Какой есть алгоритм аудита безопасности веб-проекта?

Question

Сергей @butteff

Раз в тысячу лет заправляю свитер в носки

Информационная безопасность

Какой есть алгоритм аудита безопасности веб-проекта?

Здравствуйте, мне надо провести аудит безопасности веб-проекта, как это сделать? есть ли некий алгоритм действий? На ум приходит посканить порты и заюзать x spider, но чувствую, что это полная фигня. Что надо уметь и сделать еще?

Мне бы пошагово алгоритм какой, дальше нагуглю.

Вопрос задан более трёх лет назад
3121 просмотр

Комментировать

Подписаться 4 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 3

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Информационная безопасность

Средний
Какой сервис посоветуете для просмотра информации сторонними лицами без возможности копирования и скачивания?
- 1 подписчик
- 21 час назад
- 104 просмотра
3

ответа
Системное администрирование

+2 ещё

Средний
Что делать с Постановлением Правительства № 258 от 01.03.2024 по АТЗ?
- 4 подписчика
- вчера
- 1427 просмотров
2

ответа
Карьера в IT

+1 ещё

Простой
Куда расти ИБ специалисту?
- 4 подписчика
- 25 нояб.
- 1874 просмотра
2

ответа
Информационная безопасность

+1 ещё

Средний
Можно ли обычного сис администратора назначить Администратором СКЗИ?
- 3 подписчика
- 25 нояб.
- 5055 просмотров
6

ответов
Информационная безопасность

+1 ещё

Простой
Публикация файлов в интернете только после утверждения ИБ. Что использовать?
- 1 подписчик
- 15 нояб.
- 117 просмотров
1

ответ
Linux

+1 ещё

Простой
Какой дистрибутив выбрать для инфбеза?
- 1 подписчик
- 15 нояб.
- 1254 просмотра
8

ответов
Информационная безопасность

Простой
Как мошенники делают на Госуслугах красную табличку «Кабинет занят, с ним работает оператор» и как этому противодействовать?
- 1 подписчик
- 14 нояб.
- 426 просмотров
2

ответа
Ubuntu

+2 ещё

Простой
Хакнули сервер, как избавиться от майнеров?
- 2 подписчика
- 04 нояб.
- 552 просмотра
3

ответа
Linux

+1 ещё

Средний
Как сделать Linux более безопасным?
- 2 подписчика
- 28 окт.
- 907 просмотров
6

ответов
Информационная безопасность

+1 ещё

Средний
Обеспечивает ли HTTPS полное шифрование и невозможность компрометации данных?
- 4 подписчика
- 26 окт.
- 4911 просмотров
8

ответов
Показать ещё Загружается…

Специалист по управлению уязвимостями (информационная безопасность)

Гринатом • Москва

от 100 000 до 120 000 ₽

Руководитель направления информационной безопасности ОКИИ

Интер РАО – Управление сервисами • Санкт-Петербург

от 180 000 ₽

Старший специалист по информационной безопасности (аттестация ОИ)

Гринатом • Москва

До 120 000 ₽

Разработка парсера для сайта encar.com

29 нояб. 2024, в 11:00

2000 руб./в час

Я заказываю разработать лендинг на webflow

29 нояб. 2024, в 10:38

5000 руб./за проект

Разработка Telegram Miniapp на React.js или Vue.js

29 нояб. 2024, в 10:27

100000 руб./за проект

Answer 1 · 2014-02-04 16:01:57

www.comodo.com/hackerproof/questions.html
Большую часть всякой гадости найдет (и в коде тоже).

А дальше - сканить порты, смотреть что торчит наружу, избавляться от этого или апгрейдить до версий без known уязвимостей. Ну и snoopy поставить, глянуть через него, что в системе творится.

Answer 2 · 2014-02-04 19:35:06

Если не просто "поиграться", а правда важный проект, то лучше обратиться к профессионалам.
Ну а в догонку к комодо, подскажу сервис Fortify on Demand от компании Fortify (ныне принадлежит HP), он имеет бесплатную версию. Это проверка исходного кода на предмет проблем с безопасностью.

Answer 3 · 2019-09-10 14:23:25

Стоит начать с руководства от OWASP: https://www.owasp.org/images/9/96/OWASP_Top_10-201...
У них же есть Penetration Testing Guide.

Из сканеров помимо Xspider стоит попробовать Metascan.

Какой есть алгоритм аудита безопасности веб-проекта?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт