代码之家  ›  专栏  ›  技术社区  ›  Loofer

是否有良好的服务来检查网站/服务器漏洞

  •  3
  • Loofer  · 技术社区  · 16 年前

    你知道有什么好的免费的可以检查安全漏洞的吗?

    我认为我们的数据安全可能值得一小笔前期支出,因此任何非免费方法都会受到赞赏。

    我们的系统是mySQL、Oracle、SQLServer、PHP、ASP.NET等系统的混合体,尽管我想这并不重要。所有的系统都是安全的,因为它们都经过了修补,防火墙的设置是合理的,这样外界的人就不能直接进入数据库框等。

    我们希望防止的是XSS和类似的攻击。

    你用什么让你对自己的系统充满信心?);下拉表回答;

    4 回复  |  直到 3 年前
        1
  •  1
  •   dove    16 年前

    owasp 这是一个很好的开始。这里的内容太多,无法涵盖。

        2
  •  1
  •   Adam Straughan    16 年前

    我们为定期扫描支付了一大笔钱,我们对开发人员进行了应用程序基本黑客/安全方面的培训,我们的代码审查包括安全审查,现在我们正在考虑IBM的AppScan(这很昂贵,但从长远来看,可能比我们支付的所有笔测试都便宜)。

    一分钱一分货。不过,确保您了解owasp问题将是一个良好的开端。

        3
  •  1
  •   Flory    16 年前

    你似乎在寻找能让别人感到自信的东西(即使这种自信只是一种幻觉)。渗透测试可能是正确的选择。根据工具的不同,它会在一份漂亮的报告中显示潜在的漏洞,然后您可以报告如何缓解这些漏洞。

    我不太相信这种测试。如果你的应用程序扫描干净,这并不意味着你的应用程序是干净的。这并不意味着它一文不值,但不要让它变得比它本身更值钱。

    没有银弹,没有简单的答案,您需要将安全性定义为每个人的问题,并确保它被给予优先权和承诺。

        4
  •  1
  •   NewCom    16 年前

    查看dotDefender-他们有IIS/Apache/ISA的版本。我使用此应用程序来抵御SQL注入/XSS/DDOS/探测/编码攻击。没有一款软件是完美的,但在我的例子中,我运行的系统中的站点是用.NET、PHP和经典ASP开发的,我们的一些站点是新的,其他的是5年以上的。

    http://www.applicure.com/?page=dotDefender

    我也有一家公司每年左右进行渗透测试/社会工程,但有了dotDefender,我至少很高兴我有了一个基线安全毯来保护我的网站。

    我特别感兴趣的是,他们的应用程序完全兼容x64,这是必要的,因为我使用的是x64 web服务器。