一家做本地資訊的網站有沒有必要做滲透測試?
做城市生活服務的,幾乎不涉及現金業務,最近對手出了用戶賬號密碼泄露事件(當然不是我們公司乾的),老闆有點「人人自危」的意思,那麼我們有沒有必要花錢找人做一下滲透測試呢?
好多人邀請我回答啊,不勝惶恐,謝邀
一般來說是需要的,不說數據泄露什麼的,我還見過伺服器拿下來被別人掛個黃網,這種事情等警察來了也不好說對不
除了測試,請招聘專門的安全工作人員進行網站的日常安全維護和代碼審計,從根本上杜絕網站安全問題,基本上在出現零日漏洞的情況下沒專門安全工作人員的網站都死的挺慘……
一般來說waf和自動掃描工具可以封堵和檢測出腳本小子能利用的漏洞,要是需要對網站進行全面的檢查需要找專門的安全團隊
這個回答下面的創宇和精靈還是挺靠譜的(不是廣告,沒收錢),或者把站掛到各大sec邀請眾測也行
考慮成本的話讓公司負責安全工作人員做好防禦加固工作,建議還是做一次專業的滲透測試進行評估補漏,我們公司有一部分業務也是做滲透測試的,如果有需要的話可以私信。
你們首先考慮的應該是做等級保護定級和備案。
ZF反覆強調的事情大家還是不當回事兒。
找個認證機構,去給你們這個系統評估定級,看定成幾級系統。
完了就按照幾級系統的安全標準,進行安全整改。
等保按照物理安全、主機安全、應用安全、人員安全等等方面,根據系統的不同安全定級。一、二、三、四級,給出了明確的安全技術標準,幾級的系統,要用什麼安全技術。做滲透測試只是等保安全標準里的其中一項。
一般都是二級或者三級系統。
完了再去做等級保護測評,看建設的有什麼差距,然後再整改。
通過了你們就有ZF背書了,再偷偷的告訴你,如果有朝一日你們真被黑客入侵了,並造成一定後果了。如果公安部門追過來發現你們這個系統沒有按照《網路安全法》的要求做等級保護備案和測評,可是要處罰的。
擦 被邀請了。。
本地資訊網站,滲透測試有沒有必要?
安全與價值是同步的,如果你的網站沒有價值,就無需做安全測試。
但如果你的網站還是有點價值,不過不值得開啟眾測(一個高危5K),那麼可以使用APPSCAN AWVS等工具進行掃描一下。甚至可以裝個軟WAF或者雲WAF。
如果你的網站價值比較高,可以拿出幾萬,甚至十幾萬去做眾測,那麼你的安全等級會進一步提升。(不過眾測也有不可控的風險,所以推薦找大廠商來做。)
如果你AWVS APPSCAN都懶的弄。。。
——————————————————————————————————
大爺。。我幫你測。。。。給口飯錢就行。。。。
謝邀。
滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網路系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,並且從這個位置有條件主動利用安全漏洞。
換句話來說,滲透測試是指滲透人員在不同的位置(比如從內網、從外網等位置)利用各種手段對某個特定網路進行測試,以發現和挖掘系統中存在的漏洞,然後輸出滲透測試報告,並提交給網路所有者。網路所有者根據滲透人員提供的滲透測試報告,可以清晰知曉系統中存在的安全隱患和問題。
企業為什麼需要做滲透測試?
目前,99%的大型網站都被拖過庫,從而泄漏了大量用戶數據,導致公司損失慘重。其實,類似的損失大可避免,譬如在未發生安全事件前提前進行滲透測試,先於黑客發現系統的安全隱患,按危險程度提前對系統進行一一改進,保證系統的每個環節在未知環境下都能經得起黑客挑戰,進一步鞏固客戶對企業及平台的信賴。黑客入侵常見的漏洞:
1、SQL注入漏洞
2、跨站腳本漏洞
3、弱口令漏洞
4、HTTP報頭追蹤漏洞
5、Struts2遠程命令執行漏洞
6、框架釣魚漏洞(框架注入漏洞)
7、文件上傳漏洞
8、未加密登錄請求
滲透測試還具有的兩個顯著特點,首先,滲透測試是一個漸進的並且逐步深入的過程;其次,滲透測試是選擇在不影響業務系統正常運行的情況下模擬黑客攻擊方法進行的測試,實用性極強。
在過去的幾年中,湧現出了大量的黑客組織,他們發展成員的速度已經達到了驚人的程度。黑客攻擊已經演變成為,黑客間相互配合的團體攻擊。安全性漏洞無處不在,業務系統的伺服器操作系統、業務系統用到的中間件、業務系統本身。辦公環節中的門禁、OA系統、CRM系統、ERP系統等。風險無處不在,需要更加小心的應對。
終上所述,即使你的網站不涉及現金業務,但依然有可能會成為黑客眼中的「肥肉」,假設黑客獲取了用戶的手機號,再根據用戶在貴平台的行為數據,比如發帖的內容,使用過的服務等,對用戶實施詐騙,那麼用戶就很容易上當了。而這件事再被競爭對手一炒作將會給你們的企業信譽帶來重創。
不請自來
於其花錢找人做滲透測試,為什不不能加強安全基線呢??
滲透測試的目的是幫你提前把安全風險暴露出來,提供你改善的建議;
而整體的安全加固或防護,同樣是降低你的安全風險,提高攻擊者的成本;
正反思維而已,正如上面一位仁兄說的,你缺少一個專業的安全運維~~~
感覺測試台單一了,我認為你們是缺少一個好的網站伺服器端的運維人員!
推薦閱讀: