loading
Ga naar inhoud
DennisvdHeijden
Verberg

Wie heeft ervaring met Security Check website (extranet)

vraag

We gaan een extranet opleveren voor onze klanten. Aangezien hier alle facturen, klantgegevens en mogelijkheden tot verandering en publicatie van gegevens onder de klantnaam staat wil ik een goede securitycheck laten uitvoeren door externe. Heeft iemand ervaring met partijen, zo ja welke en wat voor positieve en negatieve ervaringen?


Vergelijk software CRM CMS ERP HRM-software. Lees meer over CRM-systemen / ERP

Link naar bericht
Delen op andere sites

17 antwoorden op deze vraag

Aanbevolen berichten

  • 0
  • Waardeer dit antwoord

Een PHP Security Audit is denk ik wat je zoekt.

 

Onder andere IBuildings is hier erg goed in.

 

Ik zou het in ieder geval laten doen door (door Zend) gecertificeerde PHP programmeurs, zodat je zeker weet dat je goeie mensen inhuurt. Laat je even weten waar je uiteindelijk voor hebt gekozen en of het beviel?

Link naar bericht
Delen op andere sites
  • 0
  • Waardeer dit antwoord

Onder andere IBuildings is hier erg goed in.

 

Grappig, ik krijg advies op Higherlevel om de test te doen bij een klant van ons zelf. Zegt wat over onze binding met de klanten als ik niet eens weet dat ze dat doen.

 

Maar erg bedankt voor de tip, zal ze weer eens bellen.


Vergelijk software CRM CMS ERP HRM-software. Lees meer over CRM-systemen / ERP

Link naar bericht
Delen op andere sites
  • 0
  • Waardeer dit antwoord

Hoi Dennis,

 

Systeem is php/mysql op linux server. Geen idee hoe de audit heet die ik wil. Ik wil dat mensen niet bij de klantgegevens kunnen komen. Thats it.

 

Linux dus. 8)

 

In dat geval is een een zeer degelijk openSource programma voor iedereen gratis ter beschikking:

Nessus. Zie http://www.nessus.org/nessus/

 

Als het opleveren van servers is wat jouw bedrijf doet, is het voor jou zeker de moeite waard hier eens kennis mee te gaan maken.

 

Een engelstalige demo over wat Nessus allemaal kan doen voor je:

http://cgi.tenablesecurity.com/demos/nessus32-intro/nessus32-intro.html

 

 

 

mvrgr

Liset Karman

 

 


Voorzitter van Stichting Witte Mus, een ANBI stichting die zich in zet voor het in Nederland van de rode lijst halen van de huismus. Onder anderen door de biotopen van de Huismus te herstellen, maar ook door adviezen aan LNV en particulieren, en door de eigen kolonie Huismussen in stand te houden.

Link naar bericht
Delen op andere sites
  • 0
  • Waardeer dit antwoord

Als het opleveren van servers is wat jouw bedrijf doet, is het voor jou zeker de moeite waard hier eens kennis mee te gaan maken.

 

Bedankt we leveren geen servers we bouwen enkel onze extranet platform zelf. Maar bedankt voor de tip/


Vergelijk software CRM CMS ERP HRM-software. Lees meer over CRM-systemen / ERP

Link naar bericht
Delen op andere sites
  • 0
  • Waardeer dit antwoord

Graag gedaan.

 

Word of warning: RTFM, ofwel; lees de (*) handleiding voordat je Nessus op een netwerk los laat.

Nessus gaat namelijk alle poorten scannen, en dat kan een DDOS veroorzaken.

 

mvrgr

Liset Karman


Voorzitter van Stichting Witte Mus, een ANBI stichting die zich in zet voor het in Nederland van de rode lijst halen van de huismus. Onder anderen door de biotopen van de Huismus te herstellen, maar ook door adviezen aan LNV en particulieren, en door de eigen kolonie Huismussen in stand te houden.

