Application Security Audit egy .NET Web Application?

szavazat
3

Bárki, aki javaslatokat biztonsági ellenőrzés egy .NET Web Application?

Érdekelne az összes lehetőséget. Szeretném tudni, hogy van valami agnosztikusan szonda én kérelmet a biztonsági kockázatokat.

EDIT:

Annak tisztázása, a rendszer úgy lett kialakítva, a biztonságot szem előtt tartva. A környezet volt a telepítést a biztonságot szem előtt tartva. Szeretnék egy független biztonsági intézkedése kivételével - igen ez biztos ... Az ára, hogy valaki ellenőrzési 1M + sornyi kódot valószínűleg drágább, mint a fejlesztés. Úgy néz ki, tényleg nem egy jó automata / olcsón megközelítés e még. Köszönöm a javaslatokat.

A lényeg az ellenőrzési lenne, hogy önállóan ellenőrizni a biztonsági, hogy hajtotta végre a csapat.

BTW - több automatizált hack / szonda szerszámok szonda alkalmazások / web szerver, de én egy kicsit aggódik, hogy ezek a férgek, vagy nem ...

A kérdést 10/12/2008 00:44
a forrás felhasználó
Más nyelveken...                            


6 válasz

szavazat
3

A legjobb dolog:

  • Kölcsönzése egy biztonsági őr a forráskód elemzés
  • A második legjobb dolog a bérleti biztonsági őr / pentesting cég black-box elemzés

Következő eszközök segítik:

  • Statikus Elemzőeszközök Fortify / uncia Labs - Code Review
  • Tekintsük megoldások, mint például a HP WebInspects biztonságos objektum (VS.NET addon)
  • Vásárlás egy blackbox alkalmazás szkenner, mint Netsparker, AppScan, WebInspect, Hailstorm, Acunetix vagy ingyenes verziója Netsparker

Kölcsönzése néhány biztonsági szakember sokkal jobb ötlet (többe kerül, mintha), mert akkor nem csak találni injekció és technikai kérdésekben, ahol az automatizált eszközzel lehet találni, akkor is megtalálja a logikai kérdéseket is.

Válaszolt 15/12/2008 16:40
a forrás felhasználó

szavazat
2

Bárki a helyzet a következő lehetőségek állnak rendelkezésre:

  1. Kód felülvizsgálata,
  2. Statikus elemzés a kód bázis eszköz használatával,
  3. Dinamikus történő alkalmazásának elemzése futási időben.

Mitchel már rámutatott a használata megerősít. Tény, Fortify két termék kiterjednek a statikus és dinamikus elemzés - SCA (statikus elemzési eszköz, hogy kell használni a fejlesztés) és PTA (amely elvégzi alkalmazásának elemzését próbaperként kerülnek végrehajtásra a vizsgálat során).

Azonban nem az eszköz tökéletes, és akkor a végén a hamis pozitívok (töredékei a kód bázis azonban nem sebezhető lesz megjelölve) és fals negatív eredmények. Csak egy kódot felülvizsgálat ilyen problémák megoldására. Kód vélemény drágák - nem lesz a szervezet képes lenne felülvizsgálata kódot a szemét egy biztonsági szakértő.

Kezdeni, az egyik lehet kezdeni OWASP. Megértése elvek mögött biztonsági erősen ajánlott, mielőtt tanulmányozása OWASP Development Guide (3.0 tervezet 2,0 stabilnak mondható). Végül, akkor készüljön fel végre az első scan a kódot bázis .

Válaszolt 11/12/2008 21:36
a forrás felhasználó

szavazat
0

Május Azt javasoljuk, hogy lépjen kapcsolatba Artec Group , Security Compass és VeraCode és nézd meg a kínálatát ...

Válaszolt 17/05/2009 00:51
a forrás felhasználó

szavazat
0

Van használt Telus lefolytatására Pen Testing számunkra egy párszor, és már elégedett az eredményekkel.

Válaszolt 15/12/2008 16:59
a forrás felhasználó

szavazat
0

Tesztelés és statikus elemzés egy nagyon rossz utat találni a biztonsági réseket, és valóban egy eljárás legvégső, ha még nem gondoltak a biztonság a tervezési és megvalósítási folyamat.

A probléma az, hogy most próbálják felsorolni az összes módon az alkalmazás sikertelen lehet, és tagadja azokat (a folt), ahelyett, hogy meghatározza, hogy milyen az alkalmazás kell tennie, és megakadályozzák mindent, ami nem az, hogy (a defenzív programozásra ). Mivel az alkalmazás valószínűleg végtelen módon, hogy baj, és csak néhány dolog, ami azt jelentette, hogy nem, akkor meg kell tenniük a megközelítés, amely "tagadja az alapértelmezésben és hogy csak a jó dolgokat.

Másképpen fogalmazva, könnyebb és hatékonyabb építeni a kontroll megakadályozása egész osztályokat jellemző gyengeségeket (például lásd OWASP említett egyéb válaszok) nem számít, hogyan merülhet fel, mint az, hogy keressük, amelyek konkrét megzavarodott néhány változata a kódja. Meg kell próbál jelenlétének bizonyítására jó kontrollok (ami lehet tenni), hanem a hiánya rossz dolgokat (ami nem).

Ha valakit, hogy vizsgálja felül a tervezési és biztonsági követelményeknek (pontosan mit próbál megvédeni ellen?), És teljes hozzáférést kódot és minden részletet, hogy lesz sokkal értékesebb, mint valami fekete doboz teszt. Mert ha a design a baj, akkor nem számít, milyen jól meg is valósították.

Válaszolt 15/12/2008 16:32
a forrás felhasználó

szavazat
0

Az egyik első dolog, amit elkezdtem csinálni a belső alkalmazás használhatja az eszközt, mint például Fortify hogy csinál egy biztonsági elemzést a kódot bázis.

Ellenkező esetben, akkor érdemes besorozzák a szolgáltatások egy külső cég, amely specializálódott biztonsági azokat tesztelni az alkalmazást

Válaszolt 10/12/2008 01:28
a forrás felhasználó

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more