Show Sidebar
  • 0

security audit voor website

Gevraagd door evrancken,,

 Delen
Start een nieuw topic
evrancken Junior

evrancken

Geplaatst:

evrancken

Hallo,

 

Ik ben op zoek naar suggesties / ervaringen op het gebied van website veiligheidsaudits.

 

We willen een in aanbouw zijnd sociaal platform waarin persoonsgegevens worden opgeslagen laten testen op security aspecten alvorens online te gaan. Het platform is gebaseerd op LAMP (Linux/Apache/MySQL/PHP).

 

Ik verneem graag wat we voor welke prijsrange ongeveer kunnen gaan verwachten.

 

Alvast dank voor jullie reacties.

 

Groet,

 

Edmond

Link naar reactie
https://www.higherlevel.nl/forums/topic/30154-security-audit-voor-website/
Delen op andere sites

Aanbevolen berichten

21 antwoorden op deze vraag

  • 0
melchior Senior

melchior

Geplaatst:

melchior

Beste Edmond, dat is erg lastig te zeggen en ligt er helemaal aan wat de test precies inhoud, hoe intrusive deze dient te zijn, enz. Je zou eigenlijk eens met bijv FoxIT contact op moeten nemen die kunnen daarin adviseren.

Op zoek naar nieuwe/leuke uitdagingen in de IT of gerelateerd.

  • 0
evrancken Junior

evrancken

Geplaatst:
  • Auteur

evrancken

Dank voor jullie reactie.

 

De site wordt gebouwd door een internetbureau; op maat geprogrammeerd (LAMP).

Ik begrijp dat als we een externe check willen laten doen we de code moeten laten doorkijken, maar ik vraag me juist af op wat voor een manieren dat kan (diepte onderzoek), wat ik budgetmatig mag verwachten per situatie, en welke partijen dit goed kunnen.

 

Groet,

 

Edmond

 

 

  • 0
ikkrijg Senior

ikkrijg

Geplaatst:

ikkrijg

Het is afhankelijk van de omvang van het systeem en hoe goed dit in elkaar zit.

 

Is het helemaal OOP, wordt er gebruik gemaakt van een framework, etc?

 

Reken in ieder geval op een paar dagen werk. (tarief zal tussen de 60 a 100 zitten bij de meeste bedrijven)

 

 

www.freelancekalender.nl
  • 0
Raoul K Senior

Raoul K

Geplaatst:

Raoul K

Standaard checks kun je doen met bijv "safehacker" (1200$ per jaar geloof ik) die scannen dagelijks op (bekende) exploits.

Code hoef je niet te geven, die scannen de webserver af.

 

Google heeft een zelfde project opensource lopen, weet de naam even niet.

 

 

 

Een echte audit weet ik niet, ik denk dat de prijs gesteld door iemand in dit topic van 60 tot 100 euro per uur veel te laag is minimaal het dubbele, 120 ~ 200 euro per uur.

 

Maar wat wil je checken? Of waartegen wil je je wapenen? Bijv, (CBP (college bescherming persoonsgegevens), creditcard gegevens opslaan (PCI) , of echt zoals het lijkt code nakijken?) ?

 

 

  • 0
evrancken Junior

evrancken

Geplaatst:
  • Auteur

evrancken

 

Een echte audit weet ik niet, ik denk dat de prijs gesteld door iemand in dit topic van 60 tot 100 euro per uur veel te laag is minimaal het dubbele, 120 ~ 200 euro per uur.

 

Maar wat wil je checken? Of waartegen wil je je wapenen? Bijv, (CBP (college bescherming persoonsgegevens), creditcard gegevens opslaan (PCI) , of echt zoals het lijkt code nakijken?) ?

 

 

 

Bedankt rk voor deze input. Korte termijn prioriteit 1) is de beveiliging van alle persoonsgegevens (CBP) en afhankelijk van het budget 2) een code check.

Als we voor nu de focus leggen op de beveiliging van de persoonsgegevens, heb je dan nog suggesties?

