Jump to content
evrancken
Verberg

security audit voor website

vraag

Hallo,

 

Ik ben op zoek naar suggesties / ervaringen op het gebied van website veiligheidsaudits.

 

We willen een in aanbouw zijnd sociaal platform waarin persoonsgegevens worden opgeslagen laten testen op security aspecten alvorens online te gaan. Het platform is gebaseerd op LAMP (Linux/Apache/MySQL/PHP).

 

Ik verneem graag wat we voor welke prijsrange ongeveer kunnen gaan verwachten.

 

Alvast dank voor jullie reacties.

 

Groet,

 

Edmond

Link to post
Share on other sites

21 answers to this question

Recommended Posts

  • 0
  • Rate this answer

Beste Edmond, dat is erg lastig te zeggen en ligt er helemaal aan wat de test precies inhoud, hoe intrusive deze dient te zijn, enz. Je zou eigenlijk eens met bijv FoxIT contact op moeten nemen die kunnen daarin adviseren.


Op zoek naar nieuwe/leuke uitdagingen in de IT of gerelateerd.

Link to post
Share on other sites
  • 0
  • Rate this answer

Dank voor jullie reactie.

 

De site wordt gebouwd door een internetbureau; op maat geprogrammeerd (LAMP).

Ik begrijp dat als we een externe check willen laten doen we de code moeten laten doorkijken, maar ik vraag me juist af op wat voor een manieren dat kan (diepte onderzoek), wat ik budgetmatig mag verwachten per situatie, en welke partijen dit goed kunnen.

 

Groet,

 

Edmond

 

 

Link to post
Share on other sites
  • 0
  • Rate this answer

Ik werk dagelijks met LAMP opstellingen. Het is inderdaad moeilijk security checks te doen zonder te code in te zien. Natuurlijk zou je bruteforce en SQL injecties er op los kunnen laten, maar dat is niet 100% betrouwbaar. Succes.

Link to post
Share on other sites
  • 0
  • Rate this answer

Standaard checks kun je doen met bijv "safehacker" (1200$ per jaar geloof ik) die scannen dagelijks op (bekende) exploits.

Code hoef je niet te geven, die scannen de webserver af.

 

Google heeft een zelfde project opensource lopen, weet de naam even niet.

 

 

 

Een echte audit weet ik niet, ik denk dat de prijs gesteld door iemand in dit topic van 60 tot 100 euro per uur veel te laag is minimaal het dubbele, 120 ~ 200 euro per uur.

 

Maar wat wil je checken? Of waartegen wil je je wapenen? Bijv, (CBP (college bescherming persoonsgegevens), creditcard gegevens opslaan (PCI) , of echt zoals het lijkt code nakijken?) ?

 

 

Link to post
Share on other sites
  • 0
  • Rate this answer

 

Een echte audit weet ik niet, ik denk dat de prijs gesteld door iemand in dit topic van 60 tot 100 euro per uur veel te laag is minimaal het dubbele, 120 ~ 200 euro per uur.

 

Maar wat wil je checken? Of waartegen wil je je wapenen? Bijv, (CBP (college bescherming persoonsgegevens), creditcard gegevens opslaan (PCI) , of echt zoals het lijkt code nakijken?) ?

 

 

 

Bedankt rk voor deze input. Korte termijn prioriteit 1) is de beveiliging van alle persoonsgegevens (CBP) en afhankelijk van het budget 2) een code check.

Als we voor nu de focus leggen op de beveiliging van de persoonsgegevens, heb je dan nog suggesties?

 

Groet, Edmond

Link to post
Share on other sites
  • 0
  • Rate this answer

Wil je daadwerkelijk een bevestiging, onder voorwaarden, dat het safe is of is het een best effort wat je wilt? Dus een programmeur die de fouten die hij kan vinden opzoekt en aanwijst?


Bezoekhetziekenhuis.nl: Eenvoudig bezoeken plannen aan de patiënt en communiceren met patiënt, familie en vrienden. ! Maak een account aan als een familielid in het ziekenhuis ligt en je kunt gezamenlijk de bezoektijden inplannen.

Link to post
Share on other sites
  • 0
  • Rate this answer

Wil je daadwerkelijk een bevestiging, onder voorwaarden, dat het safe is of is het een best effort wat je wilt? Dus een programmeur die de fouten die hij kan vinden opzoekt en aanwijst?

 

Een en ander zou afhangen van het prijskaartje en het verschil in prijs tussen de 2 opties die je hier voorstelt.

Link to post
Share on other sites
  • 0
  • Rate this answer

 

Ik denk dat het eraan ligt WAT en onder welke voorwaarden je opslaat.

