Audyt bezpieczeństwa / pentest

[Taxx]

Korzystaliście z audytu bezpieczeństwa / pentestów swoich serwisów? Może macie kogoś wartego polecenia?

[theqkash]

Cześć,

Masz na myśli autorski skrypt czy jakiegoś CMSa z naładowanymi wtyczkami? Pytam, bo mam za sobą klienta, któremu kiedyś robiłem audyt bezpieczeństwa właśnie na WP, pewne poprawki wprowadziłem, za pewien czas klient sobie WP zaktualizował, przywrócił dziurawą wersję jednej z wtyczek, a potem przyszedł z pretensjami do mnie, że pentest zrobiony, a strona zhackowana

[kayman]

  W dniu 23.05.2017 o 11:16, theqkash napisał(a):

za pewien czas klient sobie WP zaktualizował, przywrócił dziurawą wersję jednej z wtyczek, a potem przyszedł z pretensjami do mnie, że pentest zrobiony, a strona zhackowana

Rozwiń  

zostawisz zalecenia, jak się nie stosuje to na drzewo, zalecenia i ew. raport zmian (o ile były robione) to integralna część każdego audytu

[theqkash]

  W dniu 23.05.2017 o 12:04, kayman napisał(a):

zostawisz zalecenia, jak się nie stosuje to na drzewo, zalecenia i ew. raport zmian (o ile były robione) to integralna część każdego audytu

Rozwiń  

 

Tak zrobiłem, ale wolę się upewnić. Niestety właściciele stron na WP/Joomli to najczęściej klienci "płacę-żądam"

[Taxx]

WP + autorski CRM z kilkoma poziomami użytkowników, formularzami, landingami itd

[SzlafRock]

  W dniu 23.05.2017 o 11:16, theqkash napisał(a):

 Pytam, bo mam za sobą klienta, któremu kiedyś robiłem audyt bezpieczeństwa właśnie na WP, pewne poprawki wprowadziłem, za pewien czas klient sobie WP zaktualizował, przywrócił dziurawą wersję jednej z wtyczek, a potem przyszedł z pretensjami do mnie, że pentest zrobiony, a strona zhackowana

Rozwiń  

 

Audyt bezpieczeństwa robi się dla obecnego stanu systemu. Nie dotyczy on systemu za tydzień, dwa czy za miesiąc. To powinno być zawarte w umowie. Zakładam, ze nie było takowej.

[theqkash]

  W dniu 23.05.2017 o 13:58, SzlafRock napisał(a):

 

Audyt bezpieczeństwa robi się dla obecnego stanu systemu. Nie dotyczy on systemu za tydzień, dwa czy za miesiąc. To powinno być zawarte w umowie. Zakładam, ze nie było takowej.

Rozwiń  

 

Naturalnie, że była. Klient miał jedynie pretensje, że "audyt był nieskuteczny" ;-) Nic z tego dalej nie wyszło, poza tym że musiałem się nasłuchać.

[Mion]

Żeby  zrobić audyt oprogramowania trzeba się doskonale znać na języku w jakim napisane jest oprogramowanie w tym konkretnym wypadku PHP i jak jest uruchamiane na tym serwerze, gdzie jest strona, a możliwości jest kilka. Do tego dochodzą techniki związane z sesjami, bazą danych i sql injection, XSS których mechanizmy trzeba rozumieć itd...

 

Dokładnie przejrzeć cały kod od <?php do ?>...a jak jest "mocno autorski" bez standardów lub podziałów na MVC, to niewdzięcznej pracy jest od groma  wiec licz się z wydatkiem kilku K zł ... Możesz szukać na https://niebezpiecznik.pl/testy-penetracyjne/?tb 

[arve_lek]

Polecam: https://www.kali.org/

Kursy: https://www.youtube.com/channel/UCxnQfWxR4Xp4Tv_dLh2Xvtw/videos

[Taxx]

Sam tego na bank nie będę robić;)
Niestety przejrzenie kodu wiązałoby się z ogromnymi kosztami, w grę wchodzą raczej testy automatyczne. Na tym etapie wyceny wahają się w kwocie od kilku do kilkunastu tysięcy, więc stąd pytanie o kogoś godnego polecenia. 
Na niebezpiecznik poszło zapytanie.

[Mion]

  W dniu 24.05.2017 o 10:36, Taxx napisał(a):

Niestety przejrzenie kodu wiązałoby się z ogromnymi kosztami, w grę wchodzą raczej testy automatyczne. 

Rozwiń  

Parafrazując: Trzy opcje nic nie robić, leczyć się "w Google", iść do lekarza    

[kayman]

dzisiaj na filtrach widać jakiegoś gnoja co atakuje podając się za googlebota i wali po dziurach popularnych skryptów  zastanawiam się jak go wykończyć bardziej systemowo czyli gdzie go skutecznie podpierdzielić

[Taxx]

Wiadomo, że jeśli ktoś się uprze żeby przeprowadzić atak, to może to stanowić problem. Testy automatyczne mają wykluczyć pozostałe 99% ataków.

[mghost.pl]

Jak chcesz zautomatyzować pentesty to zerknij na narzędzia typu https://www.tenable.com/products/nessus-vulnerability-scanner