Vraag:
Ik heb slechts 4 uur per maand om een ​​cloudapplicatie te beveiligen - hoe moet ik mijn tijd besteden?
user230910
2019-11-01 05:57:39 UTC
view on stackexchange narkive permalink

Ik heb de taak gekregen om te zorgen voor een applicatie die is geïmplementeerd in azure. Ik krijg 4 uur per maand toegewezen.

Ik heb in wezen een halve werkdag om deze applicatie te beveiligen / te houden. Wat is een efficiënt gebruik van mijn tijd?

Moet ik me concentreren op:

  • Ervoor zorgen dat alle componenten up-to-date zijn?
  • Alle logboeken controleren om er zeker van te zijn dat niets er onbetrouwbaar uitziet ?
  • Poging om de applicatie zelf te "hacken"?
  • Het systeem gedetailleerd documenteren vanuit een beveiligingsperspectief?
  • Onderzoek naar huidige kwetsbaarheden in deze / gerelateerde technologie?
  • Ervoor zorgen dat back-ups enz. correct werken?
  • Herstel na noodgevallen?
  • Beleid creëren rond "gehackt worden"?
  • Controle van de bron code met een tool om naar slechte patronen te zoeken?

Of een combinatie / iets anders?

Ik ben op zoek naar op ervaring gebaseerde antwoorden, bij voorkeur van iemand die dit doet soort beveiligingsonderhoud. Als er een bestaande best-practice / richtlijn is die ook echt zou helpen.

De technologiestack is:

  • SQL Server Database (Azure SQL)
  • C # Web API
  • Angular Front End

Er zijn verschillende aanvullende componenten, maar ik ben niet echt op zoek naar technisch specifieke antwoorden, maar meer een strategie om dit aan te pakken.

4 uur per maand?Geef op.Het is niet genoeg om de code te lezen op iets dat niet triviaal is.De applicatie wordt gehackt en je krijgt de schuld ...
Besteed die 4 uur om een derde partij in te huren en hun prestaties te beoordelen.Ik vind zelfs 4 uur per week te weinig.
"Ik heb 4 uur per maand om te eten. Wat moet ik eten?"Als de hele lijst de lijst is van dingen die * niet * gedaan zouden worden, dan moet je met het management samenwerken om meer middelen te krijgen.U moet een * risicobeoordeling * uitvoeren om de impact te bepalen van het niet doen van een van deze dingen, en vervolgens prioriteiten stellen.
Ik realiseer me dat je niet op zoek bent naar technologie-specifieke antwoorden, maar je noemt C # Web API zonder de hosting ervan te noemen.De hosting hiervan zou de aanpak voor beveiliging drastisch veranderen, d.w.z. als het een PaaS: App Service Plan zou zijn, zou je veel minder te dekken hebben dan bijvoorbeeld IaaS VM's.U bent waarschijnlijk al op de hoogte, maar er is enige discussie hierover te vinden: https://docs.microsoft.com/en-us/azure/security/fundamentals/paas-deployments, wat handig kan zijn bij gesprekken met belanghebbenden.
Tegen dat tempo heb je ongeveer 10 minuten per dag.Geef ze uit aan uw superieuren te vertellen dat "we gehackt zullen worden, slecht, tenzij hier meer middelen voor worden toegewezen."Dat duurt ongeveer 10 minuten per dag (en dit doe je elke dag).Als je geluk hebt, brand je maandag een heel uur door en heb je je wekelijkse tijdbudget opgebruikt.Rond de ontmoeting af met "nou, er gaat de hele tijd die ik deze week heb om de applicatie veilig te houden. Ik hoop dat iemand ons morgen niet hackt, ik zou pas volgende week tijd hebben om het te repareren."
Hoewel ik net zoveel van sarcasme geniet als de volgende, hoopte ik op iets, alles wat ik zou kunnen doen om de app daadwerkelijk veiliger te maken.
Voor de duidelijkheid: bedoel je dat je 4 uur de tijd hebt om wijzigingen aan te brengen in de productieomgeving, zoals het installeren van een upgrade?Bedoelt u dat u 4 uur * van uw tijd * per maand hebt, dan kunt u bijvoorbeeld een scanner starten (laten we zeggen 10 minuten), de resultaten aflezen (laten we zeggen 1 uur en 50 minuten) en de resultaten vervolgens aan het management presenteren (laten we zeggenzeg 2 uur)?Of bedoel je dat er een tijdvenster van 4 uur is, eenmaal per maand, waarbuiten het strikt verboden is om middelen uit te geven die verband houden met het beveiligen van dit systeem - dus als je een scanner start en het duurt 4 uur om uit te voeren, ben je algedaan?
Je wordt klaargestoomd voor mislukking.Vertel ze alsjeblieft dat er absoluut geen manier is om dit ding te beveiligen.Bedrijven met fulltime beveiligingsteams voor meerdere personen kunnen hacks niet voorkomen.Er is geen manier om dit te laten werken en ze zullen je volledig de schuld geven als dit in hun gezicht explodeert.
4 uur per maand kan een redelijke tijdsbesteding zijn om de beveiliging van _een applicatie van derden_ die uw bedrijf gebruikt, te handhaven.U zou de tijd gebruiken om beveiligingswaarschuwingen voor de app te controleren, beveiligingsupdates te installeren zodra deze zijn uitgebracht en ervoor te zorgen dat uw collega's de app niet kunnen compromitteren met onveilige configuraties.Maar dat werkt alleen omdat de ontwikkelaars van de app 90% van het werk doen.En je hebt nog steeds extra tijd nodig om de eerste installatie te beoordelen, en elk daadwerkelijk beveiligingsincident of een verbroken upgrade zou vrijwel zeker je tijdbudget opblazen.
Negen antwoorden:
Izy-
2019-11-01 12:12:58 UTC
view on stackexchange narkive permalink

