Penetración interna / externa que prueba un servidor web - PCI

Navega tus respuestas
2

los estados del documento PCI DSS: 

11.3.2
Perform internal penetration testing at least annually and after any significant     
infrastructure or application upgrade or modification (such as an operating system    
upgrade, a sub network added to the environment, or a web server added to the environment). 

11.3.1
Perform external penetration testing at least annually and after any significant   
infrastructure or application upgrade or modification (such as an operating system upgra
de, a sub-network added to the environment, or a web server added to the environment).

¿Cómo puedo realizar una prueba de penetración interna en mi servidor web? ¿Hay algún software que pueda hacer esto? ¿Y qué haría este software? Si alguien tiene acceso al funcionamiento interno del servidor web, ¿tendrían acceso a todo?

¿Alguien puede recomendar algún software que sea fácil de usar y que pueda realizar la prueba interna / externa del lápiz? ¿y necesitaría subirlo / enviarlo a mi empresa de alojamiento?

    
pregunta user1398287 11.03.2014 - 15:22
fuente

2 respuestas

1

Eliminé mi respuesta anterior porque decidí que requería demasiada revisión.

Las pruebas de penetración interna se realizan dentro de su organización para probar qué tan vulnerable es ante una amenaza interna. La prueba de penetración externa se realiza desde fuera de la organización para probar qué tan vulnerable eres ante una amenaza externa. En ambos casos, un probador de penetración busca vulnerabilidades e informa sobre los hallazgos. Sí, hay un software para esto, pero el software es una herramienta para un profesional, no lo reemplaza.

Cuando alojas un servidor web y / o una base de datos con un tercero, el juego cambia. Se pueden realizar pruebas externas que también incluyen pruebas de vulnerabilidad de la aplicación (en lo que se centró mi respuesta anterior). Pero las pruebas internas ahora se convierten en un desafío. Algunas empresas de hosting que se especializan en hospedar servidores compatibles con PCI realizarán las pruebas y le informarán sobre los resultados. Si está almacenando los detalles de la tarjeta de crédito en un servidor alojado por un tercero, es posible que no cumpla con los requisitos si no tiene un servidor dedicado. Verifique con su compañía de alojamiento para ver si manejan el cumplimiento de PCI.

La respuesta corta es:

  1. las pruebas de penetración las realiza un profesional
  2. necesita trabajar con su compañía de alojamiento para obtener y seguir siendo compatible
respondido por el schroeder 11.03.2014 - 20:30
fuente
0

Internal en este caso significa - interno al entorno del titular de la tarjeta. Está intentando enumerar el riesgo de ser atacado desde el interior de su red. Para su aplicación web, por lo general, probaría las partes de la aplicación que son "internas" (es decir, la Base de datos, middleware, etc.) con la prueba de lápiz interna. También debe probar las partes de la aplicación que están disponibles fuera de la red "externamente"; este sería el propio servidor web. Está intentando enumerar el riesgo de que un atacante externo piratee su sitio web desde fuera de su perímetro.

El estándar de facto barato y fácil para hacer pruebas de lápiz de aplicaciones web es Burp Suite, hay una versión gratuita. Necesitará otra herramienta para probar las vulnerabilidades comunes de host y de nivel de red ... hay cientos de ellas.

    
respondido por el Jonas 11.03.2014 - 18:29
fuente

Lea otras preguntas en las etiquetas

Evitando que los softwares dejen huellas en Windows | borrando las huellas fácilmente ¿La WLAN está desconectada?