Max wrote:
>>- Er der nogle specielle ting i .NET, man skal være opmærksom på? - Er
>>der nogle, der har god erfaring med en virksomhed i forbindelse med et
>>sådant tjek?
Få lavet en manuel gennemgang af din sikkerhed, evt. hvor din kode
bliver læst igennem. Brug et firma der ved noget om .NET
Automatiske netværksscanninger er spild af penge og tid. Hvis de endelig
finder huller, har du et andet problem, nemlig at dem der har sat
sikkerheden op, ikke har styr på hvad de fortager sig.
Den seneste automatisk sårbarhedsscanner jeg har testet, påstod at et
med 0 huller, havde 7 kritiske huller og derfor havde lav sikkerhed
(hvor der var følgende katagorier, høj, mellem, lav).
>>(Jeg har fået anbefalet bla. Vigilante, men de er gået konkurs)
Er de ikke startet for sig selv i danmark?
> Vi prøvede Vigilante for 3-4 år tilbage og det var fint nok. Så
> begyndte jeg at bruge nessus(
http://nessus.org), og sidst vi havde vigilante på besøg (1 år
> siden) der fandt de kun false positives via nessus. ingen af deres egne
> programmer kunne finde noget, De var døde inden de døde.
Mange af de falske positiver jeg ser på vores installeret, påstår bla
der er installeret quarke server på Raptor firewalls og Cisco routerer.
Hvordan kan man få sig selv til at skrive den slagt, gentagende gange på
de samme kunder?
> Det firma som jeg har været på kursus hos (i hacking) hedder DefCom, og
> de er meget kompetente og har flere kendte hackere ansat. De underviser
> både i Danmark, Norge, Sverige, England, m.v.
Jeg har aldrig set deres rapporter, blot deres angreb på systemer jeg
har sat op, det lignede spild af tid, for de kendte huller blev ikke
fundet, bla. simpelt sql-injection. Dette var for 2 år siden, det kan
godt være de har forbedret sig, eller de havde en dårlig dag.