什么是网站安全验证？

Question

我有一个电子商务网站，最近我看到了一个关于网络犯罪的网页，这让我想知道网站的安全验证意味着什么。

• 有没有人知道网站的安全验证意味着什么？
• 如何验证我的网站，以防止此类欺诈案件？

Answer 1

安全认证通常基于渗透测试的结果，这表明道德黑客要通过安全控制是多么困难。如果这种测试是由经验丰富的专业人员完成的，这可能非常有用。

然而，

• 任何安全测试都是一个时间点:一个新的0天攻击可以在攻击后的第二天发布，如果该站点易受攻击，则安全认证实际上是无用的。
• 对于处理信用卡数据的组织，PCI-DSS应该证明您对数据进行了适当的保护，然而，针对符合PCI标准的组织的著名攻击(如2009年的世界支付 )在媒体上显示了不足之处--尽管如此，PCI中描述的许多好的活动您应该看看。

因此，如果您担心您的网站，良好的安全实践通常包括：

• 风险评估你的资产
• 修补你的平台和代码！
• 对开发人员进行安全编码培训 -证明它们是有用的(参见这是SANS倡议)
• 查看OWASP前十名中最常见的攻击以及如何处理它们
• 了解您使用的平台，并监视这些平台的scurity建议。
• 定期渗透测试-每年，在每一次重大更新上，对您的风险简介或威胁环境进行更改。
• 深度防御方法，因此，如果某一层安全措施失败，您将在受到损害之前发现它。

Answer 2

我不是专家，但对我来说，这不过是个骗局，用户希望看到一个网站是安全的，所以业主付钱来获得‘验证’。

其中一些是信托警卫、Mcafee和truste