Zoals vermeld in de commentaren, ben ik het er ook mee eens dat 4 uur in een maand veel te laag is. Begrijp, en nog belangrijker, laat uw belanghebbenden begrijpen dat ze met 4 uur niet veel mogen verwachten. Aangezien ze je 4 uur hebben gegeven, lijkt het erop dat ze ook niet serieus zijn over het beveiligen van deze applicatie.

Op basis van de opmerkingen, antwoorden en mijn eigen gedachten zal ik proberen iets samen te stellen. Hier is hoe ik denk dat uw opties er in volgorde uit moeten zien.

  1. Vraag om meer tijd. Laat ze begrijpen of ze een applicatie in slechts 4 uur willen beveiligen, het praktisch nutteloos is.
  2. Huur een bureau in en besteed uw 4 uur aan het bepalen van hun reikwijdte, het prioriteren van hun acties en het bekijken van hun resultaten. (@Nelson)
  3. Als je het bovenstaande niet kunt, raad ik aan om de laaghangende vruchten vast te zetten, zodat je in 4 uur meer grond bedekt. Dit is wat ik belangrijk vind
    • Stel uw externe services in om te updaten. (~ 1 uur om de belangrijke applicaties voor update te vinden en in te stellen). Sluit onnodige poorten / services die u niet nuttig vindt.
    • Stel MFA in (~ 10 minuten) - aangezien u niet veel tijd heeft, stelt u dingen in die snel zijn, beschermt u tegen veelvoorkomende aanvallen en waarschuw u.
    • Bekijk uw geheimen - Zorg ervoor dat ze veilig zijn opgeslagen, voer scanners uit op uw code om hardgecodeerde geheimen te vinden. (~ 1 uur)
    • Disaster Recovery - Ik zou aanraden om een ​​deel van je kostbare 4 uur te besteden aan het opzetten van bescherming voor als er iets misgaat, want dat zal gebeuren. Begin met het maken van back-ups (2 indien mogelijk) in verschillende zones. Ik neem aan dat het platform je hiermee zal helpen, maar het zal nog steeds tijd kosten. Gedurende deze tijd kunt u ook een globaal noodherstelplan opstellen. (~ 1.5h)
    • Eindelijk, met de weinige tijd die je nog hebt, documenteer. Documenteer wat je hebt gedaan, wat je niet hebt gedaan en wat de volgende stappen zouden moeten zijn voor de volgende keer dat iemand 4 uur krijgt om de applicatie verder te beveiligen. (~ overgebleven)

DoS-bescherming is goed en vereist, maar ik kon gewoon geen manier vinden om het in het bovenstaande plan te passen en ik kon er ook niets voor ruilen. Misschien moet dat in je volgende stappen worden gedocumenteerd.

