> Для аудита сгодится любой хороший программист на том языке, на котором приложение.
> Лучше несколько в параллель.
> Даете исходники, человек смотрит, указывает на дырявые или потенциально проблемные места.
> На языке иб это вайтбокс тест.
> Также нужно проверить, насколько безопасно настроен весь стек для работы приложения (конфиги
> софта, используемые версии). Обычно дают доступ к сети и серверам.Ну вот вроде к коду не охота давать доступ.
> Есть вариант, когда делают пентест без доступа к коду и серверам. Это
> вы можете сами сделать, есть софт, который прогоняет разные эксплойты на
> указанный порт.
Ну эксплойты наверное от известных движков. У меня полностью "самопал" от начала до конца.
> Куда с этим обращаться, зависит от потребностей. Вам нужно заключение от специалистов
> из известной фирмы или достаточно самой проверки. Какой у вас бюджет
> на всё. Какова возможная цена пропущенной ошибки.
Нет, мне известная фирма не нужна. Мне нужно чтобы знающий человек "пощупал", указал потенциально проблемные места, какие-то принципиальные ошибки.
Бюджет видимо какой-то смешной, тысяч 5 рублей.
Там по ходу дела можно периодически возвращаться к сотрудничеству.
> В случае с фирмами встаёт вопрос цены услуг, а фрилансеры могут быть
> менее квалифицированны, чем ваши разработчики.
> Может иметь смысл сразу (без аудита) поставить команде задачу повышения безопасности приложения,
> дополнительные валидации, фильтрация контента, настройку WAF, анализ логов(выявление
> попыток), сборка используемых программ с отключением лишних возможностей, конфигурирование
> с упором на безопасность и т.д.
Ну да, с фирмами видимо всё должно быть очень серьёзно, сегодня в Позитив Технолоджис походу поржали с меня :) Когда Вася с улицы спрашивает у именитой фирмы сколько будут стоить их услуги чтобы проверить его "личный бложек" :))
Какие вообще там порядки стоимости? Ну если настраиваться на такой "личный" уровень общения.
Вариант для распечатки