 

Advies:

 

google Arnound Engelfriet, = jurist, kan je helpen met dit soort vraagstukken (CBP wat moet, wat niet) = ~250 euro (advies voorwaarden die je op site kunt gebruiken/opstellen voorwaarden + welke verplichtingen voor CBP)

 

evt safehacker = ~1000 euro (scant op bekende exploits, dagelijks dit is meest gebruikte hackers tactiek) voor je gebruikers "gevoel" (ligt denk ik ook aan het type site, een Hyves II hoeft geen safehacker, een secondlove II misschien wel om de gebruikers een veiliger gevoel te geven.

 

Een echte security audit is denk ik waardeloos, zeker een eenmalige. Beveiliging hangt met tig factoren samen, en op sites meestal toch echt aan de gebruikers kant..

 

 

 

 

 

Link to post
Share on other sites
  • 0
  • Rate this answer

Bij het googlen net naar safehacker was dit product lastig te vinden. Als 2e hit kreeg ik een McAfee oplossing (McAfee Secure for Websites). Bedoel je die?

 

Ik zie je punt dat een 1-malige check misschien weinig zint heeft. Ook is het een trade-off tussen de kosten van de (continuous) checks en de aard van de persoonsgegevens die er geplaatst worden. Ik zal dat ook juridisch een gaan checken.

 

Nogmaals dank voor je suggesties.

 

Groet, Edmond

Link to post
Share on other sites
  • 0
  • Rate this answer
Een echte security audit is denk ik waardeloos, zeker een eenmalige. Beveiliging hangt met tig factoren samen, en op sites meestal toch echt aan de gebruikers kant..

 

Waar baseer je dit op? Uiteraard hangt veiligheid van het totaal plaatje af. Maar om nou te zeggen dat een white box audit (code bekijken) of black box audit (systeem van buiten testen) waardeloos is omdat je niet het hele plaatje test? Een éénmalige audit geeft op z'n minst aan wat de kwaliteit van de code is. Misschien komt er wel uit dat de programmeurs de meest basic beveiligingen niet geimplementeerd hebben. Of dat door het iets anders inrichten van de server het risico van toegang tot data beperkt kan worden tot nihil.

 

Testen op bekende bugs in bekende pakketten lijkt me trouwens ook weinig zinvol. Tenzij noodzakelijk hoor je toegang tot eventuele pakketten (mysql, mysqladmin etc) al af te schermen voor het grote publiek. Daarnaast hebben de meeste pakketten een aparte mailinglijst voor beveiligingsproblemen. Zo weet je net zo snel dat je server een probleem heeft en bespaar je die $1000. Sowieso testen dit soort systemen geen maatwerk, geen zwakke wachtwoorden, geen gebruik van onversleutelde wachtwoorden en zo verder. Schijnveiligheid dus.

 

@rk je doelt waarschijnlijk op skipfish of ratproxy.

Link to post
Share on other sites
  • 0
  • Rate this answer

Waar baseer je dit op? Uiteraard hangt veiligheid van het totaal plaatje af. Maar om nou te zeggen dat een white box audit (code bekijken) of black box audit (systeem van buiten testen) waardeloos is omdat je niet het hele plaatje test? Een éénmalige audit geeft op z'n minst aan wat de kwaliteit van de code is. Misschien komt er wel uit dat de programmeurs de meest basic beveiligingen niet geimplementeerd hebben. Of dat door het iets anders inrichten van de server het risico van toegang tot data beperkt kan worden tot nihil.

 

Testen op bekende bugs in bekende pakketten lijkt me trouwens ook weinig zinvol. Tenzij noodzakelijk hoor je toegang tot eventuele pakketten (mysql, mysqladmin etc) al af te schermen voor het grote publiek. Daarnaast hebben de meeste pakketten een aparte mailinglijst voor beveiligingsproblemen. Zo weet je net zo snel dat je server een probleem heeft en bespaar je die $1000. Sowieso testen dit soort systemen geen maatwerk, geen zwakke wachtwoorden, geen gebruik van onversleutelde wachtwoorden en zo verder. Schijnveiligheid dus.

 

@rk je doelt waarschijnlijk op skipfish of ratproxy.

 

Ik zeg (ook over safehacker) dat je eerst moet vaststellen waartegen je wilt beveiligen.

-wil je je gebruikers een veilig gevoel geven? (safehacker)

-wil je je veilig voelen tegen CBP (vraag een jurist, wellicht kan dit in voorwaarden worden gedaan!)