Over het algemeen is het een vergezocht verzoek om iets binnen 4 uur te beveiligen. Maar als ik ermee zou worden belast, zou ik het doen met de bovenstaande stappen. Ik weet niet zeker of onderzoek of het systeem al is gehackt mogelijk is in die 4 uur. Wanneer u 4 uur de tijd krijgt om te beveiligen, kunt u ervoor kiezen om deze te besteden aan het beveiligen van de toepassing tegen mogelijke bedreigingen of om te onderzoeken op aanvallers in uw systeem (heeft een ander plan nodig). Die eerste keuze is aan jou.

Het enige waarvan ik denk dat in dit antwoord wordt aangenomen, is dat het niet een keer 4 uur is, maar ELKE maand 4 uur.Dus de eerste maand MFA, DR enz., Zou de tweede maand waarschijnlijk gewoon een snelle test van die dingen kunnen zijn?
@user230910 je hebt gelijk!Ik denk dat dit meer een plan was voor de 4 uur van de eerste maand.Ik zou aanraden om je eerst op het bovenstaande te concentreren, de volgende maand je te concentreren op het hebben van wat DoS-bescherming en te beginnen met het vastleggen van tweede verdedigingslinies zoals het versleutelen van gegevens in rust, zorgen voor voldoende logboekregistratie, enz. En dan op zoek gaan naar anomalieën binnen het systeem.Naarmate u de maanden afloopt, heeft u minder te implementeren en meer om "de banden te controleren".Maar vergeet de documentatie niet!Het is een goede gewoonte om vanaf nu te beginnen en zal je (en de volgende persoon) later helpen :)
Refineo
2019-11-01 11:33:19 UTC
view on stackexchange narkive permalink

Begin met de beste Azure-best practices voor beveiliging, zodat u de beveiliging van uw Azure-oplossing stap voor stap kunt onderhouden en verbeteren:

  1. ga akkoord en upgrade uw Azure-abonnement naar Azure Security Center Standard. Dit zal u helpen beveiligingsproblemen op te sporen en op te lossen, toegangs- en applicatiecontroles toe te passen om kwaadwillende activiteiten te blokkeren, bedreigingen te detecteren met behulp van analyses en direct op aanvallen te reageren;
  2. uw sleutels, databasereferenties, API-sleutels en certificaten op te slaan in Azure Key Vault. Zorg er bovendien voor dat sleutels en geheimen in de oplossing niet worden opgeslagen in de broncode van de applicatie;
  3. installeer een webapplicatie-firewall (WAF) die een functie is van Application Gateway en die uw webapplicatie beschermt tegen veelvoorkomende exploits en kwetsbaarheden;
  4. meervoudige verificatie afdwingen voor uw beheerdersaccounts;
  5. uw virtuele harde-schijfbestanden coderen;
  6. virtuele Azure-machines en -apparaten verbinden met andere apparaten door ze op virtuele Azure-netwerken te plaatsen;
  7. mitigeren en beschermen tegen DDoS met DDoS Protection Standard die extra mitigatiemogelijkheden biedt;

Wanneer u klaar bent met de 1-7, focus dan op:

  1. beheer van uw VM-updates aangezien Azure Windows-updates niet automatisch pusht
  2. zorg ervoor dat u processen instelt voor belangrijke cloudbewerkingen zoals patchbeheer, back-up, incidentbeheer, wijzigingsbeheer, noodgebruikerstoegang, bevoorrechte toegang;
  3. wachtwoordbeheer inschakelen en gepast beveiligingsbeleid gebruiken om misbruik te voorkomen;
  4. uw Security Center-dashboard bekijken om een ​​overzicht te behouden van de beveiligingsstatus van al uw Azure-resources, zodat u indien nodig actie kunt ondernemen op basis van de aanbevelingen;

Lees de Microsoft-documentatie over de aanbevolen procedures voor Azure-beveiliging.

