几个月以来,在为客户build立网站时,我遇到几万亿个“网站安全扫描器”,据称这些网站安全扫描器被各种共享networking主机认可/批准,这些主机声称运行XSS,SQL注入,垃圾邮件措施和其他检查如果您希望每年进行一次以上扫描的计划,则大约需要300美元左右。
我不是在谈论像Comodo,McAfee,赛门铁克等公司提供的PCI合规性扫描,通常每年花费数千美元,而是这些厂商似乎正在通过提供经济实惠的替代品到PCI的fims。
尽pipe我可以提到一些公司,但是我知道列举太多,所以我的主要问题是:如果你没有做电子商务,这些“经济实惠”的扫描是不是一个PCI扫描仪的好select。 那么如果你在一个共享/pipe理计划 – 不应该由主人处理这个呢?
至于拥有电子商务的网站,由于一些商家处理器要求自己的PCI供应商,甚至支付PCI扫描的费用,是否有必要进行额外的扫描?
多年来,我一直在想,非常感谢大家的任何见解。
鲟鱼的信息技术(“90%的一切都是蛇蝎”)适用于这一点,就像它对IT的任何其他方面一样。 我们都知道,PCI只不过是你需要跳过信用卡(一种“做生意的成本”,比如偿还你当地邻居stream氓的“保护”)的燃烧的箍/袋狗屎,不是实际的安全审计; 这些自动扫描就像走在街上的随机人员,并提供100美元,不烧你的商店。
我唯一可以考虑的地方之一就是作为一个对付真正无能的开发者(我没有能力摆脱)的保险政策。 把它作为验收testing的一个必要的部分,如果他们的代码没有通过这些扫描,他们将得不到任何报酬(最好用棍子打他们,并着火)。 我无法想象任何一种自动化扫描能够在2011年find一个有能力的网站开发人员的代码 – 这不是说任何问题都不为人所知,聘请有能力的人才是运行最重要的方面任何业务。
这就是说,赚钱的最好方法是find吸盘,我敢打赌,这些公司正在赚大钱。 只要确保你不是吸盘之一。 要真正衡量这些公司的有效性,只要问他们对他们的产品有什么样的保证 – 如果他们不愿意提供某种书面保证,他们已经发现了所有的安全问题(如果将来遭到黑客攻击,他们愿意承担责任),那么他们不仅卖蛇油,他们也知道卖蛇油。
我们已经使用了netsol(我认为是看门狗扫描器)和Qualys,他们没关系; Qualys比Netsol好得多。 没有什么特别的nessus扫描不给你。 我们需要外部扫描的唯一原因是一些需要它的客户,否则我会坚持与nessus。