Escaneo PCI y páginas de usuario autenticadas

Navega tus respuestas
2

Acabo de usar la herramienta de escaneo PCI automatizada de un proveedor de seguridad para escanear mi servidor web.

Solo tiene la capacidad, fuera de la caja, de analizar las URL como un usuario no autenticado. Esto significa que solo está escaneando mi página de inicio de sesión y cualquier otra URL que pueda rastrear / adivinar, y solo en un modo (es decir, todas las páginas tienen significativamente más funciones disponibles cuando se inicia sesión).

¿Existe alguna herramienta de escaneo PCI conocida que permita escanear como un usuario autenticado para una mejor cobertura? Me puedo imaginar haciendo un inicio de sesión restringido para la herramienta y luego especificando el inicio de sesión / contraseña o una cookie como parte de la configuración de escaneo.

Quizás estoy confundiendo el propósito del escaneo PCI, y está destinado a ser una prueba de caja negra. Parece que si este es el caso, el único siguiente paso posible para mejorar las pruebas de penetración es contratar a un proveedor de seguridad para que realice las pruebas manuales de caja blanca.

    
pregunta Yoshi 19.10.2011 - 23:30
fuente

2 respuestas

1

Una exploración de PCI ASV es una prueba de caja negra. Tiene el propósito de certificar un nivel mínimo de seguridad que debe alcanzar para recibir los resultados aprobados (y ser considerado 'Cumple con PCI'). La parte de rastreo web es solo una pequeña parte de la exploración total de ASV.

Estoy de acuerdo en que sería útil que su sitio sea probado con un inicio de sesión con credenciales. Pero, si proporcionó credenciales a su ASV, técnicamente ya no sería un análisis de ASV.

Es posible que algunos ASV proporcionen esta opción como un servicio adicional, pero eso sería hasta el ASV. Hay otras herramientas de escaneo y proveedores que podría usar para esta prueba específica. Nessus es uno que viene a la mente.

    
respondido por el freb 20.10.2011 - 18:56
fuente
1

¿Ha intentado buscar más en las opciones que pueden estar disponibles en la herramienta? Personalmente, tiendo a favorecer Acunetix , que permite la creación de un script de inicio de sesión para que pueda escanear como autenticado y no autenticado. usuario. El único inconveniente de esto es que solo puede configurar un único script de inicio de sesión para cada análisis ejecutado individualmente, mientras que, algunas aplicaciones tendrán múltiples áreas autenticadas por separado.

    
respondido por el Lyndon Vrooman 20.10.2011 - 04:31
fuente

Lea otras preguntas en las etiquetas

¿Qué navegadores admiten el cifrado o descifrado mediante certificados locales o lectores de tarjetas inteligentes? Pautas para el desarrollo seguro de aplicaciones de iPhone