Documentatie:

Microsoft Azure Security Fundamentals

Microsoft Azure-beveiligingsdocumentatie

+1 voor het geven van bruikbaar advies in plaats van het OP te vertellen "er is geen manier".Soms is de situatie gewoon # & ^ $ ed en moet er nog een manier worden gevonden ...
Conor Mancone
2019-11-01 18:52:11 UTC
view on stackexchange narkive permalink

Dit is een zeer vreemd antwoord (oftewel het heeft weinig te maken met daadwerkelijke beveiliging), dus voel je vrij om mijn advies te negeren. Deze vraag zelf is redelijk gebaseerd op meningen, dus ik dacht dat ik een heel ander "soort" antwoord zou proberen.

U bent belast met de beveiliging van applicaties. Dit is een goede zaak!

Helaas heeft uw werkgever een zeer onrealistische verwachting van wat er nodig is om een ​​sollicitatie veilig te stellen. 4 uur is lang niet genoeg tijd om dit werk goed te doen. Voor de duidelijkheid: dit is nog steeds beter dan de meeste bedrijven (die exact 0 uur per maand toegewijde beveiligingstijd toewijzen). De realiteit is echter dat 4 uur een schijntje is. Dus dit is wat je doet:

  1. Ren met alle suggesties die mensen hier geven
  2. Besteed veel meer dan 4 uur per maand
  3. Om te vermijden uw werkgever ongelukkig maken of orders direct niet gehoorzamen, doe het extra werk in uw eigen tijd. Plan om de komende maanden regelmatig een flink stuk extra uren te besteden.
  4. In deze tijd leert u zaken als het beoordelen van code op zwakke punten in de beveiliging, het installeren en gebruiken van SEIM-systemen, het installeren en gebruiken van logsystemen (ELK-stack wordt vaak gebruikt), inbraakdetectiesystemen, automatisch scannen van applicaties en meer! (de volledige lijst is waarschijnlijk te lang, leer het allemaal in een paar maanden werken in je vrije tijd, maar doe je best!)
  5. Je bedrijf krijgt uiteindelijk de voordelen van je gratis arbeid, wat een beetje triest is, maar ...
  6. Je bent goed op weg om jezelf op te leiden tot beveiligingsprofessional (als je een functie wilde, ben je op weg om een ​​sollicitatie Security Engineer) als onderdeel van uw officiële taken, het beveiligen van een daadwerkelijke webapplicatie in productiegebruik!
  7. Begin met solliciteren voor uw volgende baan als Application Security Engineer. U zult waarschijnlijk een betere baan vinden door werk te doen dat leuker is, en u zult waarschijnlijk ook beter betaald worden!

Uiteraard kan ik geen garanties geven over hoe het zou aflopen, maar wat je in feite hebt gekregen, is toestemming om jezelf te trainen voor een carrièreverandering. Een kans om in uw toekomst te investeren! Er is zelfs meer vraag naar beveiligingsprofessionals dan naar ingenieurs, dus persoonlijk zou ik dit nemen en ermee aan de slag gaan. Vooral als het in mijn voordeel zou werken, zou ik mijn huidige werkgever niet eens misgunnen voor het gratis werk dat ik ze zou geven vanwege hun kortzichtigheid.

