我不确定这是否对 SO 来说是一个合适的问题,但我还是会继续,因为我不确定。
我一直在为我当前的项目寻找渗透测试工具,并找到了其中的一些工具,但最终还是要认真对待这一点,并寻找专门从事此类工作的专业组织或个人。
寻找工具的原因只是为了让我能够在启动完整的渗透测试周期之前摘下低垂的果实。这也有望使该过程更便宜,因为我希望已经解决了所有明显的漏洞。
工具和资源
组织与个人
我想知道是否有任何资源可以对执行这些任务的组织进行评级和审查?有没有你可以推荐的组织,你以前使用过并取得了很好的效果?
问问题
334 次
2 回答
2
@Jammer,我不确定是否存在您正在寻找的评级。我个人的观点是,研究您的要求——无论您是在寻找认证或合规性,还是只是想提高安全性。根据这些标准,您可以查看渗透测试组织并自行评估它们。此链接可能会有所帮助,
http://www.ivizsecurity.com/blog/penetration-testing/how-to-choose-penetration-testing-companies/
无论如何,在选择第三方供应商或拥有自己的安全团队之间总是需要权衡取舍。您可以进行第三方咨询,然后拥有自己的内部受过安全教育的 QA 团队。
希望这可以帮助。
于 2012-12-18T06:54:51.413 回答
1
恐怕你列出的一些工具是可比的。
Burp 是一个代理扫描工具。您可以使用 burp 拦截流量并在发送到服务器之前操纵请求。专业版具有针对您发送扫描仪的特定要求的扫描仪
Nikto 和Appscan 是自动扫描仪。最后,您需要消除误报,也可能产生误报结果。
nmap 是一个强大的网络工具,用于使用脚本引擎进行端口扫描、ftp、snmp 等相关搜索。
此外,使用自动化工具不会降低您的渗透测试成本。因为在任何情况下,您都应该在公开您的应用程序之前进行渗透测试服务。
降低安全成本不是一个好主意,最好聘请具有安全编码背景的开发人员或将安全开发生命周期应用于您的开发环境。
如果您还有其他问题,请拍下来。
于 2013-10-04T13:28:06.610 回答