Sono uno sviluppatore, non un guru della sicurezza. Il mio obiettivo primario è quello di garantire che non sto introducendo buchi di sicurezza attraverso una cattiva programmazione. Capisco come codificare per proteggere contro la Top 10 di OWASP, così come altre vulnerabilità, ma so abbastanza per sapere che non ne so abbastanza. Vorrei aggiungere alcuni test aggiuntivi al nostro processo per eseguire la scansione delle vulnerabilità in tutto il processo di sviluppo.
Realizziamo già modelli di minacce in tutto il progetto, oltre a revisioni di codice su tutte le modifiche al codice in corso di produzione.
Inoltre, come parte del nostro processo di rilascio, abbiamo eseguito test di penetrazione contro i nostri siti nel nostro ambiente di staging prima di essere pubblicati, e anche in live una volta rilasciato. Tuttavia, non sono sicuro che i nostri strumenti di test di penetrazione siano adeguati . Inoltre, i test di penetrazione sono costosi e possono essere eseguiti solo ogni tanto. Mi piacerebbe che il nostro team li eseguisse durante l'intero processo di sviluppo. (È molto più economico riparare i buchi prima che poi nel progetto.)
Sono a conoscenza di strumenti come Havij che vengono utilizzati dai criminali informatici , e sono a conoscenza di quanto siano facili i siti di attacco con vulnerabilità per anche persone non tecniche. Mi piacerebbe essere in grado di utilizzare gli stessi strumenti per testare il nostro sito web nel nostro test, quindi in scena, quindi in ambiente di produzione. (Perché i cattivi dovrebbero avere tutti i buoni strumenti?) Ma non sono disposto a visitare i siti "ombreggiati" o i newsgroup scaricano gli strumenti. Non saprei nemmeno dove guardare. Anche se sapessi dove cercare, i nostri amministratori di rete non ci consentirebbero mai di ottenere quegli strumenti da una fonte non attendibile.
Esiste un posto legittimo , fidato in cui tali strumenti possono essere scaricati o acquistati per tali scopi white hat? Sono perfettamente disposto a cercare di far sì che i dirigenti superiori paghino per l'appartenenza a gruppi di cappelli bianchi che potrebbero fornire questi strumenti e, ancora meglio, la formazione, quindi non sono necessariamente alla ricerca di risorse gratuite. Sto solo cercando le fonti legali e legittime.