Заказчик требует акт проведения гос.испытание веб-приложение на ИБ.
Гос.орган за такую услугу просит бешенные суммы.
Список испытании:
- Анализ исходных кодов
- Испытание функций информационной безопасности
- Нагрузочное испытание
- Обследование сетевой инфраструктуры
- Обследование процессов обеспечения информационной безопасности
Как можно провести испытание такое испытание самому? Хотел провести такое испытание самому, и исправить недостатки перед тем как подать заявку за немалые суммы.
Какими прогами анализировать? Что и как если кто сталивался опищите пожалуйста, процесс что, как и чем?
4 пункт из списка можно исключить. тут все в порядке. по тех части серваки все настроены и всё разделено по класстерам. больше интересует испытание ПО
запустил тест на Nikto
Результат (пока не понял что это значить:)) :
spoiler
Server: nginx/1.16.1
+ The anti-clickjacking X-Frame-Options header is not present.
+ The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
+ The site uses SSL and the Strict-Transport-Security HTTP header is not defined.
+ The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ The Content-Encoding header is set to "deflate" this may mean that the server is vulnerable to the BREACH attack.
+ Hostname 'oat-----.org' does not match certificate's names: at-----.org
+ Web Server returns a valid response with junk HTTP methods, this may cause false positives.
+ OSVDB-3092: /auth/: This might be interesting...
+ 5007 requests: 8 error(s) and 8 item(s) reported on remote host
+ End Time: 2021-10-14 22:45:06 (GMT5) (130 seconds)
Средний
