Протестировать web server на уязвимости

[Old_Tuzik]

Понадобилось временно открыть внешний достут (через фаервол) к QNAP running Linux on ARM. На нем установлен Аппачи, вообщем полноценный web server на нестандартном порту, но сервере всего лишь один python cgi script, a couple of html pages, js files etc - короче все содержимое только под конкретную задачу, ничего лишнего.

Но вот что меня тревожит - на QNAP есть куча других папок с разными файлами не имеещими отношение к Аппачи и мне хотелось быть увернным что при доступе снаружи есть доступ только у тому к чему надо, на доступных папках и файлах правильные права и вся прочая лабуда связанная с web programming security.

Может есть какие то онлайн сканнеры что бы все это дело быстро проверить или как оно все происходит в реальной жизни у настоящих веб програмистов и тестеров? Заказывают дорогой аудит у специализтрованных компаний? Или ждут пока не случится беда, фиксят проблему и ждут до следующего раза?

[CIS]

Протекшн как минимум от OWASP TOP 10 common attacks...
Первое что выдал гугл: http://resources.infosecinstitute.com/1 ... -scanners/

А вообще да, *аудит у специализированных компаний* (точнее web app scan) если своего секюрити департмента нет. Особенно если речь идет об confidential/restricted data в *куча других папок с разными файлами не имеещими отношение к Аппачи*

ПыСы, обычно тестят в QAT и потом фиксят продакшн...

[Old_Tuzik]

Нет, секьюрити департмента нет. Кошка есть, гараж есть, жена есть а вот секьюрити деп. нету

[Stanislav]

Но вот что меня тревожит - на QNAP есть куча других папок с разными файлами не имеещими отношение к Аппачи и мне хотелось быть увернным что при доступе снаружи есть доступ только у тому к чему надо...
Может есть какие то онлайн сканнеры что бы все это дело быстро проверить или как оно все происходит в реальной жизни у настоящих веб програмистов и тестеров

Не знаю как поступают настоящие веб программисты и тестеры в реальной жизни, но настоящие сисадмины просто идут и смотрят ДокументРут в конфиге Апача.
Фсе.
P.S. QNAP имеет SSH

[CIS]

Но вот что меня тревожит - на QNAP есть куча других папок с разными файлами не имеещими отношение к Аппачи и мне хотелось быть увернным что при доступе снаружи есть доступ только у тому к чему надо...
Может есть какие то онлайн сканнеры что бы все это дело быстро проверить или как оно все происходит в реальной жизни у настоящих веб програмистов и тестеров

Не знаю как поступают настоящие веб программисты и тестеры в реальной жизни, но настоящие сисадмины просто идут и смотрят ДокументРут в конфиге Апача.
Фсе.
P.S. QNAP имеет SSH

Вэб програмисты, как правило, получают пакет requirements от секюрити...тестеры получают *тэст и юз кейсес* и тестируют вэб серсис, ключая вэб апп сканирование и хост скан... но это в *айдиал ворлд* все патчится и конфигурируется до того, как это дело открывают для паблик АйПи.

Опять же, повторюсь, все зависит от критичности файлов на тачке + зона, где сервер припарковался. Как вариант, если сканировать не получается/ не хочется, я бы советовал все это дело описать в документе (цена на ассессмент VS может пронесет) и получить одобрение от кого-то *повыше*...прост чтоб спать спокойно.

ПыСы. QNAP, насколько мне известно, ISO27001 камплаиант...что уже не плохо.
ПыПыСы. эт все корпоративные процессы...если у вас компания маленькая и ресурсы сильно ограничены, то возможно вам хватит совета Stanislav, чтоб спать спокойно

[Stanislav]

ИМХО, вообще ничего делать не надо. Судя по перечисленным департаментам (кошка, гараж, жена), наличию доступа к файрволу и нестандартному порту сервера - этот QNAP стоит дома, т.е. нахрен он никому не нужен.

[Old_Tuzik]

ИМХО, вообще ничего делать не надо. Судя по перечисленным департаментам (кошка, гараж, жена), наличию доступа к файрволу и нестандартному порту сервера - этот QNAP стоит дома, т.е. нахрен он никому не нужен.

Даже если он стоит дома, в жизни человека все должно быть прекрасно и функционировать правильно - и кошка и жена и гараж и QNAP !