Deze spijkert het echt.Met de hoeveelheid tijd die je krijgt, kun je de eigenaar niet echt helpen, maar je moet het gebruiken als een kans om jezelf te verbeteren.
In je eigen tijd werken is bewonderenswaardig, maar het wordt afgeraden.De gevolgen kunnen variëren van een goed gesprek tot het management tot het bedrijf dat wordt gecontroleerd, afhankelijk van de aard van het werk dat wordt verricht.
@Draco18s Ik heb letterlijk nog nooit voor een werkgever gewerkt of gehoord waar gratis overwerk iets anders is dan aangemoedigd.Ik kon echter zien dat het een kwestie was van de jurisdictie van de arbeidsstatus.Als je echter op een gekke plek werkt waar ze negatief reageren op gratis overuren, negeer dan dit advies.
Gratis overwerk is een slechte deal voor jezelf.Waarom denk je, omdat OP een heel klein deel van hun taak heeft om beveiligingsgerelateerde dingen te doen, dat ze hun hele carrièrepad op basis daarvan zouden willen veranderen?
Mijn baas heeft onrealistische eisen gesteld, het is nooit een goede reden om over tijd te werken
Bergi
2019-11-02 05:12:40 UTC
view on stackexchange narkive permalink

Ik raad aan om

  1. te beginnen met een risicobeoordeling
  2. compileer de hier gegeven lijsten (zowel door uzelf als in de antwoorden ) in bruikbare items
  3. Ga terug naar uw superieuren met het resultaat en vraag om meer tijd of een prioriteitstelling door hen.
ChrisFNZ
2019-11-03 02:15:27 UTC
view on stackexchange narkive permalink

Zoals anderen al hebben gezegd, is 4 uur veel te weinig moeite, maar ik zal enkele aanbevelingen doen voor het geval je ze nuttig vindt.

  • Voer een kwetsbaarheidsscanner uit, zoals Qualys of iets dergelijks. Dit zal een aantal nuttige app-kwetsbaarheden oppikken, zoals XSS, SQL-injectie, CSRF en dergelijke.
  • Voer een tool voor codebeoordeling uit om voor de hand liggende slechte praktijken te identificeren (dwz gebruikersinvoer niet correct te ontlopen voordat deze naar de database wordt verzonden)
  • Installeer een goede interne (hostgebaseerde) en externe ( edge- of cloudgebaseerd) WAF die beschermt tegen OWASP-bedreigingen en meer. Verschillende cloudgebaseerde WAF's bieden bescherming tegen DDoS en sommige brute force-aanvallen.
  • Isoleer uw infrastructuur in vlan-zones door vertrouwen en zorg voor minimale gegevensstromen tussen hen (bijv. Edge, presentatie, bedrijfslogica, gegevens)
  • Iemand anders heeft het eerder genoemd, maar erg belangrijk: zorg ervoor dat u slaan geprivilegieerde inloggegevens (API-sleutels, db-creds enz.) apart van de broncode op.
  • Versterk alle infrastructuur.
  • Het kan even duren, maar ik raad u aan een heatmap of een gebalanceerde scorekaart van beveiligingsrisico's te maken en ervoor te zorgen dat deze zichtbaar is voor uw senior stakeholders. Goede beveiligingspraktijken kunnen risico's verminderen, maar geen enkele is op zichzelf een wondermiddel.
Bedankt voor de gedetailleerde aanbeveling!
S S
2019-11-01 10:03:44 UTC
view on stackexchange narkive permalink

Ik ga ervan uit dat de applicatie extreem klein is, je schrijft scripts voor de logboeken om te zoeken naar dingen die niet op hun plaats zijn (idealiter gebeurt dit niet tijdens de 4 uur werkperiode), noodherstel zou al aanwezig moeten zijn voor een grote applicatie (controleer of de applicatie een dergelijke inspanning vereist.).

  1. Documentatie is van vitaal belang omdat het u zou moeten laten weten wat er wordt gebruikt en wie het ook gebruikt, hoe vaak het wordt gebruikt. Dit zal helpen bij het ontwikkelen van het script.

  2. Scripts zijn nodig om de logboeken van een maand te verdichten, dus kies zorgvuldig.

  3. Controleer back-ups.

  4. Controleer altijd de gebruikte technologieën en of er sprake is van POC of exploits. Spring er niet in en begin zelf een exploit te proberen, je hebt maar 4 uur.