 

Persoonlijk zie een audit niet echt zitten nee (een echte audit, niet een zzp-er die de code 2de keer naloopt) Het probleem in massa sites is vaak de kant van de gebruikers. Cryptografen waren recent verbaasd over de "hack" op gwaker media (gizmodo). Nog NOOIT is zo'n groot bestand met username /passwoord openbaar geworden. De resultaten waren schokkend

 

meest gebruikte passwoorden:

 

123456

password

1234567

lifehack

qwerty

abc123

111111

monkey

consumer

 

Mijn conclusie van de gawker hack is dat gebruikers, de sites die ze bezoeken ook niet vertrouwen. En daar draait het bij veiligheid om, vertrouwen! Ook denk ik dat consumenten GEK worden van alle pincodes, usernames en passwords.

 

Met de gawker database, zijn vervolgens combinaties gemaakt op andere sites zoals twitter, daar zit de volgende zwakheid, gebruikers gebruiken zo veel mogelelijk dezelfde username/passwoord combinaties op sites die ze niet vertrouwen.

 

 

Met een audit was password SQL misschien ge-hashed geweest, levert iets meer werk op voor een hacker. Ik ben op dit moment wat SHA1 hashes aan het reversen op een computer met 2 ATI hd 5970 grafische kaarten, dat gaat met een snelheid van ~2000 miljoen hashes per seconde, (pc kost ~1500 euro, dit soort hardware word betaalbaar) met dit soort zwakke passwoorden ben je daar zo door heen!!

Link to post
Share on other sites
  • 0
  • Rate this answer

Ik moet je ook eerlijk bekennen dat ik ook 123456 gebruik behalve op paypal, ebay en mijn bank.

 

Voor de scriptkiddies, ik heb het op higherlevel net aangepast naar een fatsoendelijk password

 

En de reden, is echt omdat ik "niemand" vertrouw met mijn echte passwords :)

Link to post
Share on other sites
  • 0
  • Rate this answer

Ik werk dagelijks met LAMP opstellingen. Het is inderdaad moeilijk security checks te doen zonder te code in te zien. Natuurlijk zou je bruteforce en SQL injecties er op los kunnen laten, maar dat is niet 100% betrouwbaar. Succes.

 

Klok, klepel enzo. Het gaat juist niet om de code maar om de public facing. Alles wat je van buiten af kunt raken is een potentiële ingang en dient onderzocht te worden. Hoe het in de code vorm heeft gekregen heeft alles te maken met interne code kwaliteit (opschaling, uitbreiding, stabiliteit) maar weinig met security aspecten. Alles wat van binnen niet deugt, maar niet geraakt kan worden van buitenaf is zinloos om te auditen

Link to post
Share on other sites
  • 0
  • Rate this answer

Een echte security audit is denk ik waardeloos, zeker een eenmalige. Beveiliging hangt met tig factoren samen, en op sites meestal toch echt aan de gebruikers kant..

 

Een eenmalige audit is een prima investering. Het kan een hoop blootleggen. Met een eenmalige audit zet je twee zaken in gang:

1. Accute problemen worden gesignaleerd

2. Je genereert bewustwording bij het ontwikkelteam.

Vooral nr 2 is van groot belang. Als je na een jaar weer deze check doet weet je meteen of het uitbestede werk in goed handen is.

Link to post
Share on other sites
  • 0
  • Rate this answer

Ben het eens met Koos Pol en denk er daarbij aan dat "een keten nooit sterker is dan de zwakste schakel".

 

Je moet van voor- naar achterkant de security aspecten (laten) bekijken en vervolgens bepalen wat het je waard is om een bepaald geïdentificeerd risico en de mogelijke impact verder te beperken. Risico loop je altijd, maar wat is acceptabel m.b.t. betreffende systeem en wat mag het kosten.

 

Een eerste audit kan helpen in het verkrijgen van inzicht in de keten. Vervolgens kun je bewust keuzes maken ten aanzien van onderdelen die verbeterd moeten worden. Dit voorkomt dat je veel tijd steekt in een bepaald specifiek aspect en dat er ergens anders een "gat" zit die je niet inzichtelijk had.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Bring your business plan to a higher level!

    All topics related to entrepreneurship are discussed on this forum.

    • Ask your entrepreneur questions
    • Answers / solutions from fellow entrepreneurs
    • > 65,000 registered members
    • > 100,000 visitors per month
    •  Available 24/7 / within <6 hours of response
    •  Always free

  • Who's Online

    Er zijn 14 leden online en 205 gasten

    (See full list)    
  • Also interesting:

  • Ondernemersplein



EN

×

Cookies on HigherLevel.nl

Cookies are necessary for Higherlevel.nl to function properly. By using HigherLevel.nl you declare to have read and accepted our terms and conditions.

 More information   I accept