Testy – bezpecnost web aplikaci

Zdravím, pracuji na jednom projektu jehoz soucasti je aplikace a server. Potreboval bych si byt jisty ze to je dobre zabezpecene a to jak aplikace tak server. Jak byste resili testy? Najmout nejake specialisty, dat jim velke penize a verit jim, nebo umistit na hackerske fora nabidku, ze zaplatim nejakou konstantni sumu za kazdou chybu kterou kdokoli najde? Napr 1000Kc? Na tom foru si myslim ze bych mohl mit lepsi vysledky, zejmena kdyz to dam i na zahranicni forum. Zdrojaky a konfigurace serveru jiz s nekym konzultuji, jde mi predevsim o dalsi testy zvenci.

No 1000 Kč za práci na několik hodin je dost málo :-) jedině pro partu indů to budou fajn peníze.Mohu nabídnout služby kolegy, který se tím zabýva náké základní testy i s vypracovanou dokumentací má myslím okolo 3k-5k.A velmi dobré reference.T.

1000 byl návrh, cenu neznám :) proto se ptám. Klidně dám 5tisic za každou chybu kterou někdo najde. Nebo mi odpovídající cenu poraďte prosím někdo zde. V případě že bych to dal na to fórum.

Tak cena :-) zase zaleží na testech. Co dělá kolega nebo aspon ví co a jak.1) SQL, OS, LDAP injection and remote script execution call.2) Cross Site Scripting 3) Insecure Direct Object Reference4) Insecure Cryptographic Storage5) Unvalidated Redirects and ForwardsPlus asi jsou i další ale tohle je co dělal jednou pro mě pro web banky.T.

Řešíte to pozdě. Bezpečnost se řeší při návrhu a tvorbě softwaru. Jakákoliv aplikace, kde se bezpečnost řeší až zpětně, bezpečná není a nejspíš nikdy nebude. Ad penetrační testy - měl jsem příležitost vidět výstupy auditu bezpečnosti intranetu (servery + aplikace) od jisté renomované firmy a bylo z toho zřejmé, že je to dobré na povšechnou představu o tom, jak jsou servery a aplikace zabezpečeny, ale rozhodně vám takový audit nevyřeší problém! Ukáže vám totiž jen špičku ledovce - nalezne některé problémy a navrhne vám, jak je řešit. Je ale na vás tyto postupy důsledně aplikovat všude, kde je třeba. A samozřejmě nezjistí ani zdaleka všechno. Ti co penetrační testy dělají k velké části své práce používají software a jedou podle určitých protokolů a tak naleznou věci jako otevřené porty, náchylnost k sql injection, absenci SPF záznamů u mailserverů atp. ale už nezjistí, že programátor udělal botu a když do adresy přidáte ?page=admin, tak jste bez loginu v administraci. Na druhou stranu i poměrně hodně špatně zabezpečený web může dlouhodobě docela dobře fungovat, zvlášť když je to software na míru. To je totiž samo osobě určitou ochranou dle principu "security by obscurity". Většinu hacků dnes dělají automaty, které testují známé slabiny např. v populárních redakčních systémech (joomla, WP, atp.) a jejich komponentách. Hackerů, kteří se osobně zabývají nějakým webem je řádově méně a musí k tomu většinou mít dobrý důvod. Samozřejmě neříkám, že je v pořádku provozovat děravý software. Každopádně zálohujte. Všechno a často.

Již od návrhu jsem bezpečnost řešil a celé je to koncipované tak aby to bylo bezpečné, tedy otázky bezpečnosti jsem řešil jako první. Nerad bych se spoléhal na názory několika lidí, ačkoli jsou dobří a vědí co dělají. Já jím věřím, ale jde mi o princip aby to ještě někdo zkontroloval, někdo kdo v tom není zapojen, někdo kdo do toho úplně nevidí a má tak mnohem čistší mysl - třeba se něco přehlédlo. Hotové to bude až začátkem února a tak teď postupně řeším jak vyřešit ty následné testy. Jestli je lepší nápad zaplatit nějakou externí firmu a nebo to dát na veřejné fórum (např s IP, pár informacema o serveru, demo účtem do aplikace,..)Ani nevěřím, že by se našlo mnoho chyb tak klidně nabídnu větší částku, jde mi o tu "tečku" za vývojem - jestli mi rozumíte. No ale třeba je to úplně zbytečné to ještě testovat. Myslím ale, že testů není nikdy dost.

V tom případě bych řekl spíš firmu.

Nechat to "otestovat" na fóru bych nedělal, to bude chaotické, možná ti to nějaké bugy odhalí ale výsledek nejistý. Šel bych cestou výběru dobrého freelancera/firmy s referencemi, který ví co dělá. Něco tě to bude stát, ale bude to mít smysl.