审核一个简单网站的安全效率的第一步是什么？

Question

我被要求写一篇关于安全性最佳实践的第一次技术审核，以提高PHP网站的安全性。

我想知道从哪里开始？是否有著名的审计表格来分析和评估网站的安全性？一个在线免费工具来做第一次检查？

该网站是一个非常基本的PHP开发。

Answer 1

看一看OWASP十大项目。

当涉及到web应用程序时，OWASP拥有最好的在线可用资源集。你可以从那里学到很多信息。

此外，我还将研究如何加强运行应用程序的服务器。独联体有一套很好的基准，您可以根据这些基准进行审计。

就工具而言，推荐超出了网站的范围。外面有太多了。BackTrack发行版附带了许多优秀的发行版。不过，对于初学者来说，这可能是相当令人困惑的。

Answer 2

正如特里所建议的，OWASP是第一个应该开始的地方，特别是w.r.t。Web应用程序安全性。除此之外，我建议你也调查一下WASCv2和S前25名。

Answer 3

扩展OWASP主题..。OWASP突出了要关注的十大问题：https://www.owasp.org/index.php/Category:OWASP_顶部_十_项目

除了前十名之外，还值得考虑一下您正在管理的攻击表面：https://www.owasp.org/index.php/Attack_面形_分析_作弊_板材

OWASP工具之一，Zap (Zed)，帮助搜索您的站点寻找麻烦，是自动化审计的一个有用的起点。

在效率方面，您可能希望考虑将平均修补时间作为报告的指标。