Bir .NET Web Uygulaması Uygulama Güvenlik Denetimi?

oy
3

Herkes bir .NET Web Uygulaması güvenlik denetimi için önerileriniz var?

Bütün seçenekler ilgileniyorum. Ben agnostically güvenlik risklerine ilişkin başvurumu sonda şey var edebilmek istiyorum.

DÜZENLE:

netleştirmek için, sistem güvenlik göz önünde bulundurularak tasarlanmıştır. Çevre güvenlik göz önünde bulundurularak ayarlandı. Ben başka bir güvenlik bağımsız ölçü, istiyoruz - 'evet Güvenli olduğundan' ... Birisi denetim 1 Milyonu + kod satırları sahip maliyeti gelişimi muhtemelen daha pahalıdır. Gerçekten henüz bu iyi bir otomatik / ucuz bir yaklaşım yoktur gibi görünüyor. Önerileriniz için teşekkür ederiz.

Bir denetim noktası bağımsız ekibi tarafından hayata geçirildi güvenliğini doğrulamak olacaktır.

BTW - Orada uygulamalar / web sunucuları soruşturma için birkaç otomatik kesmek / prob araçlardır, ama onlar solucan olup olmadığı hakkında biraz endişeliyim ...

Oluştur 10/12/2008 saat 00:44
kaynak kullanıcı
Diğer dillerde...                            


6 cevaplar

oy
3

Best Thing yapmak:

  • Kaynak kodu analizi için bir güvenlik görevlisi işe
  • İkinci iyi şey kara kutu analizi için bir güvenlik görevlisi / pentesting şirket işe yapmak

Aşağıdaki araçlar yardımcı olacaktır:

  • Statik Analiz Araçları güçlendirin / Ons Labs - Kod İnceleme
  • HP WebInspects güvenli nesne (VS.NET eklenti) olarak düşünün çözümler
  • Böyle Netsparker, Appscan, WebInspect, dolu fırtınası, Acunetix veya ücretsiz sürümü gibi bir blackbox uygulama tarayıcı Alış Netsparker

Bazı güvenlik uzmanı işe (daha olsa mal olacak) onlar otomatik bir araç, hem de aynı zamanda tüm mantıksal sorunları bulacaksınız bulabilir enjeksiyon ve teknik sorunları bulacaksınız çünkü sadece çok daha iyi bir fikirdir.

Cevap 15/12/2008 saat 16:40
kaynak kullanıcı

oy
2

durumunuza herkes aşağıdaki seçenekleri mevcuttur:

  1. Kod incelemesi,
  2. bir araç kullanarak kod tabanının statik analizi,
  3. çalışma zamanında uygulamanın Dinamik Analizi.

Mitchel zaten Fortify kullanımını işaret etmiştir. - Aslında, güçlendirin statik ve dinamik analiz alanları kapsayacak şekilde iki ürün vardır SCA (geliştirmede kullanılmak üzere statik analiz aracı) ve PTA (test durumlarda test sırasında yürütülür olarak bu uygulamanın analizini gerçekleştirir).

Ancak, hiçbir alet mükemmel olduğunu ve yanlış pozitif (savunmasız değil işaretlenmesini rağmen kodunuzu tabanının fragmanları) ve yanlış negatif ile sona erebilir. Sadece bir kod incelemesi gibi sorunları çözebilir. Kod yorumları pahalıdır - Kuruluşunuzdaki herkes bir güvenlik uzmanı gözleriyle kodunu gözden yeteneğine sahip olacaktır.

Tek OWASP ile başlayabilir ile başlamak için. Anlamak güvenlik ardındaki ilkeleri derece okuyan önce önerilir OWASP Geliştirme Kılavuzu (; 2.0 stabil olarak kabul edilebilir 3,0 taslakta ise). Son olarak, gerçekleştirmek hazırlayabilirsiniz kodunuzu tabanının birinci tarama .

Cevap 11/12/2008 saat 21:36
kaynak kullanıcı

oy
0

Mayıs Ben temasa tavsiye Artec Grubu , Güvenlik Pusula ve Veracode ve teklifleri kontrol ...

Cevap 17/05/2009 saat 00:51
kaynak kullanıcı

oy
0

Biz kullandık Telus bizim için birkaç kez Kalem Testi yürütmek ve sonuçları ile etkilendim.

Cevap 15/12/2008 saat 16:59
kaynak kullanıcı

oy
0

Test ve statik analiz güvenlik açıklarını bulmak için çok kötü bir yoldur ve gerçekten tasarım ve uygulama süreci boyunca güvenlik düşünce değil eğer son çare yöntemidir.

Sorun artık uygulama başarısız olabilir yollardan tümünü numaralandırmak çalışıyorum ve (yama yaparak) olanlar inkar değil, başvurunuzun ne yapması gerektiğini belirtmek için çalışmak yerine, ve savunma programlama ile değil her şeyi (önlemeye olmasıdır ). Başvurunuz muhtemelen bunu yapmak içindir yanlış ve ancak birkaç şeye gitmek için sonsuz yollar olduğundan, size 'varsayılan olarak inkar' bir yaklaşım ve sadece iyi şeyler izin vermelidir.

Diğer bir deyişle, daha kolay ve hangi spesifik rezaletin arayan gitmektir daha onlar ortaya çıkabilecek nasıl olursa olsun (diğer yanıtlar belirtildiği gibi OWASP bakınız örnekler için) tipik güvenlik açıklarının bütün sınıfları önlemek için kontrollerde inşa etmek daha etkilidir kodunuzun bazı sürümü vardır. Sen (ki olamaz) oldukça kötü şeyler yokluğunda daha (yapılabilir) iyi kontrollerin varlığını kanıt çalışıyor olmalıdır.

Eğer birinin tasarım ve (tam olarak karşı korumak için çalışıyorsun?), kara kutu testi çeşit daha değerli olacaktır kod ve tüm ayrıntıları tam erişim, güvenlik gereksinimleri incelemeyi alırsanız. tasarım yanlışsa o zaman bunu hayata ne kadar iyi bir önemi olmayacak çünkü.

Cevap 15/12/2008 saat 16:32
kaynak kullanıcı

oy
0

Bizim iç uygulamayla yapmaya başladı ilk şeylerden biri kod tabanının bir güvenlik analizini yapar böyle Fortify gibi bir araç kullanmaktır.

Aksi takdirde, bunları uygulama test için güvenlik konusunda uzmanlaşmış bir üçüncü taraf şirketin hizmetlerini askere düşünebilirsiniz

Cevap 10/12/2008 saat 01:28
kaynak kullanıcı

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more