Применение Аудит безопасности веб-приложения .NET?

голоса
3

Кто-нибудь есть предложения для аудита безопасности веб-приложений .NET?

Я заинтересован во всех вариантах. Я хотел бы быть в состоянии иметь что-то agnostically зондировать мое заявление на наличие угроз безопасности.

РЕДАКТИРОВАТЬ:

Для того, чтобы уточнить, что система была разработана с учетом требований безопасности. Среда была настроена с учетом требований безопасности. Я хочу независимую меру безопасности, кроме - «да это безопасно» ... Стоимость того кого аудит 1M + строки коды, вероятно, более дорогостоящая, чем развитие. Похоже, что на самом деле это не очень хороший автоматизированный / недорогой подход к этому еще. Спасибо за ваши предложения.

Суть аудита будет самостоятельно проверить безопасность, которая была реализована командой.

КСТАТИ - есть несколько инструментов, автоматизированный хак / зонда для исследования приложений / веб-серверов, но я немного обеспокоен, являются ли они червями или нет ...

Задан 10/12/2008 в 00:44
источник пользователем
На других языках...                            


6 ответов

голоса
3

Лучше всего сделать:

  • Найм парень безопасности для анализа исходного кода
  • Во-вторых лучше всего сделать найм охраннику / pentesting компании для анализа черного ящика

Эти инструменты помогут:

  • Статический анализ Инструменты Fortify / Унция Labs - Обзор кода
  • Рассмотрим решения, такие как НР WebInspects Обезопасить объекта (VS.NET аддон)
  • Покупка сканера приложений BLACKBOX , такие как Netsparker, AppScan, WebInspect, Hailstorm, Acunetix или бесплатная версия Netsparker

Найм специалиста некоторых безопасности намного лучше идея (будет стоить дороже, хотя), потому что они не только находят нагнетательные и технические вопросы, где автоматизированный инструмент может найти, они также найдут все логические вопросы, как хорошо.

Ответил 15/12/2008 в 16:40
источник пользователем

голоса
2

Любой в вашей ситуации есть следующие варианты:

  1. Код обзор,
  2. Статический анализ кода базы с помощью инструмента,
  3. Динамический анализ приложения во время выполнения.

Митчел уже указывал на использование Fortify. На самом деле, Fortify имеет два продукта , чтобы покрыть области статического и динамического анализа - SCA (статического анализа, который должен быть использован в разработке) и PTA (который выполняет анализ применения в качестве тестовых выполняются во время тестирования).

Тем не менее, ни один инструмент не является совершенным, и вы можете в конечном итоге с ложных срабатываний (фрагменты вашего кода базы, хотя и не уязвима будет помечено) и ложноотрицательных. Только просмотр кода может решить такие проблемы. Отзывы Кодовые дорого - не все в вашей организации будет иметь возможность пересмотра кода с глазами эксперта по вопросам безопасности.

Для начала, с можно начать с OWASP. Понимание принципов , лежащих в безопасности настоятельно рекомендуется перед изучением Руководство по развитию OWASP (3,0 в проекте; 2,0 можно считать стабильным). Наконец, вы можете подготовить для выполнения первого сканирования вашего кода базы .

Ответил 11/12/2008 в 21:36
источник пользователем

голоса
0

Могу ли я рекомендую вам связаться с Artec Group , Security Compass и Veracode и проверить свои предложения ...

Ответил 17/05/2009 в 00:51
источник пользователем

голоса
0

Мы использовали Telus проводить тестирование Pen для нас несколько раз , и был впечатлен результатами.

Ответил 15/12/2008 в 16:59
источник пользователем

голоса
0

Тестирование и статический анализ является очень плохим способом, чтобы найти уязвимости в системе безопасности, и это действительно метод крайнего случая, если вы не думали о безопасности на протяжении всего процесса разработки и внедрения.

Проблема заключается в том, что вы сейчас пытаетесь перечислить все способы, ваше приложение может потерпеть неудачу, и отрицать те (по заплатам), а не пытаться определить, что ваше приложение должно делать, и предотвратить все, что не то, что (по оборонительному программированию ). Так как ваше приложение, вероятно, имеет бесконечные пути пойти не так и только несколько вещей, которые он хотел сделать, вы должны принять подход «запретить по умолчанию» и разрешить только хорошие вещи.

Другие слова, это проще и эффективнее встраивать управление, чтобы предотвратить целые классы типичных уязвимостей (примеры, см OWASP, как указано в других ответах) независимо от того, каким образом они могут возникнуть, чем идти за какую конкретную screwup некоторые версии вашего кода имеет. Вы должны пытаться свидетельствовать о наличии хорошего контроля (что может быть сделано), а не отсутствие плохих вещей (которые не могут).

Если вы попросите кого-нибудь проверить ваш дизайн и требования безопасности (что именно вы пытаетесь защитить?), С полным доступом к коду и все детали, которые будут более ценными, чем какой-то тест черного ящика. Потому что, если ваш дизайн не так, то это не имеет значения, насколько хорошо вы реализовали его.

Ответил 15/12/2008 в 16:32
источник пользователем

голоса
0

Одна из первых вещей, которые я начал делать с нашим внутренним приложением является использование такого инструмента, как Fortify, что делает анализ безопасности вашего кода.

В противном случае, вы могли бы рассмотреть заручившись услугами сторонней компании, которая специализируется в области безопасности, чтобы их протестировать приложение

Ответил 10/12/2008 в 01:28
источник пользователем

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more