@User99

Как испытать на информационную безопасность веб-приложение?

Заказчик требует акт проведения гос.испытание веб-приложение на ИБ.
Гос.орган за такую услугу просит бешенные суммы.
Список испытании:
  1. Анализ исходных кодов
  2. Испытание функций информационной безопасности
  3. Нагрузочное испытание
  4. Обследование сетевой инфраструктуры
  5. Обследование процессов обеспечения информационной безопасности


Как можно провести испытание такое испытание самому? Хотел провести такое испытание самому, и исправить недостатки перед тем как подать заявку за немалые суммы.
Какими прогами анализировать? Что и как если кто сталивался опищите пожалуйста, процесс что, как и чем?

4 пункт из списка можно исключить. тут все в порядке. по тех части серваки все настроены и всё разделено по класстерам. больше интересует испытание ПО

запустил тест на Nikto
Результат (пока не понял что это значить:)) :
spoiler

Server: nginx/1.16.1
+ The anti-clickjacking X-Frame-Options header is not present.
+ The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
+ The site uses SSL and the Strict-Transport-Security HTTP header is not defined.
+ The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ The Content-Encoding header is set to "deflate" this may mean that the server is vulnerable to the BREACH attack.
+ Hostname 'oat-----.org' does not match certificate's names: at-----.org
+ Web Server returns a valid response with junk HTTP methods, this may cause false positives.
+ OSVDB-3092: /auth/: This might be interesting...
+ 5007 requests: 8 error(s) and 8 item(s) reported on remote host
+ End Time:           2021-10-14 22:45:06 (GMT5) (130 seconds)

  • Вопрос задан
  • 71 просмотр
Пригласить эксперта
Ответы на вопрос 1
@vitaly_il1
DevOps Consulting
Полное обследование действительно стоит немало.
Если хочется просто бесплатно получить красивый PDF, то
1. https://sonarcloud.io/code-security
2. https://www.indusface.com/web-application-scanning.php
3. app.k6.io , blazemeter.com
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы