Esiste un modo standard per testare automaticamente la sicurezza di base del mio server web? Ho trovato un paio di servizi online (ad es. link ), e sembrano ok, ma mi piacerebbe iniziare con nozioni di base. Esiste un metodo go-to per lo stress testare la sicurezza di un server web?
Ci sono un certo numero di scanner là fuori che non sono gratuiti. Come Nexpose o Nessus che possono fare molto di più che scansionare un server web. Ma forniscono anche questa funzionalità.
La parte interessante è che questi scanner possono anche accedere al server ed eseguire le revisioni della configurazione secondo un determinato standard. Ad esempio, DISA STIG è un'ottima base per testare e vedere se hai implementato correttamente il tuo webserver in modo sicuro.
A parte questo, puoi anche testare l'applicazione stessa, con scanner automatici come Burp o Appscan.
Un'altra opzione potrebbe essere quella di utilizzare ASV . Solitamente vengono utilizzati solo per la conformità PCI-DSS, ma è anche possibile utilizzarli, anche se non è necessario essere conformi a PCI-DSS. Le loro scansioni e report di base sono un'ottima valutazione di base per vedere qual è il livello di sicurezza, poiché i requisiti PCI-DSS non sono affatto chiari.
Leggi altre domande sui tag automation penetration-test