Протестировать web server на уязвимости
Правила форума
Пожалуйста, ознакомьтесь с правилами данного форума
Пожалуйста, ознакомьтесь с правилами данного форума
- Old_Tuzik
- Житель
- Сообщения: 788
- Зарегистрирован: 28 авг 2007, 16:38
- Контактная информация:
Протестировать web server на уязвимости
Понадобилось временно открыть внешний достут (через фаервол) к QNAP running Linux on ARM. На нем установлен Аппачи, вообщем полноценный web server на нестандартном порту, но сервере всего лишь один python cgi script, a couple of html pages, js files etc - короче все содержимое только под конкретную задачу, ничего лишнего.
Но вот что меня тревожит - на QNAP есть куча других папок с разными файлами не имеещими отношение к Аппачи и мне хотелось быть увернным что при доступе снаружи есть доступ только у тому к чему надо, на доступных папках и файлах правильные права и вся прочая лабуда связанная с web programming security.
Может есть какие то онлайн сканнеры что бы все это дело быстро проверить или как оно все происходит в реальной жизни у настоящих веб програмистов и тестеров? Заказывают дорогой аудит у специализтрованных компаний? Или ждут пока не случится беда, фиксят проблему и ждут до следующего раза?
Но вот что меня тревожит - на QNAP есть куча других папок с разными файлами не имеещими отношение к Аппачи и мне хотелось быть увернным что при доступе снаружи есть доступ только у тому к чему надо, на доступных папках и файлах правильные права и вся прочая лабуда связанная с web programming security.
Может есть какие то онлайн сканнеры что бы все это дело быстро проверить или как оно все происходит в реальной жизни у настоящих веб програмистов и тестеров? Заказывают дорогой аудит у специализтрованных компаний? Или ждут пока не случится беда, фиксят проблему и ждут до следующего раза?
- CIS
- Частый Гость
- Сообщения: 17
- Зарегистрирован: 31 май 2015, 18:47
Re: Протестировать web server на уязвимости
Протекшн как минимум от OWASP TOP 10 common attacks...
Первое что выдал гугл: http://resources.infosecinstitute.com/1 ... -scanners/
А вообще да, *аудит у специализированных компаний* (точнее web app scan) если своего секюрити департмента нет. Особенно если речь идет об confidential/restricted data в *куча других папок с разными файлами не имеещими отношение к Аппачи*
ПыСы, обычно тестят в QAT и потом фиксят продакшн...
Первое что выдал гугл: http://resources.infosecinstitute.com/1 ... -scanners/
А вообще да, *аудит у специализированных компаний* (точнее web app scan) если своего секюрити департмента нет. Особенно если речь идет об confidential/restricted data в *куча других папок с разными файлами не имеещими отношение к Аппачи*
ПыСы, обычно тестят в QAT и потом фиксят продакшн...
- Old_Tuzik
- Житель
- Сообщения: 788
- Зарегистрирован: 28 авг 2007, 16:38
- Контактная информация:
Re: Протестировать web server на уязвимости
Нет, секьюрити департмента нет. Кошка есть, гараж есть, жена есть а вот секьюрити деп. нету
- Stanislav
- Mr. Minority Report
- Сообщения: 43479
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Протестировать web server на уязвимости
Не знаю как поступают настоящие веб программисты и тестеры в реальной жизни, но настоящие сисадмины просто идут и смотрят ДокументРут в конфиге Апача.Old_Tuzik писал(а): Но вот что меня тревожит - на QNAP есть куча других папок с разными файлами не имеещими отношение к Аппачи и мне хотелось быть увернным что при доступе снаружи есть доступ только у тому к чему надо...
Может есть какие то онлайн сканнеры что бы все это дело быстро проверить или как оно все происходит в реальной жизни у настоящих веб програмистов и тестеров
Фсе.
P.S. QNAP имеет SSH
- CIS
- Частый Гость
- Сообщения: 17
- Зарегистрирован: 31 май 2015, 18:47
Re: Протестировать web server на уязвимости
Вэб програмисты, как правило, получают пакет requirements от секюрити...тестеры получают *тэст и юз кейсес* и тестируют вэб серсис, ключая вэб апп сканирование и хост скан... но это в *айдиал ворлд* все патчится и конфигурируется до того, как это дело открывают для паблик АйПи.Stanislav писал(а):Не знаю как поступают настоящие веб программисты и тестеры в реальной жизни, но настоящие сисадмины просто идут и смотрят ДокументРут в конфиге Апача.Old_Tuzik писал(а): Но вот что меня тревожит - на QNAP есть куча других папок с разными файлами не имеещими отношение к Аппачи и мне хотелось быть увернным что при доступе снаружи есть доступ только у тому к чему надо...
