Scansione PCI e pagine utente autenticate

Naviga le tue risposte
2

Ho appena utilizzato lo strumento di scansione PCI automatizzato di un fornitore di sicurezza per eseguire la scansione del mio server web.

Ha la capacità, immediatamente, di scansionare gli URL come utente non autenticato. Ciò significa che è solo la scansione della mia pagina di accesso e di qualsiasi altro URL che può eseguire la scansione / ipotesi, e solo in una modalità (cioè, tutte le pagine hanno molte più funzionalità disponibili al momento del login).

Esiste uno strumento di scansione PCI noto che consente la scansione come utente autenticato per una migliore copertura? Posso immaginare di effettuare un accesso limitato per lo strumento e quindi specificare l'accesso / password o un cookie come parte della configurazione di scansione.

Forse sto confondendo lo scopo della scansione PCI, ed è pensato per essere un test della scatola nera. Sembra che, se questo è il caso, l'unico passo successivo in un test di penetrazione migliore per me è quello di assumere un fornitore di sicurezza per fare test manuale della scatola bianca.

    
posta Yoshi 19.10.2011 - 23:30
fonte

2 risposte

1

Una scansione ASV PCI è un test scatola nera. È inteso a certificare un livello minimo di sicurezza che è necessario raggiungere per ottenere risultati soddisfacenti (ed essere considerato "conforme PCI"). La porzione di scansione Web è solo una piccola parte della scansione ASV totale.

Sono d'accordo che sarebbe utile avere il tuo sito testato con un login credenziale. Ma, se tu fornissi le credenziali al tuo ASV, tecnicamente non sarebbe più una scansione ASV.

È possibile che alcuni ASV forniscano questa opzione come un servizio aggiuntivo, ma ciò dipenderebbe dall'ASV. Esistono altri strumenti di scansione e fornitori che è possibile utilizzare per questo test specifico. Nessus è quello che ti viene in mente.

    
risposta data 20.10.2011 - 18:56
fonte
1

Hai provato a esaminare più a fondo le opzioni che potrebbero essere disponibili nello strumento? Personalmente, tendo a favorire Acunetix , che consente la creazione di uno script di accesso in modo che possa eseguire la scansione sia come autenticato sia come non autenticato utente. L'unico svantaggio è che puoi solo configurare un singolo script di accesso per ogni scansione eseguita individualmente, mentre alcune applicazioni avranno più aree autenticate separate.

    
risposta data 20.10.2011 - 04:31
fonte

Leggi altre domande sui tag

DAST Output in Burp e Capito Un attacco Egghunter ha ancora senso in un sistema a 64 bit?