我负责一个必须非常安全的Web应用程序.用户将使用该站点向对方提交高度敏感的信息.安全必须是世界一流的.
我们相信我们以最小化安全风险的方式构建网站,并且我们在全公司范围内实施了许多政策和程序以提高安全性.
我们希望第三方执行详尽且持续的安全测试:自动化测试,应用程序测试等,以检查跨站点脚本问题,服务器配置错误,表单/隐藏字段操作,命令注入,Cookie中毒等问题,已知的平台漏洞等
这些类型的服务最好的公司是什么?
我不能告诉你哪家公司最好,但我可以提到一类我认为应该避免使用的服务/公司.这些公司针对主题IP运行简单的脚本(可能只是NMAP),并收集表面信息以报告可能的漏洞.此类别中一家受欢迎的公司是Scan Alert的"黑客安全".
去年我写了一篇关于我对这家公司的经历的帖子:你的网站黑客安全吗?
Scan Alert,McAffee等的问题在于,他们只是扫描一个站点的版本字符串和已知漏洞.没有考虑到某些服务(如Red Hat Enterprise Linux)将在保留先前版本标识符的同时向后移植安全修复程序.更糟糕的是,没有尝试实际检测到实时漏洞,因此实际的安全漏洞仍然未被发现,而误报则会分散注意力.
如果我真的需要知道我的应用程序或系统是否容易受到攻击,我会保留一个声誉良好的渗透测试顾问的服务.我不相信自动化测试,但会尝试利用我的应用程序/系统可能存在的任何漏洞的实际专家.