  5. Verzoek om aanvullende ondersteuning als de toepassing van vitaal belang is.

    6. Idealiter zouden alleen de documentatie en scripting tijd moeten kosten, rust zou redelijk eenvoudig moeten zijn. Dit is niet het beste wat je nodig hebt om de waarde van het project te bepalen en te kiezen of 4 uur voldoende is.

    Als je je doelwit begrijpt, kun je het beter beschermen.

    Ik weet zeker dat er een beter antwoord is, hopelijk zullen ze het geven.

kubanczyk
2019-11-02 19:43:40 UTC
view on stackexchange narkive permalink

OP, het lijkt erop dat je voornamelijk een ontwikkelaar bent, kijkend naar je bijdragen. Dus wat kan een ontwikkelaar doen om de beveiliging te verhogen?

In de eerste maand:

  • 2 uur: probeer een versie een aantal externe afhankelijkheden / componenten / bibliotheken tegen te houden en probeer om de app opnieuw te bouwen. Documenteer de onverenigbaarheden als je faalt.
  • 2 uur: doe wat nodig is om je eigen wijzigingen door CI / CD te pushen, door te testen, door de master branch en naar productie. Probeer andere ontwikkelingen te meeliften als die er zijn, maar let in dit geval vooral op het achterlaten van sporen die u daadwerkelijk iets nuttigs hebt gedaan (bv. Enkele PR's schrijven).

Herhaal elke maand, maar pas de scheidingslijn tussen de twee gaandeweg aan. (De kans is groot dat de laatste splitsing meer zal zijn als 10 minuten versus 3 uur en 50 minuten.)

Op deze manier repareer je de ergste vector - dat een van de populaire componenten / bibliotheken een maanden oude gepubliceerde kwetsbaarheid heeft ( CVE). Zwermen bots beginnen de hele internetpwning elke kwetsbare implementatie te scannen. Als je alleen de componenten van derden upgradet, zelfs alleen door (geïnformeerde?) Gissingen te doen, is er een behoorlijke kans dat je nooit het slachtoffer wordt en nooit nodig zult hebben om de echt onaangename situaties aan te pakken.

Dat is nogal triviaal voor ontwikkelaars, maar in de meeste bedrijven vermijden ontwikkelaars dergelijk oninteressant onderhoud. Het wordt een groot probleem voor de typische beveiligingsafdelingen (omdat ze applicaties niet opnieuw compileren). De grote inspanningen om "logboeken te analyseren" of "WAF's te implementeren" of "kwetsbaarheidsscans uit te voeren" zijn er voornamelijk om die kloof vanuit alle resterende mogelijke hoeken te dichten.

Op basis van je vraag lijkt het erop dat je vraagt ​​hoe je je leren kunt focussen. Ik zou die veronderstelling hier en nu willen uitdagen. Degene die u 4 uur per maand heeft toegewezen, heeft al zijn eigen aanvraag afgebroken om te profiteren van uw zelfstudie. Onverantwoordelijk van hen! Om iets te leren dat aan dit project is gewijd, implementeer het dan, leer dan over uw fouten en herhaal ... Dat kan niet elke maand in stukken van 4 uur worden gedaan. "Repareer" dit niet, want het was niet jouw beslissing! Doe in de tijd van dit project dingen die je al goed weet.

Dat is een starter. Wat u in uw eigen vrije tijd probeert te leren en te implementeren, is uw voorkeur en uw eigen zaken. Ik denk dat het te breed is voor deze site (omdat je misschien besluit dat je niet geïnteresseerd bent in beveiliging, wat helemaal goed is), maar anderen gaven je sowieso heel veel leads. Zoek ook naar nuttige dingen tijdens je andere projecten. Sommige van de eerste of de laatste passen in deze 4 uur en helpen de staat van het project te verbeteren.

Blerg
2019-11-04 05:34:36 UTC
view on stackexchange narkive permalink

Van een systeembeheerder die zulke dingen heeft moeten doen, zou ik aanraden om gewoon een dev-VM te maken die je kunt vervangen door prod.

