Какой есть алгоритм аудита безопасности веб-проекта?

Question

Сергей @butteff

Раз в тысячу лет заправляю свитер в носки

Информационная безопасность

Какой есть алгоритм аудита безопасности веб-проекта?

Здравствуйте, мне надо провести аудит безопасности веб-проекта, как это сделать? есть ли некий алгоритм действий? На ум приходит посканить порты и заюзать x spider, но чувствую, что это полная фигня. Что надо уметь и сделать еще?

Мне бы пошагово алгоритм какой, дальше нагуглю.

Вопрос задан более трёх лет назад
3121 просмотр

Комментировать

Подписаться 4 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 3

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Информационная безопасность

+4 ещё

Простой
Как исправить ошибку 0x138c при настройке консолидации логов с одного контроллера домена на другой?
- 1 подписчик
- 07 апр.
- 80 просмотров
0

ответов
Windows

+4 ещё

Средний
Как исключить Извещение безопасности Microsoft Outlook для ссылок в письмах?
- 2 подписчика
- 07 апр.
- 200 просмотров
1

ответ
Информационная безопасность

Простой
Информационная безопасность в облачных сервисах?
- 2 подписчика
- 03 апр.
- 207 просмотров
4

ответа
JavaScript

+1 ещё

Средний
Как исправить уязвимость Prototype-polluting function в JS?
- 1 подписчик
- 31 мар.
- 95 просмотров
0

ответов
Компьютерные сети

+2 ещё

Простой
Какие СЗИ нужны для хостинг-провайдера?
- 1 подписчик
- 26 мар.
- 167 просмотров
0

ответов
Информационная безопасность

+1 ещё

Простой
Является ли мой алгоритм криптостойким? Если нет, то где его уязвимость?
- 1 подписчик
- 22 мар.
- 266 просмотров
2

ответа
Информационная безопасность

+3 ещё

Простой
Как узнать какое приложение на моем компьютере шлет запросы в интернет или во вне?
- 1 подписчик
- 22 мар.
- 187 просмотров
3

ответа
Информационная безопасность

+2 ещё

Средний
Поиск шпиона. перехват траффика, как правильно анализировать?
- 1 подписчик
- 20 мар.
- 307 просмотров
6

ответов
Информационная безопасность

+1 ещё

Сложный
Какие есть эффективные методы обнаружения rootkit?
- 1 подписчик
- 17 мар.
- 131 просмотр
1

ответ
Информационная безопасность

Простой
Стоит ли устанавливать Content Security Policy на простенький сайт?
- 1 подписчик
- 16 мар.
- 90 просмотров
1

ответ
Показать ещё Загружается…

Специалист по управлению уязвимостями (информационная безопасность)

Гринатом • Москва

от 100 000 до 120 000 ₽

Специалист по информационной безопасности

Данафлекс • Казань

от 90 000 ₽

Руководитель направления информационной безопасности ОКИИ

Интер РАО – Управление сервисами • Санкт-Петербург

от 180 000 ₽

Разработать рекламные креативы/баннеры для РСЯ

16 апр. 2024, в 18:59

1000 руб./за проект

Помочь с установкой библиотеки на Django

16 апр. 2024, в 18:57

400 руб./за проект

Провести сравнительный анализ веб-студий

16 апр. 2024, в 18:51

5000 руб./за проект

Answer 1 · 2014-02-04 16:01:57

www.comodo.com/hackerproof/questions.html
Большую часть всякой гадости найдет (и в коде тоже).

А дальше - сканить порты, смотреть что торчит наружу, избавляться от этого или апгрейдить до версий без known уязвимостей. Ну и snoopy поставить, глянуть через него, что в системе творится.

Answer 2 · 2014-02-04 19:35:06

Если не просто "поиграться", а правда важный проект, то лучше обратиться к профессионалам.
Ну а в догонку к комодо, подскажу сервис Fortify on Demand от компании Fortify (ныне принадлежит HP), он имеет бесплатную версию. Это проверка исходного кода на предмет проблем с безопасностью.

Answer 3 · 2019-09-10 14:23:25

Стоит начать с руководства от OWASP: https://www.owasp.org/images/9/96/OWASP_Top_10-201...
У них же есть Penetration Testing Guide.

Из сканеров помимо Xspider стоит попробовать Metascan.

Какой есть алгоритм аудита безопасности веб-проекта?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт