Webapplicatie beveiliging laten testen

ervaring met Pine digital security. Onderzoek was behoorlijk grondig en ze hebben zeker verstand van zaken. Je krijgt een goed onderbouwd rapport.

http://www.mcafeesecure.com/us/

Verwijderd schreef op vrijdag 06 augustus 2010 @ 12:12:
Altijd lastig natuurlijk, maar heb je een prijsindicatie (is natuurlijk heel afhankelijk van de applicatie)

Zet je DM even aan. Ik zet dat liever niet op een publiek forum.

orf schreef op vrijdag 06 augustus 2010 @ 12:16:
[...]


Zet je DM even aan. Ik zet dat liever niet op een publiek forum.

Waarom niet Tenzij het je eigen bedrijf is of je werkt er of iets dergelijks zie ik niet waarom je dat niet hier zou willen plaatsen?

[ Voor 23% gewijzigd door RobIII op 06-08-2010 12:23 ]

RobIII schreef op vrijdag 06 augustus 2010 @ 12:22:
[...]

Waarom niet Tenzij het je eigen bedrijf is of je werkt er of iets dergelijks zie ik niet waarom je dat niet hier zou willen plaatsen?

Als Pine publiekelijk prijsindicaties wil geven, dan zou dat wel op hun website staan.

sariel schreef op vrijdag 06 augustus 2010 @ 12:24:
[...]

Omdat hij niet wil rondbazuinen wat hij er voor betaald heeft?

Dat hoeft toch ook niet? Er wordt toch gevraagd om een indicatie? Overigens zijn er bij de concurrentie wel bedragen te vinden dus een idee kan men toch wel vormen.

Tiemez schreef op vrijdag 06 augustus 2010 @ 12:13:
http://www.mcafeesecure.com/us/

Als je iets post, onderbouw het dan aub!

McAfee secure is dienst waarbij je site met enige regelmaat gescanned wordt en eventuele zaken die niet goed zijn kan je in een dashboard opzoeken (en uiteraard krijg je waarschuwings mails). Dit is volledig geautomatiseerd. Je betaald een bedrag per maand/jaar per IP en hostname die moeten worden gecontroleerd. Dit is dus niet een eenmalige penetratie test o.i.d.. Die gaan over het algemeen een stuk verder dan een geautomatiseerde test. Ook kan dit niet een webapplicatie testen. Dus zaken die zijn afgeschermd door een login kan je niet zomaar laten meenemen.

Let er ook op dat een test je nog steeds geen 100% zekerheid geeft, de kans dat er toch een lek inzit dat in de toekomst misbruikt kan worden blijft altijd bestaan.

[ Voor 12% gewijzigd door Creepy op 06-08-2010 12:45 ]

http://www.madison-gurkha.com/nl/ kan o.a. een web-applicatie testen op allerlei door jou genoemde zwakheden.

Geen idee wat hun prijzen zijn echter, de klant heeft ze destijds zelf ingeschakeld en betaald. Ze leveren in ieder geval een professioneel resultaat en vonden inderdaad diverse ernstige en minder ernstige zwakheden.

Met enkel het volgen van een cursus maak je je applicatie niet ineens veilig. Daarnaast denk ik niet dat je voor dat bedrag een cursus kunt vinden die je kennis niveau dermate opschroeft dat je ineens in staat bent compleet veilige applicaties te maken.

Het bedrag vind ik trouwens ook niet vreemd, eerder zelfs aan de lage kant. Een uurtarief voor een specialist is al snel meer dan E100 en ik vraag me af of je in een man week wel volledig de applicatie kunt doorgronden.

Verwijderd schreef op donderdag 26 augustus 2010 @ 16:40:
Bedankt allen voor de tips. Ik ben een beetje aan het rond informeren geweest en voor een standaard black-box audit of penetratietest ben je al snel 4000 / 5000 euro kwijt. Aangezien het hier een klein bedrijf betreft zijn dit forse kosten. Zijn dit soort bedragen een beetje gangbaar?

Afhankelijk van de grote van de app, maar ik vind het ook laag.

Om je even een idee te geven ( hoe een bedrijfje het doet waar wij ooit eens wat ingekocht hebben ) :
- Daar gaat er een halve dag aan automated "standaard" tests inzitten zonder login
- Als er dan een framework oid gevonden is dan nog een halve dag automated tests met login specifiek op dat framework
- Dan nog een dagje automated tests met login
Hierna gaat er pas een mens naar kijken nav de uitkomsten van de automated tests, dit is veelal weer 2 dagen.
Daarna wordt er pas naar de echte excessen gekeken en echt gezocht.

Dus ( even extreem gezegd ) als je bijv een standaard 100% secure joomla install heb ( geen idee of die bestaat maar for the sake of argument ) dan betaal je 4 dagen voor helemaal niets ( het is niet helemaal niets, het is op zijn minst een bevestiging dat je 100% secure bent ipv 99% ).

Je hebt trouwens in die branche ook no flaw no pay bedrijven zitten ( geen idee of ze ook in NL zitten ) maar dan moet je wel op minimaal een dubbel tarief rekenen als ze wel een flaw vinden

Verder vraag ik me dan af of het niet interessanter is om een training oid in web beveiliging te volgen. Daar heb je naar mijn idee dan meer aan en kun je (lijkt me) ook voor dit soort bedragen wel inkopen. Is dit een naïve gedachte. Wat denken jullie?

Simpel gezegd, het is een naieve gedachte. Een echt beveiligingsbedrijf heeft mensen meerdere jaren ervaring zitten terwijl je voor die 4/5k misschien 3 dagen cursus hebt ( je kost het bedrijf namelijk ook geld als je op cursus zit vanwege gemiste productiviteit, dit is naast de studie kosten )

Maar ook al bereik je niet zelf de guru-status en heb je alsnog een extern bedrijf nodig: Wat bijleren kan nooit kwaad.

Verwijderd schreef op donderdag 26 augustus 2010 @ 16:40:
Bedankt allen voor de tips. Ik ben een beetje aan het rond informeren geweest en voor een standaard black-box audit of penetratietest ben je al snel 4000 / 5000 euro kwijt. Aangezien het hier een klein bedrijf betreft zijn dit forse kosten.

Wat zijn de kosten wanneer je wordt gehackt? En hoe groot schat je de kans dat je wordt gehackt?

Ook beveiliging is een kosten-baten analyse, net zoals de rest van je systeem. De kosten kunnen alleen wel extreem hoog zijn, inclusief jailtime... Dus welke risico's loop je en welke risico's wil je nemen?

4 tot 5 duizend euro is niets bijzonders, je huurt specialisten in en het kost gewoon tijd en voorbereiding.

Een paar tips:
- Compileer je php code met bijvoorbeeld HipHop, dit vertraagt een hacker aanzienlijk en houdt wel wat kiddies tegen
- Laat ook je SERVER OS nakijken zoals de webserver!
- Draai jails of virtuele OS-en en zet privacygevoelige gegevens in een andere VM. Met FBSD kan je bijvoorbeeld een nullfs ro mounten.
- Zet een proxy voor de echte webserver, anders dan apache. Je zou ook mod_security kunnen draaien.
- Je kan een test met Acunetix of SkipFish doen. Let op: zeer onbetrouwbaar! Scan ook je server met Nessus en nmap.
- Als je de url geeft, kunnen wij als tweakers ook even kloten!
- Encryptie, hashes en salts gebruikt voor het opslaan van gegevens?
- Gebruik captcha's voor inloggen en eventueel een mobiel voor two-factor-login
- Overigens is in je eentje zo'n privacygevoelige webapp maken geen goed idee!

[ Voor 5% gewijzigd door Verwijderd op 27-08-2010 12:04 ]

Ik had eigenlijk wel een paar opmerkingen bij enkele punten

Verwijderd schreef op vrijdag 27 augustus 2010 @ 12:04:
Een paar tips:
- Compileer je php code met bijvoorbeeld HipHop, dit vertraagt een hacker aanzienlijk en houdt wel wat kiddies tegen

Waarom vertraagd dit de hacker?

- Zet een proxy voor de echte webserver, anders dan apache. Je zou ook mod_security kunnen draaien.

Extra webserver ervoor zetten lijkt me weinig toevoegen anders dan security through obscurity.

