Penetrazione interna / esterna testare un server web - PCI

Naviga le tue risposte
2

il documento PCI DSS dichiara: 

11.3.2
Perform internal penetration testing at least annually and after any significant     
infrastructure or application upgrade or modification (such as an operating system    
upgrade, a sub network added to the environment, or a web server added to the environment). 

11.3.1
Perform external penetration testing at least annually and after any significant   
infrastructure or application upgrade or modification (such as an operating system upgra
de, a sub-network added to the environment, or a web server added to the environment).

Come posso eseguire un test di penetrazione interna sul mio server web? c'è qualche software in grado di fare questo? E cosa avrebbe fatto questo software? se qualcuno ha accesso al funzionamento interno del server web, allora avrebbe accesso a tutto?

Qualcuno può consigliare qualsiasi software facile da usare che possa eseguire il test penna interno / esterno? e dovrei caricarlo / inviarlo alla mia compagnia di hosting?

    
posta user1398287 11.03.2014 - 15:22
fonte

2 risposte

1

Ho cancellato la mia risposta precedente perché ho deciso che richiedeva troppa revisione.

I test di penetrazione interna avvengono all'interno della tua organizzazione per testare quanto sei vulnerabile a una minaccia interna. I test di penetrazione esterna vengono effettuati dall'esterno dell'organizzazione per verificare quanto sei vulnerabile a una minaccia esterna. In entrambi i casi, un penetration tester analizza le vulnerabilità e riporta i risultati. Sì, c'è un software per questo, ma il software è uno strumento per un professionista, non lo sostituisce.

Quando si ospita un server Web e / o un database con una terza parte, il gioco cambia. È possibile eseguire test esterni che includono anche test di vulnerabilità delle applicazioni (su cui si è concentrata la mia precedente risposta). Ma i test interni ora diventano una sfida. Alcune società di hosting specializzate nell'hosting di server conformi allo standard PCI eseguiranno i test autonomamente e forniranno report sui risultati. Se si memorizzano i dettagli della carta di credito su un server ospitato da una terza parte, si potrebbe essere non conformi se non si dispone di un server dedicato. Rivolgersi alla società di hosting per verificare se gestiscono la conformità PCI.

La risposta breve è:

    Il test di penetrazione
  1. viene eseguito da un professionista
  2. devi collaborare con la tua società di hosting per ottenere e rimanere conforme
risposta data 11.03.2014 - 20:30
fonte
0

Interno in questo caso significa - interno all'ambiente del titolare della carta. Stai tentando di enumerare il rischio di essere attaccato dall'interno della tua rete. Per la tua applicazione web testerai tipicamente le parti dell'applicazione web che sono "interne" (cioè il Database, il middleware, ecc.) Con il pen test interno. È inoltre necessario testare le parti dell'applicazione che sono disponibili all'esterno della rete "esternamente" questo sarebbe il server Web stesso. Stai tentando di enumerare il rischio che un utente malintenzionato esterno attacchi il tuo sito web al di fuori del tuo perimetro.

Lo standard economico e facile da usare per fare i test delle penne delle applicazioni web è Burp Suite, c'è una versione gratuita. Avrai bisogno di un altro strumento per testare le vulnerabilità a livello di host e di rete comuni ... ce ne sono centinaia.

    
risposta data 11.03.2014 - 18:29
fonte

Leggi altre domande sui tag

WLAN disconnesso di sicuro? Come posso archiviare le informazioni in modo sicuro quando non riesco a utilizzare crypt o hash?