Может есть какие то онлайн сканнеры что бы все это дело быстро проверить или как оно все происходит в реальной жизни у настоящих веб програмистов и тестеров
Фсе.
P.S. QNAP имеет SSH
Опять же, повторюсь, все зависит от критичности файлов на тачке + зона, где сервер припарковался. Как вариант, если сканировать не получается/ не хочется, я бы советовал все это дело описать в документе (цена на ассессмент VS может пронесет) и получить одобрение от кого-то *повыше*...прост чтоб спать спокойно.
ПыСы. QNAP, насколько мне известно, ISO27001 камплаиант...что уже не плохо.
ПыПыСы. эт все корпоративные процессы...если у вас компания маленькая и ресурсы сильно ограничены, то возможно вам хватит совета Stanislav, чтоб спать спокойно
- Stanislav
- Mr. Minority Report
- Сообщения: 43479
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Протестировать web server на уязвимости
ИМХО, вообще ничего делать не надо. Судя по перечисленным департаментам (кошка, гараж, жена), наличию доступа к файрволу и нестандартному порту сервера - этот QNAP стоит дома, т.е. нахрен он никому не нужен.
- Old_Tuzik
- Житель
- Сообщения: 788
- Зарегистрирован: 28 авг 2007, 16:38
- Контактная информация:
Re: Протестировать web server на уязвимости
Даже если он стоит дома, в жизни человека все должно быть прекрасно и функционировать правильно - и кошка и жена и гараж и QNAP !Stanislav писал(а):ИМХО, вообще ничего делать не надо. Судя по перечисленным департаментам (кошка, гараж, жена), наличию доступа к файрволу и нестандартному порту сервера - этот QNAP стоит дома, т.е. нахрен он никому не нужен.
- Groundhog
- Графоман
- Сообщения: 5082
- Зарегистрирован: 20 авг 2005, 16:36
- Откуда: Vancouver
Re: Протестировать web server на уязвимости
Перфекционист недорезанный! Используй Докер или Линуск контейнеры -достаточно защищен будешь - ну и помолиться не мешает чтобы интрудер если таковой обьявится из контейнера не вылез.
- Old_Tuzik
- Житель
- Сообщения: 788
- Зарегистрирован: 28 авг 2007, 16:38
- Контактная информация:
Re: Протестировать web server на уязвимости
Мусорный контейнер что ли? Так у меня их 3, синий, черный и зеленый, в какой ложить? И еще два момента: грязноваты они у меня, надо будет QNAP в пакет что ли какой то завернуть. И второй - из за переноски (электоичество то ему все равно надо будет, даже и в мусорном контейнере) крышку бака будет не закрыть. А что если медведи или ракуны взломают и получат доступ сразу и к мусору и к QNAPу? Тут потом одним секьюрити аудитом не обойдешься нужны будут профессиональные уборщики мусора.Groundhog писал(а):Перфекционист недорезанный! Используй Докер или Линуск контейнеры -достаточно защищен будешь - ну и помолиться не мешает чтобы интрудер если таковой обьявится из контейнера не вылез.
Вообщем идея с контейнером не катит, лучше уж его сразу в гараж под кошкину ответсвенность а жену назначть супервизором за кошкой, гаражом и QNAP. А потом нужен будет прожект менеджер что бы контроливать всех и сразу (ну там работоспособность, чистоту, секьюрити, что бы не сачковалт (особенно кошка, она у меня такая) и прочее). А потом им всем понадобится annual performance review что бы не расслаблялись. Ну и конечно cherry on the top - нужен будет CEO потому как всей этой банде живущей в моем гараже нужет будет руководитель.
А так все просто начиналось с одного вопроса про сканирование web server на уязвимости
- Stanislav
- Mr. Minority Report
- Сообщения: 43479
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Протестировать web server на уязвимости
Так это же русскоязычный форум!Old_Tuzik писал(а): А так все просто начиналось с одного вопроса про сканирование web server на уязвимости
По давно сложившейся традиции, вместо ответа на вопрос вам долго будут объяснять какой вы му.... в смысле, перфекционист!