 

Groet, Edmond

  • 0
djluc Legende

djluc

Geplaatst:

djluc

Wil je daadwerkelijk een bevestiging, onder voorwaarden, dat het safe is of is het een best effort wat je wilt? Dus een programmeur die de fouten die hij kan vinden opzoekt en aanwijst?

Bezoekhetziekenhuis.nl: Eenvoudig bezoeken plannen aan de patiënt en communiceren met patiënt, familie en vrienden. ! Maak een account aan als een familielid in het ziekenhuis ligt en je kunt gezamenlijk de bezoektijden inplannen.

  • 0
evrancken Junior

evrancken

Geplaatst:
  • Auteur

evrancken

Wil je daadwerkelijk een bevestiging, onder voorwaarden, dat het safe is of is het een best effort wat je wilt? Dus een programmeur die de fouten die hij kan vinden opzoekt en aanwijst?

 

Een en ander zou afhangen van het prijskaartje en het verschil in prijs tussen de 2 opties die je hier voorstelt.

  • 0
Raoul K Senior

Raoul K

Geplaatst:

Raoul K

 

Ik denk dat het eraan ligt WAT en onder welke voorwaarden je opslaat.

 

Advies:

 

google Arnound Engelfriet, = jurist, kan je helpen met dit soort vraagstukken (CBP wat moet, wat niet) = ~250 euro (advies voorwaarden die je op site kunt gebruiken/opstellen voorwaarden + welke verplichtingen voor CBP)

 

evt safehacker = ~1000 euro (scant op bekende exploits, dagelijks dit is meest gebruikte hackers tactiek) voor je gebruikers "gevoel" (ligt denk ik ook aan het type site, een Hyves II hoeft geen safehacker, een secondlove II misschien wel om de gebruikers een veiliger gevoel te geven.

 

Een echte security audit is denk ik waardeloos, zeker een eenmalige. Beveiliging hangt met tig factoren samen, en op sites meestal toch echt aan de gebruikers kant..

 

 

 

 

 

  • 0
evrancken Junior

evrancken

Geplaatst:
  • Auteur

evrancken

Bij het googlen net naar safehacker was dit product lastig te vinden. Als 2e hit kreeg ik een McAfee oplossing (McAfee Secure for Websites). Bedoel je die?

 

Ik zie je punt dat een 1-malige check misschien weinig zint heeft. Ook is het een trade-off tussen de kosten van de (continuous) checks en de aard van de persoonsgegevens die er geplaatst worden. Ik zal dat ook juridisch een gaan checken.

 

Nogmaals dank voor je suggesties.

 

Groet, Edmond

  • 0
willemj Legende

willemj

Geplaatst:

willemj

Een echte security audit is denk ik waardeloos, zeker een eenmalige. Beveiliging hangt met tig factoren samen, en op sites meestal toch echt aan de gebruikers kant..

 

Waar baseer je dit op? Uiteraard hangt veiligheid van het totaal plaatje af. Maar om nou te zeggen dat een white box audit (code bekijken) of black box audit (systeem van buiten testen) waardeloos is omdat je niet het hele plaatje test? Een éénmalige audit geeft op z'n minst aan wat de kwaliteit van de code is. Misschien komt er wel uit dat de programmeurs de meest basic beveiligingen niet geimplementeerd hebben. Of dat door het iets anders inrichten van de server het risico van toegang tot data beperkt kan worden tot nihil.

 

Testen op bekende bugs in bekende pakketten lijkt me trouwens ook weinig zinvol. Tenzij noodzakelijk hoor je toegang tot eventuele pakketten (mysql, mysqladmin etc) al af te schermen voor het grote publiek. Daarnaast hebben de meeste pakketten een aparte mailinglijst voor beveiligingsproblemen. Zo weet je net zo snel dat je server een probleem heeft en bespaar je die $1000. Sowieso testen dit soort systemen geen maatwerk, geen zwakke wachtwoorden, geen gebruik van onversleutelde wachtwoorden en zo verder. Schijnveiligheid dus.

