Application Security Audit einer .NET Web Application?

stimmen
3

Wer noch Anregungen für die Sicherheitsüberwachung einer .NET Web Application?

Ich bin in allen Optionen interessiert. Ich möchte in der Lage sein, etwas zu haben, agnostisch meine Anwendung für Sicherheitsrisiken untersuchen.

BEARBEITEN:

Um zu klären, wurde das System mit Sicherheit im Auge behalten. Die Umgebung ist aufgebaut mit Sicherheit im Auge behalten. Ich möchte ein unabhängiges Maß an Sicherheit, außer - ‚ja es ist sicher‘ ... Die Kosten jemand Prüfung 1 M mit + Zeilen Code ist wahrscheinlich teurer als die Entwicklung. Es sieht aus wie dort wirklich kein guter automatischer / kostengünstiger Ansatz dazu noch ist. Vielen Dank für Ihre Anregungen.

Der Punkt einer Prüfung wäre, unabhängig die Sicherheit zu überprüfen, die von dem Team umgesetzt wurden.

BTW - es gibt mehr automatisierte Hack / Sonde-Tools Anwendungen / Web-Server sondieren, aber ich bin ein wenig besorgt darüber, ob sie Würmer sind oder nicht ...

Veröffentlicht am 10/12/2008 um 00:44
quelle vom benutzer
In anderen Sprachen...                            


6 antworten

stimmen
3

Das Beste, was zu tun ist:

  • Mieten Sie einen Sicherheitsmann für die Quellcodeanalyse
  • Zweitens Beste, was zu tun, um einen Sicherheitsmann / Pentesting Unternehmen der Einstellung für Black-Box-Analyse

Folgende Tools helfen:

  • Static Analysis Tools Fortify / Ounce Labs - Code Review
  • Betrachten wir Lösungen wie HP WebInspects des sicheren Objekt (VS.NET Add-on)
  • Der Kauf einer Blackbox Anwendung Scanner wie Netsparker, AppScan, WebInspect, Hailstorm, Acunetix oder kostenlose Version von Netsparker

einige Sicherheitsspezialist Einstellung ist so viel bessere Idee (mehr obwohl kosten), weil sie nicht nur Einspritz- und technische Probleme finden, wo ein automatisiertes Tool finden könnte, werden sie auch alle logischen Fragen sowie finden.

Beantwortet am 15/12/2008 um 16:40
quelle vom benutzer

stimmen
2

Jeder in Ihrer Situation hat folgende Optionen zur Verfügung:

  1. Code-Review,
  2. Statische Analyse der Code-Basis unter Verwendung eines Werkzeugs,
  3. Dynamische Analyse der Anwendung zur Laufzeit.

Mitchel hat bereits die Verwendung von Fortify aus. In der Tat hat Fortify zwei Produkte , die Bereiche von statischen und dynamischen Analyse abzudecken - SCA (statischen Analyse - Tool, um bei der Entwicklung verwendet werden) und PTA (die Analyse der Anwendung durchführt , als Testfälle während des Testens ausgeführt werden).

Allerdings ist kein Werkzeug perfekt und man kann mit Fehlalarme (Fragmente Ihrer Code-Basis, obwohl nicht anfällig markiert wird) am Ende und falsch negativen Ergebnisse. Nur könnte ein Code-Review solche Probleme lösen. Code-Reviews sind teuer - nicht jeder in der Organisation der Überprüfung Code der Lage wäre, mit den Augen eines Sicherheitsexperten.

Um zu beginnen, mit einem mit OWASP beginnen kann. Das Verständnis Prinzipien hinter Sicherheit wird dringend empfohlen , vor dem Studium OWASP Development Guide (3.0 ist im Entwurf; 2.0 kann als stabil angesehen werden). Schließlich können Sie bereiten die auszuführen erste Scan Ihrer Code - Basis .

Beantwortet am 11/12/2008 um 21:36
quelle vom benutzer

stimmen
0

Darf ich empfehlen Ihnen in Verbindung setzen Artec Gruppe , Sicherheit Kompass und Veracode und ihre Angebote hier ...

Beantwortet am 17/05/2009 um 00:51
quelle vom benutzer

stimmen
0

Wir haben verwendet Telus ein paar Mal für uns Pen Testing durchzuführen und haben mit den Ergebnissen beeindruckt.

Beantwortet am 15/12/2008 um 16:59
quelle vom benutzer

stimmen
0

Testen und statische Analyse ist eine sehr schlechte Art und Weise Sicherheitslücken zu finden, und sind wirklich eine Methode der letzten Instanz, wenn Sie nicht von der Sicherheit im gesamten Design und Umsetzung gedacht haben.

Das Problem ist, dass Sie jetzt versuchen, alle Möglichkeiten aufzuzählen Ihre Anwendung fehlschlagen könnte, und leugnen diejenigen (durch das Patchen), anstatt zu versuchen, zu bestimmen, was sollte Ihre Anwendung tun und alles zu verhindern, die nicht, dass (durch defensive Programmierung ). Da wahrscheinlich Ihre Anwendung unendlich viele Möglichkeiten hat falsch und nur ein paar Dinge zu gehen, dass es gemeint ist, zu tun, sollten Sie einen Ansatz von ‚ablehnen, indem default‘ nehmen und erlauben nur die guten Sachen.

Anders ausgedrückt, es ist einfacher und effektiver in der Kontrollgruppe zu bauen ganze Klassen von typischen Schwachstellen zu verhindern (Beispiele siehe OWASP wie in anderen Antworten erwähnt) unabhängig davon, wie sie entstehen können, als es zu gehen suchen, für die spezifische screwup eine Version des Codes hat. Sie sollten versuchen, das Vorhandensein von guten Kontrollen zu belegen (was getan werden kann), anstatt das Fehlen von schlechten Sachen (die nicht).

Wenn Sie jemand bekommen Ihr Design und Sicherheitsanforderungen zu überprüfen (was genau wollen Sie gegen schützen?), Mit vollem Zugriff auf Code und alle Details, die als eine Art Black-Box-Test mehr wert sein werden. Denn wenn Ihr Design ist falsch, dann wird es keine Rolle, wie gut Sie es umgesetzt.

Beantwortet am 15/12/2008 um 16:32
quelle vom benutzer

stimmen
0

Eines der ersten Dinge, die ich begonnen haben, mit unseren internen Anwendung zu tun ist, ein Tool wie Fortify verwenden, die eine Sicherheitsanalyse Ihrer Code-Basis der Fall ist.

Andernfalls könnten Sie die Dienste eine Drittfirma Anwerbung, die in Sicherheit spezialisiert sie Ihre Anwendung haben testen

Beantwortet am 10/12/2008 um 01:28
quelle vom benutzer

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more