<分区>
我负责一个必须极其安全的 Web 应用程序。用户将使用该站点相互提交高度敏感的信息。安全性必须是世界一流的。
我们相信我们已经以最大限度地降低安全风险的方式构建了网站,并且我们已经在全公司范围内实现了许多政策和程序来提高安全性。
我们希望第三方执行详尽且持续的安全测试:自动化测试、应用程序测试等,以检查跨站点脚本问题、服务器配置错误、表单/隐藏字段操作、命令注入(inject)、 Cookie中毒、已知平台漏洞等
哪些公司最适合提供这些类型的服务?
<分区>
我负责一个必须极其安全的 Web 应用程序。用户将使用该站点相互提交高度敏感的信息。安全性必须是世界一流的。
我们相信我们已经以最大限度地降低安全风险的方式构建了网站,并且我们已经在全公司范围内实现了许多政策和程序来提高安全性。
我们希望第三方执行详尽且持续的安全测试:自动化测试、应用程序测试等,以检查跨站点脚本问题、服务器配置错误、表单/隐藏字段操作、命令注入(inject)、 Cookie中毒、已知平台漏洞等
哪些公司最适合提供这些类型的服务?
最佳答案
我无法告诉您哪家公司最好,但我可以提到一类我认为应该避免的非常受欢迎的服务/公司。这些公司针对主题 IP 运行简单的脚本(可能只是 NMAP)并收集表面信息以报告可能的漏洞。该类别中一家受欢迎的公司是 Scan Alert 的“Hacker Safe”。
去年我写了一篇关于我在这家公司的经历的帖子:Is Your Site Hacker Safe?
Scan Alert、McAffee 等的问题在于,它们只是简单地扫描站点以查找版本字符串和已知漏洞。没有考虑到某些服务(如 Red Hat Enterprise Linux)将在保留先前版本标识符的同时向后移植安全修复程序这一事实。更糟糕的是,没有尝试实际检测实时漏洞,因此实际的安全漏洞仍未被发现,而误报会分散注意力。
如果我真的需要知道我的应用程序或系统是否容易受到攻击,我会聘请信誉良好的渗透测试顾问提供服务。我不会相信自动化测试,而是会尝试利用我的应用程序/系统可能存在的任何漏洞的实际专家。
关于security - 最佳安全/漏洞测试公司?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/452664/