστίσει περισσότερο αν) επειδή δεν θα βρείτε μόνο ένεση και τεχνικά ζητήματα, εφόσον ένα αυτοματοποιημένο εργαλείο για να βρείτε, θα βρείτε επίσης όλα τα λογικά θέματα.

Απαντήθηκε 15/12/2008 στις 16:40
πηγή χρήστη

ψήφοι
2

Όποιος στην περίπτωσή σας διαθέτει τις ακόλουθες επιλογές:

  1. Κωδικός κριτική,
  2. Στατική Ανάλυση του κώδικα βάσης χρησιμοποιώντας ένα εργαλείο,
  3. Δυναμική Ανάλυση της εφαρμογής κατά το χρόνο εκτέλεσης.

Mitchel έχει ήδη επισημάνει τη χρήση των οχυρώσουν. Στην πραγματικότητα, οχυρώσουν έχει δύο προϊόντα για να καλύπτουν τις περιοχές της στατικής και δυναμικής ανάλυσης - SCA (στατική εργαλείο ανάλυσης, που πρέπει να χρησιμοποιούνται για την ανάπτυξη) και PTA (που εκτελεί την ανάλυση της εφαρμογής, όπως οι περιπτώσεις δοκιμών που εκτελέστηκαν κατά τη διάρκεια της δοκιμής).

Ωστόσο, δεν είναι εργαλείο είναι τέλεια και μπορείτε να καταλήξετε με ψευδώς θετικά (θραύσματα της βάσης κωδικό σας αν και δεν είναι ευάλωτα θα πρέπει να επισημανθεί) και ψευδώς αρνητικά αποτελέσματα. Μόνο μια αναθεώρηση κώδικα θα μπορούσε να λύσει τέτοια προβλήματα. αξιολογήσεις Κώδικας είναι ακριβά - δεν είναι όλοι στον οργανισμό σας θα είναι σε θέση να ελέγχει κώδικα με τα μάτια ενός ειδικού σε θέματα ασφάλειας.

Κατ 'αρχάς, με το ένα να ξεκινήσει με OWASP. Η κατανόηση των αρχών πίσω από την ασφάλεια συνιστάται ιδιαίτερα πριν από τη μελέτη του Οδηγού Ανάπτυξης OWASP (3.0 είναι το σχέδιο? 2.0 μπορεί να θεωρηθεί σταθερή). Τέλος, μπορείτε να προετοιμαστούν για να εκτελέσει την πρώτη σάρωση της βάσης κωδικό σας .

Απαντήθηκε 11/12/2008 στις 21:36
πηγή χρήστη

ψήφοι
0

Επιτρέψτε μου να σας συνιστούσαμε να επικοινωνήσετε με Artec ομάδα , Πυξίδα Ασφάλεια και Veracode και ενημερωθείτε για τις προσφορές τους ...

Απαντήθηκε 17/05/2009 στις 00:51
πηγή χρήστη

ψήφοι
0

Έχουμε χρησιμοποιήσει Telus για τη διεξαγωγή Pen Δοκιμές για μας μερικές φορές και έχουν εντυπωσιαστεί με τα αποτελέσματα.

Απαντήθηκε 15/12/2008 στις 16:59
πηγή χρήστη

ψήφοι
0

Δοκιμές και στατική ανάλυση είναι μια πολύ φτωχή τρόπος για να βρείτε τα τρωτά σημεία της ασφάλειας, και είναι πραγματικά μια μέθοδος έσχατη λύση, αν δεν το έχετε σκεφτεί ασφάλειας σε όλη τη διαδικασία σχεδιασμού και υλοποίησης.

Το πρόβλημα είναι ότι προσπαθούν τώρα να απαριθμήσει όλους τους τρόπους εφαρμογής σας θα μπορούσε να αποτύχει, και να αρνηθεί εκείνους (με μπαλώματα), αντί να προσπαθούν να καθορίσετε τι πρέπει να κάνει την αίτησή σας, και να αποτρέψει όλα όσα δεν είναι ότι (με την αμυντική προγραμματισμού ). Δεδομένου ότι η αίτησή σας έχει πιθανώς άπειρο τρόπους να πάει στραβά και μόνο μερικά πράγματα που είναι γραφτό να γίνει, θα πρέπει να πάρετε μια προσέγγιση της «αρνούνται από προεπιλογή και επιτρέπουν μόνο την καλή ουσία.

Βάλτε το άλλο τρόπο, είναι πιο εύκολο και πιο αποτελεσματικό για την κατασκευή των ελέγχων για την πρόληψη ολόκληρες κατηγορίες τυπικών τρωτά σημεία (για παράδειγμα, δείτε OWASP όπως αναφέρεται σε άλλες απαντήσεις) ανεξάρτητα από το πόσο μπορεί να προκύψουν, από ό, τι είναι να αρχίσετε να ψάχνετε για ποια συγκεκριμένα μπέρδεμα κάποια έκδοση του κώδικα σας έχει. Θα πρέπει να προσπαθείτε να αποδειχθεί η ύπαρξη καλής ελέγχου (η οποία μπορεί να γίνει), παρά την απουσία κακά πράγματα (η οποία δεν μπορεί).

Αν έχετε κάποιον να επανεξετάσει το σχέδιό σας και τις απαιτήσεις ασφαλείας (τι ακριβώς θέλεις να προστατεύσει από;), με πλήρη πρόσβαση στον κώδικα και όλες τις λεπτομέρειες, που θα είναι πιο πολύτιμο από κάποιου είδους τεστ μαύρο κουτί. Διότι, αν το σχέδιό σας είναι λάθος, τότε δεν θα έχει σημασία το πόσο καλά θα εφαρμόσει.

Απαντήθηκε 15/12/2008 στις 16:32
πηγή χρήστη

ψήφοι
0

Ένα από τα πρώτα πράγματα που μου έχουν αρχίσει να κάνουν με την εσωτερική μας εφαρμογή είναι να χρησιμοποιήσετε ένα εργαλείο όπως το οχυρώσουν που κάνει μια ανάλυση της ασφάλειας της βάσης κωδικό σας.

Σε αντίθετη περίπτωση, θα μπορούσε να εξετάσει κινητοποιήσει τις υπηρεσίες μιας επιχείρησης από τρίτους που ειδικεύεται στον τομέα της ασφάλειας για να τα έχουν δοκιμάσει την εφαρμογή σας

Απαντήθηκε 10/12/2008 στις 01:28
πηγή χρήστη

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more