Aplicação de Auditoria de Segurança de uma aplicação Web .NET?

votos
3

Alguém tem sugestões para auditoria de uma aplicação Web do .NET segurança?

Estou interessado em todas as opções. Eu gostaria de ser capaz de ter algo agnostically sondar o meu pedido de riscos de segurança.

EDITAR:

Para esclarecer, o sistema foi concebido com a segurança em mente. O ambiente foi configurado com a segurança em mente. Eu quero uma medida independente de segurança, que não seja - 'sim, é seguro' ... O custo de ter alguém auditoria 1M + linhas de código é provavelmente mais caro do que o desenvolvimento. Parece que não há realmente uma boa abordagem automatizada / barata para isso ainda. Obrigado por suas sugestões.

O ponto de uma auditoria seria para verificar de forma independente a segurança que foi implementado pela equipe.

BTW - existem várias ferramentas automatizadas corte / sonda para investigar servidores / aplicações web, mas estou um pouco preocupado se eles são worms ou não ...

Publicado 10/12/2008 em 00:44
fonte usuário
Em outras línguas...                            


6 respostas

votos
3

Melhor coisa a fazer:

  • A contratação de um cara de segurança para análise de código fonte
  • Segundo melhor coisa a fazer a contratação de um cara da segurança / empresa pentesting para análise de caixa-preta

Seguintes ferramentas vão ajudar:

  • Estáticos ferramentas de análise Fortify / onça Labs - Revisão de Código
  • Considerar soluções, tais como seguro de objeto (addon VS.NET) da HP WebInspects
  • Comprar um scanner aplicação blackbox como Netsparker, AppScan, WebInspect, Hailstorm, Acunetix ou versão gratuita do Netsparker

Contratar um especialista de segurança é muito melhor ideia (vai custar mais embora), porque eles não vai encontrar apenas questões de injeção e técnica, onde uma ferramenta automatizada pode encontrar, eles também vai encontrar todas as questões lógicas também.

Respondeu 15/12/2008 em 16:40
fonte usuário

votos
2

Qualquer pessoa em sua situação tem as seguintes opções disponíveis:

  1. Revisão de código,
  2. Análise Estática da base de código usando uma ferramenta,
  3. Análise Dinâmica da aplicação em tempo de execução.

Mitchel já referiu o uso de Fortify. Na verdade, Fortify tem dois produtos para cobrir as áreas de análise estática e dinâmica - SCA (ferramenta de análise estática, para ser usado em desenvolvimento) e PTA (que executa a análise da aplicação como casos de teste são executados durante o teste).

No entanto, nenhuma ferramenta é perfeito e você pode acabar com falsos positivos (fragmentos de sua base de código, embora não vulneráveis ​​serão sinalizadas) e falsos negativos. Apenas uma revisão de código poderia resolver tais problemas. As revisões de código são caros - não todos em sua organização seria capaz de rever o código com os olhos de um especialista em segurança.

Para começar, com um pode começar com OWASP. Compreender os princípios por trás de segurança é altamente recomendado antes de estudar o Guia de Desenvolvimento OWASP (3.0 está em fase de projecto; 2.0 pode ser considerado estável). Finalmente, você pode se preparar para realizar o primeiro exame de sua base de código .

Respondeu 11/12/2008 em 21:36
fonte usuário

votos
0

Maio eu recomendo que você entre em contato com Artec Grupo , Bússola Segurança e Veracode e confira suas ofertas ...

Respondeu 17/05/2009 em 00:51
fonte usuário

votos
0

Temos usado Telus para conduzir Pen Testing para nós algumas vezes e ter ficado impressionado com os resultados.

Respondeu 15/12/2008 em 16:59
fonte usuário

votos
0

Testes e análise estática é uma forma muito pobre para encontrar vulnerabilidades de segurança, e é realmente um método de último recurso, se você ainda não pensou de segurança em todo o processo de concepção e implementação.

O problema é que você está agora a tentar enumerar todas as maneiras seu aplicativo pode falhar, e negar aqueles (por patch), ao invés de tentar especificar o que a sua aplicação deve fazer, e evitar tudo o que não é que (por programação defensiva ). Desde a sua aplicação, provavelmente, tem infinitas maneiras de ir coisas erradas e apenas alguns que se destina a fazer, você deve ter uma abordagem de 'negar por padrão' e permitir que apenas as coisas boas.

Dito de outra forma, é mais fácil e mais eficaz para construir em controles para evitar classes inteiras de vulnerabilidades típicas (para exemplos, ver OWASP como mencionado em outras respostas) não importa como eles podem surgir, que é para ir à procura de que screwup específica alguma versão do seu código tem. Você deve estar tentando evidenciar a presença de bons controles (que pode ser feito), em vez da ausência de material ruim (que não pode).

Se você conseguir alguém para rever o seu projeto e requisitos de segurança (o que exatamente você está tentando proteger contra?), Com acesso total ao código e todos os detalhes, que será mais valioso do que algum tipo de teste caixa preta. Porque se seu design é errado, então não importa o quão bem você implementou.

Respondeu 15/12/2008 em 16:32
fonte usuário

votos
0

Uma das primeiras coisas que eu comecei a ver com a nossa aplicação interna é usar uma ferramenta como o Fortify que faz uma análise de sua base de código de segurança.

Caso contrário, você pode considerar alistar os serviços de uma empresa de terceiros especializada em segurança de tê-los testar seu aplicativo

Respondeu 10/12/2008 em 01:28
fonte usuário

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more