 

@rk je doelt waarschijnlijk op skipfish of ratproxy.

  • 0
Raoul K Senior

Raoul K

Geplaatst:

Raoul K

Waar baseer je dit op? Uiteraard hangt veiligheid van het totaal plaatje af. Maar om nou te zeggen dat een white box audit (code bekijken) of black box audit (systeem van buiten testen) waardeloos is omdat je niet het hele plaatje test? Een éénmalige audit geeft op z'n minst aan wat de kwaliteit van de code is. Misschien komt er wel uit dat de programmeurs de meest basic beveiligingen niet geimplementeerd hebben. Of dat door het iets anders inrichten van de server het risico van toegang tot data beperkt kan worden tot nihil.

 

Testen op bekende bugs in bekende pakketten lijkt me trouwens ook weinig zinvol. Tenzij noodzakelijk hoor je toegang tot eventuele pakketten (mysql, mysqladmin etc) al af te schermen voor het grote publiek. Daarnaast hebben de meeste pakketten een aparte mailinglijst voor beveiligingsproblemen. Zo weet je net zo snel dat je server een probleem heeft en bespaar je die $1000. Sowieso testen dit soort systemen geen maatwerk, geen zwakke wachtwoorden, geen gebruik van onversleutelde wachtwoorden en zo verder. Schijnveiligheid dus.

 

@rk je doelt waarschijnlijk op skipfish of ratproxy.

 

Ik zeg (ook over safehacker) dat je eerst moet vaststellen waartegen je wilt beveiligen.

-wil je je gebruikers een veilig gevoel geven? (safehacker)

-wil je je veilig voelen tegen CBP (vraag een jurist, wellicht kan dit in voorwaarden worden gedaan!)

 

Persoonlijk zie een audit niet echt zitten nee (een echte audit, niet een zzp-er die de code 2de keer naloopt) Het probleem in massa sites is vaak de kant van de gebruikers. Cryptografen waren recent verbaasd over de "hack" op gwaker media (gizmodo). Nog NOOIT is zo'n groot bestand met username /passwoord openbaar geworden. De resultaten waren schokkend

 

meest gebruikte passwoorden:

 

123456

password

1234567

lifehack

qwerty

abc123

111111

monkey

consumer

 

Mijn conclusie van de gawker hack is dat gebruikers, de sites die ze bezoeken ook niet vertrouwen. En daar draait het bij veiligheid om, vertrouwen! Ook denk ik dat consumenten GEK worden van alle pincodes, usernames en passwords.

 

Met de gawker database, zijn vervolgens combinaties gemaakt op andere sites zoals twitter, daar zit de volgende zwakheid, gebruikers gebruiken zo veel mogelelijk dezelfde username/passwoord combinaties op sites die ze niet vertrouwen.

 

 

Met een audit was password SQL misschien ge-hashed geweest, levert iets meer werk op voor een hacker. Ik ben op dit moment wat SHA1 hashes aan het reversen op een computer met 2 ATI hd 5970 grafische kaarten, dat gaat met een snelheid van ~2000 miljoen hashes per seconde, (pc kost ~1500 euro, dit soort hardware word betaalbaar) met dit soort zwakke passwoorden ben je daar zo door heen!!

  • 0
Raoul K Senior

Raoul K

Geplaatst:

Raoul K

Ik moet je ook eerlijk bekennen dat ik ook 123456 gebruik behalve op paypal, ebay en mijn bank.

 

Voor de scriptkiddies, ik heb het op higherlevel net aangepast naar een fatsoendelijk password

 

En de reden, is echt omdat ik "niemand" vertrouw met mijn echte passwords :)

  • 0
Koos Pol Junior

Koos Pol

Geplaatst:

Koos Pol

Ik werk dagelijks met LAMP opstellingen. Het is inderdaad moeilijk security checks te doen zonder te code in te zien. Natuurlijk zou je bruteforce en SQL injecties er op los kunnen laten, maar dat is niet 100% betrouwbaar. Succes.

