Security 是否有良好的服务来检查网站/服务器漏洞

我被要求提供有关评估我们当前和未来网站安全问题的可用技术的信息。请求的形式为

你知道有什么好的免费的可以检查安全漏洞的吗

我认为我们的数据安全可能值得一小笔前期支出，因此任何非免费方法都会受到赞赏

我们的系统是mySQL、Oracle、SQLServer、PHP、ASP.NET等系统的混合体，尽管我想这并不重要。所有的系统都是安全的，因为它们都经过了修补，防火墙的设置是合理的，这样外界的人就不能直接进入数据库框等

我们希望防止的是XSS和类似的攻击

---

你用什么让你对自己的系统充满信心？）；下拉表回答

将是一个很好的开始。这里包含的内容太多了。

如果你的网站的安全性对你的公司来说一文不值，那么这就是你应该支付的费用。对于我的公司来说，我们的数据和品牌形象的安全性具有相当高的价值

我们为定期扫描支付了一大笔钱，我们对开发人员进行了应用程序基本黑客/安全方面的培训，我们的代码审查包括安全审查，现在我们正在考虑IBM的AppScan（这很昂贵，但从长远来看，可能比我们支付的所有笔测试都便宜）

---

你付出什么就得到什么。确保您了解owasp问题将是一个良好的开端。

就我个人而言，我选择对我们系统的安全性没有信心。我确信总有一些东西我错过了，因此我一直在寻找它

你似乎在寻找能让别人感到自信的东西（即使这种自信只是一种幻觉）。渗透测试可能是正确的选择。根据工具的不同，它会在一份漂亮的报告中显示潜在的漏洞，然后您可以报告如何缓解这些漏洞

我们使用IBMAppScan，这是一个很好的工具。与任何这种类型的测试人员一样，您会发现自己跟踪了很多不好的线索。他们中的大多数本身并不是虚假的帖子，更多的只是一些可能是问题或看起来是问题的东西，你必须调查并确定他们是否真的是

我不太相信这种测试。如果你的应用程序扫描干净，这并不意味着你的应用程序是干净的。这并不意味着它一文不值，但不要让它变得比它本身更值钱

接下来我将研究各种语言中的静态分析工具。很多都是免费的。与此同时进行的是开发者教育。这通常是一个相当廉价的解决方案，只是确保他们了解风险是什么

---

没有灵丹妙药，也没有简单的答案，你需要将安全性定义为每个人的问题，并确保它被赋予优先权和承诺。

查看dotDefender-他们有IIS/Apache/ISA的版本。我使用此应用程序来抵御SQL注入/XSS/DDOS/探测/编码攻击。没有一款软件是完美的，但在我的例子中，我运行的系统中的站点是用.NET、PHP和经典ASP开发的，我们的一些站点是新的，其他的是5年以上的

我也有一家公司每年左右进行渗透测试/社会工程，但有了dotDefender，我至少很高兴我有了一个基线安全毯来保护我的网站

---

我特别感兴趣的是，他们的应用程序完全兼容x64，这是必要的，因为我使用的是x64 web服务器。

我的说法可能有点太过保守了：D我当然同意你的看法，但我不允许在任何地方靠近钱包。