Link naar bericht
Delen op andere sites
  • 0
  • Waardeer dit antwoord

Liset, Nessus is een scanner wat bekende exploits kan vinden in software. Een PHP Security Audit is iets totaal anders, daarbij wordt de PHP code door een ervaren programmeur nagelopen, iets wat Nessus onmogelijk kan doen. Er zijn ontzettend veel tools die je kan inzetten om een server te beveiligen, maar dat heeft met de vraag in dit topic niets te maken.

Link naar bericht
Delen op andere sites
  • 0
  • Waardeer dit antwoord

@Maarten,

 

De vraag was deze: "Ik wil dat mensen niet bij de klantgegevens kunnen komen. Thats it."

Nessus kan heel precies laten zien of en hoe dat kan, met behulp van de raportage van de scan die Nessus maakt.

Nessus kan dus heel erg grondig laten zien waar de eventuele lekken in de LinuxServer zitten.

Kijk anders zelf ook maar even naar de video.

 

Verder kan Nessus inderdaad controleren op alle bekende PHP exploids.

Een PHP programmeur die opdracht heeft te rapporteren (en niet te repareren) doet niet veel anders dat de hem of haar bekende exploids nalopen.

Of dat er zoveel zijn als Nessus kent, valt dan nog te bezien.

 

Of ben je met iets anders bezig dan de vraag van de klant zo goed mogelijk te beantwoorden ?

 

mvrgr

Liset Karman

 

 


Voorzitter van Stichting Witte Mus, een ANBI stichting die zich in zet voor het in Nederland van de rode lijst halen van de huismus. Onder anderen door de biotopen van de Huismus te herstellen, maar ook door adviezen aan LNV en particulieren, en door de eigen kolonie Huismussen in stand te houden.

Link naar bericht
Delen op andere sites
  • 0
  • Waardeer dit antwoord

Maar hoe weet nessus wie wat mag zien? Als mijn extranet allemaal pagina's bevat, hoe weet nessus dan dat de informatie die op dat moment getoond wordt wel of niet kritische bedrijfsgegevens zijn die bekeken mogen worden? Dat zijn zeer relevante onderdelen van een Security Check. (kun je bijv. stiekum bij de gegevens van een ander door met url parameters te spelen)

 

Ik wil best geloven dat het nutig is, maar dan als aanvulling, niet als alternatief.

Link naar bericht
Delen op andere sites
  • 0
  • Waardeer dit antwoord

@Michiel,

 

Je kunt Nessus opties mee geven voordat de scan gemaakt wordt.

O.a. kun je Nessus de eigenschappen van bijvoorbeeld klant Jansen geven (login en passwd) waarna Nessus scant wat klant Jansen allemaal op het netwerk kan bekijken en benaderen.

 

Kijk even naar de video, daar leggen ze heel veel van de kunde van Nessus al uit.

Onder anderen jouw vraag komt er aan bod.

 

mvrgr

Liset Karman


Voorzitter van Stichting Witte Mus, een ANBI stichting die zich in zet voor het in Nederland van de rode lijst halen van de huismus. Onder anderen door de biotopen van de Huismus te herstellen, maar ook door adviezen aan LNV en particulieren, en door de eigen kolonie Huismussen in stand te houden.

Link naar bericht
Delen op andere sites
  • 0
  • Waardeer dit antwoord

@Michiel,

 

In de NessusRapportage krijg je te zien op welke server welke gegevens te benaderen zijn geweest, en welk risico dat eventueel mee brengt.

Dat laten ze op de video heel snel ook een aantal keer zien (rechter deel van het scherm).

 

Als je er meer over wilt weten kan ik je wel aan een aantal namen helpen van bedrijven die in Linux-voor-bedrijven gespecialiseerd zijn ?

 

Wat ik weet is uit de tijd dat ik een linuxUserGroep leidde richting LPI examens.

Niet van het zelf beveiligen van bedrijfsInformatie, daar kan ik je niet mee helpen.