 

Klok, klepel enzo. Het gaat juist niet om de code maar om de public facing. Alles wat je van buiten af kunt raken is een potentiële ingang en dient onderzocht te worden. Hoe het in de code vorm heeft gekregen heeft alles te maken met interne code kwaliteit (opschaling, uitbreiding, stabiliteit) maar weinig met security aspecten. Alles wat van binnen niet deugt, maar niet geraakt kan worden van buitenaf is zinloos om te auditen

Hosting Consult - Onafhankelijk internet hosting adviesbureau.
  • 0
Koos Pol Junior

Koos Pol

Geplaatst:

Koos Pol

Een echte security audit is denk ik waardeloos, zeker een eenmalige. Beveiliging hangt met tig factoren samen, en op sites meestal toch echt aan de gebruikers kant..

 

Een eenmalige audit is een prima investering. Het kan een hoop blootleggen. Met een eenmalige audit zet je twee zaken in gang:

1. Accute problemen worden gesignaleerd

2. Je genereert bewustwording bij het ontwikkelteam.

Vooral nr 2 is van groot belang. Als je na een jaar weer deze check doet weet je meteen of het uitbestede werk in goed handen is.

Hosting Consult - Onafhankelijk internet hosting adviesbureau.
  • 0
kabo Junior

kabo

Geplaatst:

kabo

Ik ben nu met acunetix aan het testen. Je kunt hier een demo van downloaden.

 

http://www.acunetix.com/

 

Hier heb je wellicht ook wat aan: http://www.acunetix.com/blog/docs/how-to-choose-web-vulnerability-scanner/

 

Aangezien ik pas net aan het testen ben heb ik nog geen ervarings gegevens.

  • 0
Harry2011 Junior

Harry2011

Geplaatst:

Harry2011

Ben het eens met Koos Pol en denk er daarbij aan dat "een keten nooit sterker is dan de zwakste schakel".

 

Je moet van voor- naar achterkant de security aspecten (laten) bekijken en vervolgens bepalen wat het je waard is om een bepaald geïdentificeerd risico en de mogelijke impact verder te beperken. Risico loop je altijd, maar wat is acceptabel m.b.t. betreffende systeem en wat mag het kosten.

 

Een eerste audit kan helpen in het verkrijgen van inzicht in de keten. Vervolgens kun je bewust keuzes maken ten aanzien van onderdelen die verbeterd moeten worden. Dit voorkomt dat je veel tijd steekt in een bepaald specifiek aspect en dat er ergens anders een "gat" zit die je niet inzichtelijk had.

  • -1
monitoronly Junior

monitoronly

Geplaatst:

monitoronly

Ik heb een gratis dient om te bewaken of je website online is.

Zodra de site offline of traag is krijg je een melding via email.

Met de iPhone app krijg je ook nog eens een push notificatie.

 

Misschien bruikbaar om je eigen site te monitoren?

Zie http://www.monitoronly.com

 

 

Gratis website monitoring met alerts via email en iPhone

Gast
Dit topic is nu gesloten voor nieuwe reacties.
 Delen
Ga naar vragenoverzicht
Hide Sidebar
  • higherlevel video

  • Wie is er online?
    0 leden, 20 Gasten

    Bekijk volledige lijst

  • Breng jouw businessplan naar een higher level!

    Op dit forum worden alle onderwerpen m.b.t. ondernemerschap besproken.

    • Stel jouw ondernemersvragen
    • Antwoorden/oplossingen van collega ondernemers
    • > 80.000 geregistreerde leden
    • > 100.000 bezoekers per maand
    • 24/7 bereikbaar / binnen < 6 uur antwoord
    •  Altijd gratis

  • Ook interessant:

    Ondernemersplein

    Ook interessant:

×
×
  • Nieuwe aanmaken...

Cookies op HigherLevel.nl

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.