- Old_Tuzik
- Житель
- Сообщения: 788
- Зарегистрирован: 28 авг 2007, 16:38
- Контактная информация:
Re: Протестировать web server на уязвимости
Причем я еще не упомянул чем все кончится эта история. Компания из гаража решит зажить хорошо, выпустит ценные бумаги, будет подтасовывать финансовую отчетность рапортуя на колоссальные доходы и удивительные проценты, будет построенна финансовая пирамида к которой для аудита даже налоговики не будут получать доступ и ... и через ххх лет все все поймут и пирамида рухнет.
CEO будет жить в другой стране недоступный для правосудия, прожект менеджер заранее пойдет на сделку со следствием и отделается легким испугом и репутацией.
Жена получит 20 лет условно потому как надо заботится о детях и муже который слег с инфарктом и лишится всего движимого и не движимого имущества в зачет покрытия колосальных долгов перед держателями акции и государством за невыплаченные налоги.
А кошка... А кошка будет главным обвиняемым в процессе и пойдет как организатор преступного сообщества и его тайный руководитель. Она не заслужит ни малейшего снисхождения перед суровым правосудием потому как на допросах она вела себя просто возмутительно постоянно доказывая что она просто плюет на все попытки установить правду - когда ей предложили сотрудничать со следствием и написать явку с повинной она просто села и начала демонстративно лизать ж... как бы пытаясь показать как ей все безразлично. Более того во время допросов она не однакратно пыталась наделать на ботинки дознавателя или по крайней мере в углу камеры что само по себе возмутительно. Поэтому они и получила по заслугам самый суровый приговор - отправилась на пожизненно в шелтер без права на удочерение. Шелтер держит животных 17 часов 53 секунды и если никто его не забрал тогда его просто усыпляют електричеством в 240 вольт. Поэтому доподлинно не известно жива ли она еще и где ее могила. Вот какая вот печальная история, блин .
CEO будет жить в другой стране недоступный для правосудия, прожект менеджер заранее пойдет на сделку со следствием и отделается легким испугом и репутацией.
Жена получит 20 лет условно потому как надо заботится о детях и муже который слег с инфарктом и лишится всего движимого и не движимого имущества в зачет покрытия колосальных долгов перед держателями акции и государством за невыплаченные налоги.
А кошка... А кошка будет главным обвиняемым в процессе и пойдет как организатор преступного сообщества и его тайный руководитель. Она не заслужит ни малейшего снисхождения перед суровым правосудием потому как на допросах она вела себя просто возмутительно постоянно доказывая что она просто плюет на все попытки установить правду - когда ей предложили сотрудничать со следствием и написать явку с повинной она просто села и начала демонстративно лизать ж... как бы пытаясь показать как ей все безразлично. Более того во время допросов она не однакратно пыталась наделать на ботинки дознавателя или по крайней мере в углу камеры что само по себе возмутительно. Поэтому они и получила по заслугам самый суровый приговор - отправилась на пожизненно в шелтер без права на удочерение. Шелтер держит животных 17 часов 53 секунды и если никто его не забрал тогда его просто усыпляют електричеством в 240 вольт. Поэтому доподлинно не известно жива ли она еще и где ее могила. Вот какая вот печальная история, блин .
- levak
- Графоман
- Сообщения: 23328
- Зарегистрирован: 15 июл 2009, 15:42
- Откуда: Москва, Франкфурт, Ричмонд.
Re: Протестировать web server на уязвимости
Если допрашивают попугая, то и кошку можно в тюрьму..
Но проще ваще сторожа нанять на фул тайм..
https://www.thestar.com/news/world/2016 ... tness.htmlParrot possible murder witness, family says
Код: Выделить всё
Нет, секьюрити департмента нет.
- Groundhog
- Графоман
- Сообщения: 5082
- Зарегистрирован: 20 авг 2005, 16:36
- Откуда: Vancouver
Re: Протестировать web server на уязвимости
Правильно Пожилой Тузик всех нас советчиков нах послал. Я сам ненавижу когда вместо ответа на вопрос советы начинают давать типа выкинь свое говно и используй другое говно. Извиняюсь за мудизм. Думаю мне навеяло запощщенными подробностями Апачами и питонами вот и воспринялось как запрос совета как убереч сарай, жену, кошку и себя от интрудеров.