  1. Maak een back-up van je server.
  2. Scheid uw databases op hun eigen servers. Zorg ervoor dat ze alleen kunnen communiceren met ÉÉN IP-adres, de productieserver / -service die het nodig heeft. (Eenmalige wijziging, erg belangrijk.)
  3. Kloon de hoofdserver en geef de nieuwe een ander IP-adres.
  4. Breng alle noodzakelijke wijzigingen, updates, beoordelingen en controles aan.
  5. Wanneer het venster van 4 uur beschikbaar is, brengt u de services op de hoofdpagina naar beneden.
  6. Back-updatabases. KRITISCHE STAP.
  7. Push alle lokale wijzigingen van main naar cloned.
  8. Zorg ervoor dat alles er goed uitziet en naar behoren werkt.
  9. Verwissel de IP-adressen voor main en cloned .
  10. Gekloond is nu het hoofdbestand.
  11. Maak nog een back-up van alles. (Ja, doe er nog een.)
  12. Roep de services op main.
  13. Laat het andere systeem met rust als back-up voor het geval er iets gebeurt.
Bedankt voor het antwoord, maar ik ben een beetje in de war over WAAROM dit een goede benadering is?Waar waart het zich voor?Waar moet ik op letten?Ik zou waarschijnlijk deze hele operatie kunnen scripten ...
Het verwijdert het venster van 4 uur voor veiligheidscontroles.In plaats van slechts een korte tijd op de server te werken, heb je nu een aparte servergroep die je naar hartelust kunt uithameren.Als u iets vindt dat de server crasht / compromitteert, is het niet de productieserver, dus herstart en ga verder.Herstel uw laatste back-up als de server kapot gaat.Omdat het geen productie is, zien klanten en management niets.Voorkom dat die databases andere IP-adressen kunnen zien, anders kunnen ongewenste wijzigingen hun weg vinden naar hen.
Oké, bedankt voor het uitleggen!:)
chrishmorris
2019-11-01 21:00:43 UTC
view on stackexchange narkive permalink

Je noemt de risico's niet: slaat het persoonlijke gegevens op, enz. Maar als het een complexe applicatie is, dan is een aanpak die behoorlijk tijdbesparend is, fuzz-testen: haal enkele geldige verzoeken uit de logboeken, muteer ze met het soort metatekens dat in een injectie-aanval zou kunnen zitten, en die een kwetsbaarheid rapporteren elke keer dat je een 500-fout krijgt.

Helaas is de gebruikelijke reactie "dat kan niet worden misbruikt", vooral in een beveiligingsnaïeve omgeving zoals je lijkt te zijn. En het omzetten van een kwetsbaarheid in een exploit kost meer dan uw gebudgetteerde vier uur.

Alternatief antwoord: besteed de tijd aan het poetsen van je cv, want deze werkgever kan op elk moment failliet gaan.

(niet de downvoter).Ik denk niet dat dit een reden is om je cv te gaan poetsen.4 uur per maand opzij zetten is een jammerlijke hoeveelheid tijd voor een bedrijf om aan beveiliging te besteden, maar het is nog steeds 4 uur meer per maand dan de meeste bedrijven voor beveiliging reserveren.Ze denken in ieder geval na over beveiliging, waardoor ze (helaas) voorop lopen.Ze zullen zeker niet eindigen met * goede * beveiliging, maar ze zullen niet meer failliet gaan dan de volgende man ...
Als de opties 1) code bijwerken, 2) DR ontwerpen, 3) back-ups, 4) testen op kwetsbaarheid, ga je niet voor * fuzzing *, vooral als je aanneemt dat niemand naar de testresultaten zal luisteren.


Deze Q&A is automatisch vertaald vanuit de Engelse taal.De originele inhoud is beschikbaar op stackexchange, waarvoor we bedanken voor de cc by-sa 4.0-licentie waaronder het wordt gedistribueerd.
Loading...