- Detta ämne har 0 svar, 1 deltagare, och uppdaterades senast för 11 år, 4 månader sedan av
.
-
Inlägg
-
Hej,
Tänkte starta med en kort introduktion. Har tidigare haft E-butik och utvecklat lite egna plugins till dessa. Alltid varit IT-säkerhetsintresserad men inte mer än så. En dag upptäckte jag hur någon hade utnyttjat ett säkerhetshål på en av mina E-butiker och genom det kunnat ladda upp filer till min server. Tur i oturen så hade jag bra koll och lyckades åtgärda felet innan något allvarligt hände. Efter jag hade gått igenom serverloggen så insåg jag hur enkelt hackararen hade tagit sig förbi mina säkerhetssystem. Kan tilläggas att säkerhetsbristen hackaren använde sig av fanns på cirka 12.000 andra e-butiker. Efter det här började jag läsa på mig inom området ännu mer och satte även upp testmiljöer för att lära mig mer.
Enligt färsk statistik så har upp till 70% av alla hemsidor säkerhetsbrister i varierande omfattning som kan leda till stöld av känslig företagsdata som kreditkortsinformation eller kundlistor. Många vet inte om att deras hemsida/webbapplikation har säkerhetsbrister och de som misstänker att det kan finnas tycker det är för dyrt att utföra ett säkerhetstest. Jag har ordnat med automatiserade tester som testar mot SQL Injection, Cross-site scripting (XSS), Cross Site Request Forgery (CSRF), enkel brute force, information som ofrivilligt finns tillgänglig på nätet och liknande säkerhetsbrister.
Jag hade tänkt ta 2500:- för det här testet (ett normalt penetrationstest brukar kosta från 40.000:- och uppåt). Utförligare tester kan självklart göras efter överenskommelse.
Min fråga är vad ni tycker om affärsupplägget? Hade ni kunnat tänka er att betala för ett liknande test? Vad tycker ni om hemsidan än så länge? Saknar ni något?
Har även en idé om att kunden enbart ska behöva betala om hemsidan visar sig ha säkerhetsbrister. Enda nackdelen kan vara att definiera exakt hur allvarliga säkerhetsluckor som ska finnas. Vad tror ni om det?
Hemsidan:
Offensive SecurityOm ni vill prova själva har jag satt ihop en guide för väldigt enkel SQL Injection.
Sätt upp testmiljö:
Sätta upp en testmiljö Offensive SecuritySQL Injection:
SQL Injection Offensive SecurityTack på förhand och all feedback uppskattas.
- Du måste vara inloggad för att svara på detta ämne.