Precauzioni per la verifica della sicurezza delle applicazioni Web

Se ti stai affidando a un'azienda per sottoporre a pen test e controllare la tua app, sarai saggio a individuare esattamente ciò che è nei limiti di detto test, a cosa sarà testato e in che modo (sembra che tu stia dando loro la fonte per essere in grado di test white-box pure). Probabilmente lavoreranno con voi per stabilire gli accordi legali che li indennizzino. Dovrebbe anche precisare i risultati attesi, i tempi e i metodi che comunicheranno i risultati. Tutte queste cose sono solo dei modi per assicurarti di ottenere esattamente ciò che ti aspetti da loro. Anche questo è nel loro interesse; vogliono anche clienti felici.

A parte le questioni legali / contrattuali, sarebbe saggio dare loro un ambiente più vicino o uguale a quello di produzione in modo che i risultati siano accurati e anche se è possibile eseguire i propri test prima del tempo per rimuovere il "low hanging fruit" - cioè, tutto ciò che è facile da trovare per loro. Prendi in considerazione le revisioni del codice e le revisioni del design del sistema in anticipo per dare loro ciò che pensi sia il migliore. In questo modo ottieni i tuoi soldi.

Se sei preoccupato di dare il tuo codice sorgente a terzi, allora non farlo. Portare le terze parti sul posto per eseguire la revisione del codice e non permettere loro di portare via il codice sorgente con loro. Ciò significa anche che possono sedersi con uno sviluppatore e avere risposte a tutte le domande che hanno abbastanza rapidamente. Lo sviluppatore avrà anche l'opportunità di imparare dal revisore.

Per il test di penetrazione, è possibile eseguire test sia con credenziali che senza credenziali senza fornire alcun codice sorgente in quanto il tester può testare l'interfaccia e la logica dell'applicazione.