 

mvrgr

Liset Karman

 


Voorzitter van Stichting Witte Mus, een ANBI stichting die zich in zet voor het in Nederland van de rode lijst halen van de huismus. Onder anderen door de biotopen van de Huismus te herstellen, maar ook door adviezen aan LNV en particulieren, en door de eigen kolonie Huismussen in stand te houden.

Link naar bericht
Delen op andere sites
  • 0
  • Waardeer dit antwoord

@ TvG; Kewl 8)

 

Afbeelding voor Michiel van de rapportage waar ik op doel (in deze video):

 

mvrgr,

Liset Karman

 

 

edit met betrekking tot deze screenDump:

@Michiel:

Op deze zelfde manier kan Nessus laten zien wat bijvoorbeeld het proces Excel toe staat op machine X in netwerk Y.

Aan wie dat toegestaan wordt kun je zien in de opties die je zelf in gesteld hebt voordat je de scan uit laat voeren.

nessusScreenDump.thumb.jpg.bb89cd03d0b76a23e72e3f9c1e47e291.jpg


Voorzitter van Stichting Witte Mus, een ANBI stichting die zich in zet voor het in Nederland van de rode lijst halen van de huismus. Onder anderen door de biotopen van de Huismus te herstellen, maar ook door adviezen aan LNV en particulieren, en door de eigen kolonie Huismussen in stand te houden.

Link naar bericht
Delen op andere sites
  • 0
  • Waardeer dit antwoord

Nessus kan heel precies laten zien of en hoe dat kan, met behulp van de raportage van de scan die Nessus maakt.

Nessus kan dus heel erg grondig laten zien waar de eventuele lekken in de LinuxServer zitten.

Kijk anders zelf ook maar even naar de video.

 

Verder kan Nessus inderdaad controleren op alle bekende PHP exploids.

 

Nessus is een ontzettend waardevolle tool voor het controleren op bekende software problemen die zich op een server kunnen bevinden, maar helaas is dit ook het enige wat dergelijke programma's kunnen detecteren. Nessus heeft een soort van database met alle bekende problemen verzameld en controleert een server op deze problemen.

 

Helaas is Nessus onbruikbaar bij het controleren van beveiligingsproblemen in maatwerk software, de problemen die in maatwerksoftware kunnen voorkomen kunnen simpelweg niet in de database van Nessus komen. De enige betrouwbare manier om alle problemen in maatwerk software te achterhalen is alle code door een ervaren programmeur te achterhalen op fouten.

 

Verder is Nessus is natuurlijk wel waardevol voor het controleren van een systeem op bekende problemen, maar doordat Nessus alleen controleert aan de buitenkant van het systeem, kan het niet op tegen een handmatige audit die ook problemen op het systeem zelf kan achterhalen. Dergelijke audits zijn echter wel kostbaar, hoe ver je hier mee wilt gaan hangt af van je budget en van het risico wat je server loopt.

 

Link naar bericht
Delen op andere sites
Gast
Dit topic is nu gesloten voor nieuwe reacties.

  • Breng jouw businessplan naar een higher level!

    Op dit forum worden alle onderwerpen m.b.t. ondernemerschap besproken.

    • Stel jouw ondernemersvragen
    • Antwoorden/oplossingen van collega ondernemers
    • > 65.000 geregistreerde leden
    • > 100.000 bezoekers per maand
    • 24/7 bereikbaar / binnen < 6 uur antwoord
    •  Altijd gratis

  • Wie is er online?

    Er zijn 17 leden online en 160 gasten

    Bekijk volledige lijst    
  • Ook interessant:

  • Ondernemersplein



NL

×

Cookies op HigherLevel.nl

Cookies zijn nodig om Higherlevel.nl goed te laten functioneren. Door het gebruik van HigherLevel.nl verklaar je onze voorwaarden te hebben gelezen en te accepteren.

 Meer informatie   Oké