我不确定这对于SO来说是否是一个合适的问题,但我会继续前进,因为我不确定。
我一直在为我当前的项目寻找笔测试工具,并且已经找到了其中的一些,但最终还是没有从认真对待这一点并期待专业组织或专门从事此类工作的个人
寻找工具的原因只是让我能够在开始完整的笔测试周期之前摘掉低悬的水果。这也应该有希望使这个过程更便宜,因为我希望能解决所有明显的漏洞。
工具&资源
组织&个体
我想知道是否有任何资源可以评估并审核执行这些任务的组织?是否有任何组织可以推荐您之前使用过的结果很好?
答案 0 :(得分:2)
@Jammer,我不确定是否存在您正在寻找的评级。我的个人观点是,研究您的要求 - 无论您是在寻找认证还是合规,还是只是想提高安全性。根据这些标准,您可以查看测试组织并自行评估。这个链接可能有帮助,
http://www.ivizsecurity.com/blog/penetration-testing/how-to-choose-penetration-testing-companies/
无论如何,在选择第三方供应商或拥有自己的安全团队之间总是存在权衡。您可以参加第三方咨询,然后拥有自己的内部安全教育QA团队。
希望这有帮助。
答案 1 :(得分:1)
我担心你列出的一些工具是可比较的。
Burp是一种代理扫描工具。您可以使用burp拦截流量并在发送到服务器之前操纵请求。 Pro版本具有扫描仪,用于发送扫描仪的特定请求
Nikto和Appscan是自动扫描仪。最后,您需要消除误报,也可能有误报结果。
nmap是一款功能强大的工具,可以通过脚本引擎进行端口扫描,ftp,snmp等相关搜索。
此外,使用自动化工具不会降低您的渗透测试成本。因为在任何情况下,您都应该在公开您的应用之前采用渗透测试服务。
降低安全成本并不是一个好主意,而是更好地聘请开发人员拥有安全的编码背景或将安全的开发生命周期应用于您的开发环境。
如果您有任何其他问题请拍摄。