В течение нескольких месяцев при создании веб-сайтов для клиентов я встречал практически триллионы «сканеров безопасности сайта», предположительно одобренных / одобренных различными общими веб-хостами, которые утверждают, что запускают XSS, SQL-инъекции, меры по предотвращению спама и другие проверки, все для около 300 долларов и выше, если вы хотите, чтобы планы выполняли более одного сканирования в год.
Я не говорю о проверках соответствия PCI, подобных тем, которые предлагают Comodo, McAfee, Symantec и т. Д., Которые обычно обходятся в тысячи долларов в год, но, скорее, эти поставщики, похоже, отыгрывают опасения менее технических владельцев бизнеса, предлагая доступную альтернативу. к PCI fims.
Хотя я мог бы упомянуть несколько компаний, я знаю слишком много, чтобы перечислить, поэтому мой главный вопрос: являются ли эти «доступные» сканеры хорошей альтернативой сканеру PCI, если вы не занимаетесь электронной коммерцией. Как насчет того, если у вас общий / управляемый план - разве хост не должен с этим справиться?
Что касается сайтов с электронной коммерцией, поскольку некоторые продавцы-процессоры требуют от своих поставщиков PCI или даже покрывают расходы на сканирование PCI, необходимо ли проводить дополнительное сканирование?
Большое спасибо всем за любые идеи, так как я давно об этом думал.
Закон Стерджена об ИТ («90% всего - змеиное масло») применим к этому так же, как и к любому другому аспекту ИТ. Мы все знаем, что PCI - это просто пылающий обруч / мешок с собачьим пометом, через который вам нужно перепрыгнуть, чтобы обработать кредитные карты («затраты на ведение бизнеса», как оплата местного бандита за «защиту»), и не фактический аудит безопасности; это автоматическое сканирование похоже на то, как если бы вы случайно подошли к кому-то на улице и предложили ему 100 долларов, чтобы они не сожгли ваш магазин.
Единственный раз, когда я мог бы рассмотреть одно из этих мест, - это страхование от действительно некомпетентных разработчиков (от которых у меня не было возможности просто избавиться). Сделайте обязательной частью приемочного тестирования: если их код не прошел одно из этих сканирований, им ничего не заплатят (и, желательно, их бьют палкой и поджигают). Я не могу представить себе какие-либо проблемы с автоматическим сканированием, обнаруживающие проблемы с кодом компетентного веб-разработчика в 2011 году - это не значит, что ни одна из проблем не является широко известной, и наем компетентных людей является наиболее важным аспектом работы. любой бизнес.
При этом лучший способ заработать деньги - это найти бездельников, и держу пари, что эти компании зарабатывают много денег. Только убедитесь, что вы не один из лохов. Чтобы реально оценить эффективность любой из этих компаний, просто спросите их, какие гарантии они дают в отношении своего продукта - если они не готовы предоставить какую-то письменную гарантию того, что они обнаружили все проблемы с безопасностью (и что они готовы нести ответственность, если вас взломают в будущем), то они не только продают змеиное масло, но и знать они продают змеиное масло.
Мы использовали netsol (я думаю, сторожевой сканер) и Qualys, и они в порядке; Qualys намного лучше, чем Netsol. Ничего особенного, что не дает вам сканирование nessus. Единственная причина, по которой нам может понадобиться внешнее сканирование, - это некоторые клиенты, которым это нужно, иначе я бы просто остановился на nessus.