it-swarm-es.com

¿Cuáles son algunas buenas soluciones de escaneo de seguridad del sitio web?

¿Cuáles son algunas buenas soluciones de escaneo de seguridad de sitios web basadas en la web? No me preocupa demasiado si son soluciones basadas en la web o software que se puede ejecutar localmente.

En general, estoy buscando algo que podamos ejecutar para proporcionar a los clientes algún tipo de certificación de que sus sitios son seguros. Una ventaja de algunas de las soluciones basadas en la web sería que pueden automatizarlo y proporcionar un 'sello' que demuestre que la verificación de seguridad está actualizada. Un ejemplo de uno que he visto es el GoDaddy Website Protection Site Scanner

26
Doozer Blake

Desafortunadamente, no hay escáneres automáticos para detectar todos los tipos de vulnerabilidades en las aplicaciones web modernas (a menudo escucho menos del 50%).

Confiar solo en soluciones automatizadas está plagado de deficiencias. Los escáneres automáticos pueden exponer las cosas fáciles, pero necesita inteligencia humana para explorar y revelar vulnerabilidades adicionales.

Dicho esto, puede consultar esto pregunta (y respuestas) para ver una lista de herramientas de evaluación de vulnerabilidad de aplicaciones web automatizadas populares.

17
Tate Hansen

Consulte la lista Analizador de seguridad de aplicaciones web del Consorcio de seguridad de aplicaciones web (WASC). Tenga en cuenta que soy uno de los autores de Watcher , que es un escáner de vulnerabilidad pasiva de código abierto y gratuito en esta lista. Esta lista también incluye las soluciones de escaneo de software como servicio.

8
Weber

Quizás sea útil hablar de un análogo del mundo real.

Digamos que su cliente tiene una tienda física. ¿Cómo verificas que sea seguro?

Primero debes entender el modelo de amenaza. ¿Es un puesto de limonada, una tienda de conveniencia o una joyería? Todos requieren niveles de seguridad muy diferentes.

Luego debe implementar los controles necesarios para ese tipo de propiedad. Para un puesto de limonada, una simple caja registradora de caja de pesca con seguro probablemente sea suficiente.

Finalmente, debe controlar periódicamente que los controles estén funcionando. Las cajas fuertes de los bancos se clasifican en el tiempo esperado para romperse No existe una seguridad perfecta, y algún tipo de monitoreo es casi siempre parte de la seguridad física. En entornos de baja seguridad, esto generalmente solo sucede cuando el personal está presente al menos periódicamente.

Del mismo modo, no hay una respuesta única para todos en la seguridad de la aplicación, sin importar lo que el proveedor o el consultor le indiquen de otra manera. Quizás haciendo una pregunta más específica que incluya detalles como: ¿Estos sitios manejan los pagos? ¿Hay requisitos reglamentarios? Si está manejando datos de tarjetas de crédito, la respuesta es probablemente sí. ¿Hay inicios de sesión? ¿Qué datos de identificación personal se están protegiendo? etc ...

7
spinkham

Ir un poco fuera de tema de Seguridad de TI ... una 'certificación' es algo muy peligroso desde una perspectiva de responsabilidad. Recomendaría una buena lectura de la letra pequeña en cualquier servicio de 'certificación', si están ofreciendo algo que lo hará ponerse de pie cuando sea necesario (es decir, si el sitio web es pirateado puede reclamar o pasar la culpa) Me sorprendería mucho.

Lo que es mucho más fácil de ofrecer para un proveedor es una declaración de cuán apropiada es la seguridad en un momento determinado, de modo que eso es lo que suele suceder.

En una organización anterior, esperaría cobrar entre 5 y 10 veces más si tuviera que dar algo como una certificación, ya que mis problemas de riesgo y responsabilidad eran importantes.

¿Qué tan valiosa es la certificación para usted y sus clientes? ¿Podrían aceptar un informe que informe sobre la seguridad del sitio web en comparación con sus pares?

6
Rory Alsop

Hay dos tipos de escáneres de seguridad de sitios web basados ​​en la web que conozco actualmente:

  • Los que buscan defectos de seguridad de sitios web y aplicaciones web
  • Los que buscan malware alojado en su sitio web

Qualys proporciona servicios para ambos que son bastante estandarizados, baratos (para lo que obtienes) y corrientes. Ninguno de sus escaneos es muy avanzado y no apuntará a su sitio web o aplicación web como lo haría un verdadero hacker. Ningún escáner es capaz de simular un hacker real. Hay algunos bots como Aprox que simularon un ataque de inyección SQL automatizado, pero esta es solo una herramienta en la cadena de herramientas de un adversario moderno.

Hay algunos servicios gratuitos, pero también carecen de brillo:

Si la aplicación web que está tratando de probar, evaluar o auditar para detectar vulnerabilidades de aplicaciones web tiene una clasificación de riesgo del mundo real (es decir, está bajo ataque, o ha estado bajo ataque en el pasado, o hay razones para creer que lo hará ser atacado en el futuro) o la clasificación de datos (es decir, servicios de datos, o procesa/almacena/transmite datos que son de naturaleza sensible), entonces le conviene ponerse en contacto con una empresa de consultoría de seguridad de aplicaciones. Debería preferir trabajar con socios para los que tiene una buena referencia y para los que ha tenido éxito trabajando en el pasado. También es bueno establecer socios comerciales que se adapten a la situación o vertical de su industria específica. La mayoría de los buenos son pequeñas boutiques de seguridad con 5-15 empleados/contratistas, pero si su empresa es lo suficientemente grande, es posible que desee elegir una empresa más grande para coordinar el trabajo con las empresas más pequeñas.

Si está bajo ataque y necesita ayuda con su gestión de incidentes, le sugiero boutiques similares que se especializan en la respuesta a incidentes y la investigación de malware. Puede encontrar más información sobre lo que ofrecen analistas de la industria como Gartner, Forrester Research, etc., pero también hay boutiques de seguridad más pequeñas que se especializan en análisis de la industria que vale la pena visitar.

4
atdre

Es posible que desee ver esto lista de google . Muestra una tonelada de los escáneres principales, pero la mayoría de los escáneres automáticos no prueban cada instancia de exploits. La prueba humana real es la mejor.

4
James T

Acabo de encontrar esto publicación de blog que proporciona una comparación muy detallada de escáneres de aplicaciones web comerciales y de código abierto.

3
jrdioko