Esa es una especie de pregunta de dos partes. Si está preguntando sobre formas de revisar una aplicación web en busca de vulnerabilidades, hay dos enfoques para eso:
1. Pruebe una aplicación web para detectar vulnerabilidades. Esto implica escanear una aplicación web en busca de fallas de inyección, problemas de configuración, etc. desde la perspectiva de fuera de la aplicación web. Hay diferentes productos que hacen esto (WebInspect es uno como ejemplo). Este suele ser el primer paso correcto para las empresas que buscan obtener una lectura de las vulnerabilidades en una aplicación web crítica para el negocio.
2. Escanee el código mismo para detectar posibles vulnerabilidades. Esto significa un análisis estático o dinámico de funciones vulnerables conocidas o métodos de programación dentro de una base de código. Los productos en esta área incluyen herramientas como Fortify como ejemplo, dependiendo del lenguaje utilizado hay otros (Flawfinder es una herramienta gratuita para C como ejemplo).
- ¿Cómo funciona Google Botguard?
- ¿Cómo se puede estar seguro de que el software antivirus de las principales empresas con sede en Rusia y Europa del Este es seguro?
- ¿Bootcamp le pide su contraseña de firmware?
- ¿Está bien confiar en Windows Defender o es necesario instalar otro antivirus?
- ¿La autenticación solo con contraseña es suficiente para asegurar las cuentas en línea?
Si está preguntando si ha sido violado, entonces lo que está buscando es una buena empresa de informática forense para entrar y buscar evidencia de una intrusión o extrusión de datos.
Finalmente, el mejor enfoque para empresas como Gawker como ejemplo, que han tenido problemas a cierta escala, es ver la seguridad de la información como un programa holístico y buscar formas de aumentar su postura de seguridad en general como empresa (aplicaciones, personas, infraestructura). Eso generalmente involucra algún tipo de producto de certificación de seguridad general (piense en Verizon CyberTrust, Praetorian, etc.).
Creo que Praetorian Security Group, LLC es una buena empresa para cualquiera de estos enfoques, pero tengo un sesgo, ya que esa es mi empresa;). Eche un vistazo a algunas empresas a través de la búsqueda (‘seguridad de aplicaciones web’, ‘análisis forense informático’, ‘escaneo de códigos de seguridad’), luego verifique que saben de lo que están hablando mirando entradas de blog, referencias de revistas, charlas de conferencias, etc. adelante. Asegúrese de que sean entidades conocidas antes de contratarlos.