https://opennet.dev/openforum/vsluhforumID1/97557.html Здравствуйте товарищи АйТи-шники!<br><br>Есть ли такая услуга как "аудит безопасности веб-приложения"? <br>Как это вообще происходит? Куда с этим стоит обратиться?<br><br>В идеале - хотелось бы профессионала с кодексом чести :) <br> https://opennet.dev/openforum/vsluhforumID1/97557.html#6 Tue, 23 Jun 2020 08:45:04 GMT &gt; Не занимайтесь дурью. Даже если вы найдете специалиста и он вас ломанет, <br>&gt; вам все равно придется закрывать уязвимость самостоятельно. Учить вас правильно программировать <br>&gt; никто не будет.<br>&gt; Читайте книжки и руководства по усилению безопасности используемого стека, хотя бы рекомендации <br>&gt; OWASP. Смотрите в свой код и думайте, что в нем может <br>&gt; пойти не так.<br><br>Да я вполне уверенно пишу код, и найти проблемы тоже в состоянии. Но я их могу найти только со своей стороны - кодера, а вот тот кто специализируется на анализе безопасности - у него совсем другой подход и взгляд. Потому и будет это полезно. <br> https://opennet.dev/openforum/vsluhforumID1/97557.html#5 Sat, 28 Mar 2020 21:03:46 GMT Не занимайтесь дурью. Даже если вы найдете специалиста и он вас ломанет, вам все равно придется закрывать уязвимость самостоятельно. Учить вас правильно программировать никто не будет. <br><br>Читайте книжки и руководства по усилению безопасности используемого стека, хотя бы рекомендации OWASP. Смотрите в свой код и думайте, что в нем может пойти не так.<br> https://opennet.dev/openforum/vsluhforumID1/97557.html#4 Wed, 25 Mar 2020 19:33:23 GMT &gt; Для аудита сгодится любой хороший программист на том языке, на котором приложение. <br>&gt; Лучше несколько в параллель.<br>&gt; Даете исходники, человек смотрит, указывает на дырявые или потенциально проблемные места. <br>&gt; На языке иб это вайтбокс тест.<br>&gt; Также нужно проверить, насколько безопасно настроен весь стек для работы приложения (конфиги <br>&gt; софта, используемые версии). Обычно дают доступ к сети и серверам.<br><br>Ну вот вроде к коду не охота давать доступ.<br><br>&gt; Есть вариант, когда делают пентест без доступа к коду и серверам. Это <br>&gt; вы можете сами сделать, есть софт, который прогоняет разные эксплойты на <br>&gt; указанный порт.<br><br>Ну эксплойты наверное от известных движков. У меня полностью "самопал" от начала до конца.<br><br>&gt; Куда с этим обращаться, зависит от потребностей. Вам нужно заключение от специалистов <br>&gt; из известной фирмы или достаточно самой проверки. Какой у вас бюджет <br>&gt; на всё. Какова возможная цена пропущенной ошибки.<br><br>Нет, мне известная фирма не нужна. Мне нужно чтобы знающий человек "пощупал", ук https://opennet.dev/openforum/vsluhforumID1/97557.html#3 Wed, 25 Mar 2020 18:35:10 GMT &gt; Здравствуйте товарищи АйТи-шники!<br>&gt; Есть ли такая услуга как "аудит безопасности веб-приложения"?<br>&gt; Как это вообще происходит? Куда с этим стоит обратиться?<br>&gt; В идеале - хотелось бы профессионала с кодексом чести :) <br><br>Для аудита сгодится любой хороший программист на том языке, на котором приложение. Лучше несколько в параллель.<br>Даете исходники, человек смотрит, указывает на дырявые или потенциально проблемные места. На языке иб это вайтбокс тест. <br>Также нужно проверить, насколько безопасно настроен весь стек для работы приложения (конфиги софта, используемые версии). Обычно дают доступ к сети и серверам. <br><br>Есть вариант, когда делают пентест без доступа к коду и серверам. Это вы можете сами сделать, есть софт, который прогоняет разные эксплойты на указанный порт.<br><br><br>Куда с этим обращаться, зависит от потребностей. Вам нужно заключение от специалистов из известной фирмы или достаточно самой проверки. Какой у вас бюджет на всё. Какова возможная цена пропущенной ошибки. <br><br>В случае с фирмами встаёт https://opennet.dev/openforum/vsluhforumID1/97557.html#2 Wed, 25 Mar 2020 09:02:07 GMT &gt; заключаете контракт с уважаемой конторой... хоть с Позитив Текнолоджи...<br><br>Позвонил им, почту дал... Связи нет пока. <br><br>А из местных профи может чисто на человеских договорённостях и оплате на карточку сбера можно работать? Есть же тут тоже серьёзные специалисты.<br> https://opennet.dev/openforum/vsluhforumID1/97557.html#1 Wed, 25 Mar 2020 07:14:33 GMT &gt; Здравствуйте товарищи АйТи-шники!<br>&gt; Есть ли такая услуга как "аудит безопасности веб-приложения"?<br>&gt; Как это вообще происходит? Куда с этим стоит обратиться?<br>&gt; В идеале - хотелось бы профессионала с кодексом чести :) <br><br>заключаете контракт с уважаемой конторой... хоть с Позитив Текнолоджи...<br>