[Groundhog]

Перфекционист недорезанный! Используй Докер или Линуск контейнеры -достаточно защищен будешь - ну и помолиться не мешает чтобы интрудер если таковой обьявится из контейнера не вылез.

[Old_Tuzik]

Перфекционист недорезанный! Используй Докер или Линуск контейнеры -достаточно защищен будешь - ну и помолиться не мешает чтобы интрудер если таковой обьявится из контейнера не вылез.

Мусорный контейнер что ли? Так у меня их 3, синий, черный и зеленый, в какой ложить? И еще два момента: грязноваты они у меня, надо будет QNAP в пакет что ли какой то завернуть. И второй - из за переноски (электоичество то ему все равно надо будет, даже и в мусорном контейнере) крышку бака будет не закрыть. А что если медведи или ракуны взломают и получат доступ сразу и к мусору и к QNAPу? Тут потом одним секьюрити аудитом не обойдешься нужны будут профессиональные уборщики мусора.

Вообщем идея с контейнером не катит, лучше уж его сразу в гараж под кошкину ответсвенность а жену назначть супервизором за кошкой, гаражом и QNAP. А потом нужен будет прожект менеджер что бы контроливать всех и сразу (ну там работоспособность, чистоту, секьюрити, что бы не сачковалт (особенно кошка, она у меня такая) и прочее). А потом им всем понадобится annual performance review что бы не расслаблялись. Ну и конечно cherry on the top - нужен будет CEO потому как всей этой банде живущей в моем гараже нужет будет руководитель.

А так все просто начиналось с одного вопроса про сканирование web server на уязвимости

[Stanislav]

А так все просто начиналось с одного вопроса про сканирование web server на уязвимости

Так это же русскоязычный форум!
По давно сложившейся традиции, вместо ответа на вопрос вам долго будут объяснять какой вы му.... в смысле, перфекционист!

[Old_Tuzik]

Причем я еще не упомянул чем все кончится эта история. Компания из гаража решит зажить хорошо, выпустит ценные бумаги, будет подтасовывать финансовую отчетность рапортуя на колоссальные доходы и удивительные проценты, будет построенна финансовая пирамида к которой для аудита даже налоговики не будут получать доступ и ... и через ххх лет все все поймут и пирамида рухнет.
CEO будет жить в другой стране недоступный для правосудия, прожект менеджер заранее пойдет на сделку со следствием и отделается легким испугом и репутацией.
Жена получит 20 лет условно потому как надо заботится о детях и муже который слег с инфарктом и лишится всего движимого и не движимого имущества в зачет покрытия колосальных долгов перед держателями акции и государством за невыплаченные налоги.

А кошка... А кошка будет главным обвиняемым в процессе и пойдет как организатор преступного сообщества и его тайный руководитель. Она не заслужит ни малейшего снисхождения перед суровым правосудием потому как на допросах она вела себя просто возмутительно постоянно доказывая что она просто плюет на все попытки установить правду - когда ей предложили сотрудничать со следствием и написать явку с повинной она просто села и начала демонстративно лизать ж... как бы пытаясь показать как ей все безразлично. Более того во время допросов она не однакратно пыталась наделать на ботинки дознавателя или по крайней мере в углу камеры что само по себе возмутительно. Поэтому они и получила по заслугам самый суровый приговор - отправилась на пожизненно в шелтер без права на удочерение. Шелтер держит животных 17 часов 53 секунды и если никто его не забрал тогда его просто усыпляют електричеством в 240 вольт. Поэтому доподлинно не известно жива ли она еще и где ее могила. Вот какая вот печальная история, блин .

[levak]

Если допрашивают попугая, то и кошку можно в тюрьму..

Parrot possible murder witness, family says

https://www.thestar.com/news/world/2016 ... tness.html

Код: Выделить всё

Нет, секьюрити департмента нет. 

Но проще ваще сторожа нанять на фул тайм..

[Groundhog]

Правильно Пожилой Тузик всех нас советчиков нах послал. Я сам ненавижу когда вместо ответа на вопрос советы начинают давать типа выкинь свое говно и используй другое говно. Извиняюсь за мудизм. Думаю мне навеяло запощщенными подробностями Апачами и питонами вот и воспринялось как запрос совета как убереч сарай, жену, кошку и себя от интрудеров.