ugrás a tartalomhoz

Online web security audit szolgáltatást keresek

Wabbitseason · 2012. Május. 23. (Sze), 14.22
Fontolgatom, hogy a webes kísérletezgetéseimet VPS-en intézném. Az nem okoz problémát, hogy saját gépen vagy belső hálózaton működő domaint konfiguráljak, de nincs igazán gyakorlatom az éles környezetbeni weblapműködtetésben.

Olyan online megrendelhető szolgáltatást keresek, ahol az interneten publikusan elérhető domaint megadva (nyilván a tulajdonjog bizonyítását követően, mondjuk a Google Analyticshez hasonlóan valamiféle random nevű file feltöltésével) kapnék egy audit jelentést az esetleges támadhatósági felületekről, lehetőleg a "befoltozáshoz" használható útmutatással.

Tudtok ilyen szolgáltatást ajánlani?
 
1

Megcsinalom

janoszen · 2012. Május. 23. (Sze), 16.30
Ha tanulas celjabol csinalod, akkor megcsinalom neked az auditot. Ha komolyabb cucc kell, akkor ezeket nezd meg:



Nyilvan az ilyen szolgaltatasok nem olcsokak. Azert nincs igazabol online dolog, mert emberi intelligencia kell ahhoz, hogy meg tudja allapitani valamirol, hogy lukas-e vagy sem. Pl. lehet olyan, hogy az altalad hasznalt Linux disztribuciban egy regebbi verzioju Apache van, de ennek ellenere backportoltak egy security fixet.
2

Naiv voltam :)

Wabbitseason · 2012. Május. 24. (Cs), 09.47
Köszönöm a jóindulatod, és ismerve az eddigi munkásságodat még megtisztelőbb az ajánlatod, de én inkább valamilyen ad-hoc, többszöri elemzést keresek, hogy folyamatosan lássam, mi a helyzet, miközben barkácsolgatok.

Alighanem túlzottan paranoid a viselkedésem, és meglehet, hogy -- mivel nem üzleti vagy bizalmas adatokat kezelő kísérleteket végeznék -- egy rendszeresen frissített Ubuntu, Debian vagy CentOs is elegendő biztonságot nyújthat.

Esetleg tudnál ajánlani olyan online cikket, amiben néhány aktuális VPS használati "best practice"-ről lehetne olvasni?
3

Nem nagyon

janoszen · 2012. Május. 24. (Cs), 09.58
Nem talaltam meg olyan cikket, ami igazan kiraly lenne. Valszeg errol konyveket lehetne irni.

  • Ami a scant illeti, nezd meg az nmapot, scanneld vegig a gepedet otthonrol es nezd meg a nyitott portjaidat. Ha nem tudod beloni az nmapot otthonrol (pl. mert a szolgaltatod filterez) szolj, belovok egy virtgepet, amirol tudod nezegetni.
  • Ha lehet, akkor a port bannert rejtsd el, verzioszam ne latszodjon ki.
  • Apacheban legyen kikapcsolva a directory listing.
  • A PHP security teszteleshez itt egy toolkit
  • Minden szolgaltatas csak oda bindoljon, ahova kell. netstattal tudod nezni.
  • Ha tuzfalat epitesz, akkor olvass utana a TCP mukodesenek.
  • A gepedet frissitsd rendszeresen, a frissitesekre pedig allits uzembe egy Nagiost, ami ordit, ha security fix van.
  • Ha kulon alkalmazasaid vannak, azok fussanak is kulon user alatt, 0777-es permission pedig csak a legkivetelesebb esetekben legyen, de leginkabb soha.
  • Ha tobb PHP-s alkalmazasod van, hasznalj PHP-FPM-et es minden alkalmazasnak legyen sajat usere.


Egyebkent meg mailbe kuldd el az IP cimet, lescannelem neked. :)
5

Nagyon hálás vagyok a

Wabbitseason · 2012. Május. 24. (Cs), 10.26
Nagyon hálás vagyok a segítségért!

Még nincs VPS-em, egyelőre arra vagyok kíváncsi, hogy megéri-e nekem, hogy a rendszer biztonságával is foglalkoznom kelljen, ha élesben próbálhatnám ki a MongoDB-t és a Djangót, vagy maradjak a MediaTemple(gs) nyújtotta PHP+MySQL egyszerűségénél.
8

Ha akarsz

janoszen · 2012. Május. 24. (Cs), 10.33
Ha tanulni akarsz, adok ra virtgepet megfeleloen betuzfalazva. :)
9

metasploit?

eddig bírtam szó nélkül · 2012. Május. 24. (Cs), 10.37
A metasploitról mi a véleményetek?
Csak olvastam róla, meg egy alkalommal felraktam valamelyik linuxomra, de annál bonyolultabb volt, hogy a felszínes tudásommal nekiessek, így nincs róla használható infóm.
Annyit láttam, hogy elméletileg akár azt is ki lehet vele tesztelni, hogy SQL injection-re érzékeny-e a rendszer.
Viszont nem tudom, hogy a kérdező céljaira megfelel-e.
E téren elakadtam a wigwam.sztaki.hu port scannerénél, ami azért elég keveset árul el egy szerver védettségéről.
11

Szemlelet

janoszen · 2012. Május. 24. (Cs), 12.56
Eloszor a szemleletet kell megtanulni, erteni kell, hogy mi miert jelent biztonsagi kockazatot. Az egy kattintasos hackeles jo dolog, de leginkabb csak akkor, ha tudod mit csinalsz. Szoval elobb az alapok, utana a toolok.
4

BackTrack Linux

Hidvégi Gábor · 2012. Május. 24. (Cs), 10.24
A BackTrack Linuxot hackerek fejlesztik, telerakták olyan eszközökkel, amikkel többek között ilyen biztonsági tesztelést is lehet végezni. Live CD-ként is működik, de fel lehet tenni virtuális gépre is (csak adj neki vagy 20 giga helyet), és mehet a nyúzás. Csak nehogy a végén átállj a másik oldalra : )

Van egy Angliában dolgozó magyar srác, aki pont ilyen biztonságtechnikai auditot végző cégnél dolgozik, egy nagyon szórakoztató blogban szokta megosztani a tapasztalatait, érdemes elolvasni, onnan is lehet ötleteket meríteni, meg felveheted vele a kapcsolatot, hátha tud ajánlani megbízható hazai céget ő is.
6

Virtgep

janoszen · 2012. Május. 24. (Cs), 10.33
Az ilyen tanacsokkal ovatosan, mert ha megborogatja a hostot, akkor kivagjak. Lattam mar par szolgaltatot, amelyiket ilyesmivel meg lehet szivatni.
10

Élesben nem tesztelünk

Hidvégi Gábor · 2012. Május. 24. (Cs), 10.41
Jó pap is holtig tanul.
7

Remek, köszönöm!

Wabbitseason · 2012. Május. 24. (Cs), 10.33
Remek, köszönöm! Érdekesnek tűnik a BackTrack Linux. Attól nem kell tartani, hogy zsiványkodásra adnám a fejem, engem inkább a frontend érdekel. Legalábbis most. ;)

A nopblogot ismerem és olvasom. Ez a cikk különösen tetszett:
http://0x90.freeblog.hu/archives/2011/03/23/Regisztralj_az_imelcimeddel/