Se me pide que escriba una primera auditoría técnica sobre las mejores prácticas de seguridad para mejorar la seguridad de un sitio web de PHP.
Me pregunto por dónde empezar. ¿Hay formularios de auditoría famosos para analizar y evaluar la seguridad de un sitio web? ