web-dev-qa-db-ja.com

優れたWebサイトセキュリティスキャンソリューションにはどのようなものがありますか?

優れたWebベースのWebサイトセキュリティスキャンソリューションにはどのようなものがありますか?それらがWebベースのソリューションなのか、ローカルで実行できるソフトウェアなのか、あまり心配していません。

一般的に、私はクライアントにサイトが安全であることを証明するために実行できるものを探しています。 Webベースのソリューションのいくつかのプラスは、それを自動化して、セキュリティチェックが最新であることを証明する「シール」を提供できることです。私が見たものの例は GoDaddy Website Protection Site Scanner です。

26
Doozer Blake

残念ながら、最新のWebアプリケーションのすべてのタイプの脆弱性を検出する自動スキャナーはありません(私がよく聞くのは50%未満です)。

自動化されたソリューションのみに依存することには欠点があります。自動スキャナーは簡単なものを公開できますが、追加の脆弱性を調査して明らかにするには人間の知性が必要です。

そうは言っても、この 質問 (および回答)を参照して、一般的な自動Webアプリケーションの脆弱性評価ツールのリストを表示できます。

17
Tate Hansen

Webアプリケーションセキュリティコンソーシアム(WASC)の Webアプリケーションセキュリティスキャナー リストを確認してください。注:私は Watcher の作成者の1人です。これは、このリストに含まれる無料のオープンソースのパッシブ脆弱性スキャナーです。このリストには、Software as a Serviceスキャンソリューションも含まれます。

8
Weber

たぶん、それは現実世界のアナログについて話すのに役立ちます。

あなたの顧客が実店舗を持っているとしましょう。それが安全であることをどのように確認しますか?

まず、脅威モデルを理解する必要があります。レモネードスタンドですか、コンビニエンスストアですか、それとも宝石店ですか?それらはすべて非常に異なるレベルのセキュリティを必要とします。

次に、そのタイプのプロパティに必要なコントロールを実装する必要があります。レモネードスタンドの場合、単純なラッチ式釣りボックスのキャッシュレジスタでおそらく十分です。

最後に、コントロールが機能していることを定期的に監視する必要があります。銀行の金庫は、クラッキングの予想される時間で評価されます。完璧なセキュリティはありません。ある種の監視は、ほとんど常に物理的なセキュリティの一部です。低セキュリティ環境では、これは通常、少なくとも定期的にスタッフがいることによって発生します。

同様に、ベンダーやコンサルタントが別の方法で指示しても、アプリケーションのセキュリティのすべての答えに適合するサイズはありません。おそらく、次のような詳細を含むより具体的な質問をするでしょう:これらのサイトは支払いを処理していますか?規制要件はありますか?クレジットカードデータを処理している場合、答えはおそらくイエスです。ログインはありますか?保護されている個人を特定できるデータは何ですか?等...

7
spinkham

ITセキュリティから少し外れる...「認定」は、責任の観点から非常に危険なものです。必要に応じて立ち上がってください(つまり、ウェブサイトがハッキングされた場合、あなたは非難を主張したり、通過したりできます)私は非常に驚きます。

ベンダーが提供するのがはるかに簡単なのは、ある時点でのセキュリティがどれほど適切であるかを宣言することであり、それが通常行われることです。

以前の組織では、私の認定やリスクの問題が大きかったため、認証などを提供する場合は5〜10倍の費用がかかると予想していました。

認定はあなたとあなたのクライアントにとってどれほど価値がありますか?他のユーザーと比較してWebサイトのセキュリティについてアドバイスするレポートを受け入れてもらえますか?

6
Rory Alsop

私が現在認識しているWebベースのWebサイトセキュリティスキャナーには2つのタイプがあります。

  • WebサイトおよびWebアプリケーションのセキュリティ欠陥を探すもの
  • ウェブサイトでホストされているマルウェアを探すもの

Qualysは、かなり標準化された、安価な(入手したものに対して)、そして一般的なサービスを提供します。それらのスキャンはどれも非常に高度ではなく、実際のハッカーのようにWebサイトまたはWebアプリケーションをターゲットにしません。実際のハッカーをシミュレートできるスキャナーはありません。 Aproxなど、自動化されたSQLインジェクション攻撃をシミュレートするボットがいくつかありますが、これは現代の敵のツールチェーンの1つのツールにすぎません。

無料のサービスはいくつかありますが、光沢もありません。

  • Qualys SSL Labs (SSL/TLSセキュリティ問題のスキャンのみ)
  • ZeroDayScan (一部のWebサイトおよびWebアプリケーションのセキュリティ上の欠陥のみをスキャンします)
  • 寄生虫のマスクを解除する (ウェブサイトに存在するマルウェアのスキャンのみ)

Webアプリケーションの脆弱性をテスト、評価、または監査しようとしているWebアプリケーションに実際のリスク分類がある(つまり、攻撃を受けている、または攻撃を受けている、または攻撃を受けている、またはその可能性があると信じる理由がある場合)将来攻撃される可能性があります)またはデータ分類(つまり、本質的に機密性の高いデータにサービスを提供する、またはデータを処理/保存/送信する)場合は、アプリケーションセキュリティコンサルティング会社に連絡することをお勧めします。良い紹介先があり、過去に成功したパートナーと協力することをお勧めします。また、特定の業種や状況に対応するビジネスパートナーを確立するのも良い方法です。良いもののほとんどは、5〜15人の従業員/請負業者がいる小規模なセキュリティブティックですが、会社が十分に大きい場合は、より小さな会社と仕事を調整する大きな会社を選択することをお勧めします。

攻撃を受けてインシデント管理の支援が必要な場合は、インシデント対応とマルウェア調査を専門とする同様のブティックをお勧めします。 GartnerやForrester Researchなどの業界アナリストから提供されるものについての詳細情報を見つけることができますが、業界分析を専門とする小規模なセキュリティブティックもあり、これらは確かにチェックする価値があります。

4
atdre

この google list をご覧ください。大量のメインスキャナーが表示されますが、ほとんどの自動スキャナーはエクスプロイトのすべてのインスタンスをテストできません。実際の人間によるテストが最適です。

4
James T

私はこれに遭遇しただけです ブログ投稿 これは、商用およびオープンソースの両方のWebアプリケーションスキャナーの非常に詳細な比較を提供します。

3
jrdioko