- Encryptie, hashes en salts gebruikt voor het opslaan van gegevens?

Zomaar daarmee strooien zonder een goed uitgewerkt plan geeft over het algemeen enkel schijn veiligheid.

- Overigens is in je eentje zo'n privacygevoelige webapp maken geen goed idee!

Eensch

Janoz schreef op vrijdag 27 augustus 2010 @ 13:05:
Waarom vertraagd dit de hacker?

Als hij door middel van een hack de source van je bestanden kan inlezen, dan kan de hacker daar misschien een fout vinden die toegang geeft, of simpelweg wachtwoorden van bijvoorbeeld mysql zien.

Janoz schreef op vrijdag 27 augustus 2010 @ 13:05:
Extra webserver ervoor zetten lijkt me weinig toevoegen anders dan security through obscurity.

Apache is een veelgebruikte webserver (wat het een target maakt voor hackers). Als je er een proxy voor draait maak je het een stuk moeilijker omdat de hacker eerst de proxy moet hacken, wanneer hij dit gedaan heeft, kan hij exact hetzelfde als dat hij kon voordat hij de proxy had gehackt, pas met een exploit op zowel de proxy als apache zou hij toegang krijgen.

ervaring met Pine digital security. Onderzoek was behoorlijk grondig en ze hebben zeker verstand van zaken. Je krijgt een goed onderbouwd rapport.

Ik heb zelf ook ervaring met Pine via mijn werk. Mijn ervaring is dat ze erg goed zijn in wat ze doen! Ik heb alleen geen idee van het prijskaartje.

Verwijderd schreef op vrijdag 27 augustus 2010 @ 12:04:
Een paar tips:
- Draai jails of virtuele OS-en en zet privacygevoelige gegevens in een andere VM. Met FBSD kan je bijvoorbeeld een nullfs ro mounten.

Of gewoon op een andere server. Delen met andere klanten is uiteraard vragen om problemen.

ReenL schreef op vrijdag 27 augustus 2010 @ 13:30:
Als hij door middel van een hack de source van je bestanden kan inlezen, dan kan de hacker daar misschien een fout vinden die toegang geeft, of simpelweg wachtwoorden van bijvoorbeeld mysql zien.

Op zich is er niet veel verschil tussen plaintext source en compiled source. Ja, de eerste is makkelijker leesbaar, maar wachtwoorden zullen in de tweede ook als constanten opgenomen moeten worden en zijn door een hacker dus ook zo boven water te krijgen.

Het enige wat ik me voor kan stellen is dat een dergelijke compileer actie een extra kwaliteits controle oplevert omdat het enkele beperkingen op je code legt die nodig is om het uberhaupt te kunnen compileren. Denk daarbij aan dynamische imports. Dat maakt de code gelijk al een stuk veiliger.

Apache is een veelgebruikte webserver (wat het een target maakt voor hackers). Als je er een proxy voor draait maak je het een stuk moeilijker omdat de hacker eerst de proxy moet hacken, wanneer hij dit gedaan heeft, kan hij exact hetzelfde als dat hij kon voordat hij de proxy had gehackt, pas met een exploit op zowel de proxy als apache zou hij toegang krijgen.

Mwah. Wanneer beiden nog steeds op dezelfde server staan kan het best zijn dat de kans op een lek eerder wordt vergroot dan verkleint aangezien je de exploits van beiden kunt misbruiken. (Een exploit voor de achterliggende apache kan heel goed een gewoon valide request voor de proxy zijn waardoor deze entjes doorgestuurd wordt.)

Verwijderd schreef op donderdag 26 augustus 2010 @ 16:40:
Verder vraag ik me dan af of het niet interessanter is om een training oid in web beveiliging te volgen. Daar heb je naar mijn idee dan meer aan en kun je (lijkt me) ook voor dit soort bedragen wel inkopen. Is dit een naïve gedachte. Wat denken jullie?

Je kunt je eigen software nauwelijks testen. Je gaat onbewust toch de door jou uitgestippelde routes volgen. Anderen komen vaak genoeg fouten tegen in mijn online project waar ik zelf nooit op die manier achter zou zijn gekomen.

Eensch. Eigen software testen is onwijs lastig