最好的安全/漏洞测试公司？

Question

我负责一个必须非常安全的web应用程序。用户将使用该网站相互提交高度敏感的信息。安全性必须是世界级的。

我们相信，我们已经以这种方式建立了网站，将安全风险降至最低，并在整个公司范围内实施了许多政策和程序来提高安全性。

我们希望第三方执行详尽且持续的安全测试:自动化测试、应用程序测试，以及更多，以检查跨站点脚本问题、服务器错误配置、表单/隐藏字段操作、命令注入、Cookie中毒、已知平台漏洞等。

对于这些类型的服务，哪些公司是最好的？

Answer 1

我不能告诉你哪一家公司是最好的，但我可以提到一类非常受欢迎的服务/公司，我认为应该避免。这些公司针对主题IP运行简单的脚本(可能只是NMAP)，并收集表面信息来报告可能的漏洞。这一类中最受欢迎的公司是Scan Alert的"Hacker Safe“。

去年，我写了一篇关于我在这家公司的经历的文章：Is Your Site Hacker Safe?

Scan Alert、McAffee等的问题在于，它们只是扫描站点的版本字符串和已知漏洞。没有考虑到一些服务，如Red Hat Enterprise Linux，将在保留先前版本标识符的同时支持安全修复。更糟糕的是，没有尝试对实时漏洞进行实际检测，因此实际的安全漏洞仍未被检测到，而误报分散了人们的注意力。

如果我真的需要知道我的应用程序或系统是否容易受到攻击，我会保留一个声誉良好的渗透测试顾问的服务。我不会相信自动化测试，而是会尝试利用我的应用程序/系统可能存在的任何漏洞的实际专家。

Answer 2

我肯定会选择：http://www.sectheory.com/，他经常在http://ha.ckers.org/blog/上写关于网络安全的博客

Answer 3

我对提供这类服务的公司并不熟悉。我们使用HP application security center。它是一个自动测试工具，用于在您提到的各个方面验证您的应用程序安全性。

免责声明:我在惠普软件公司工作。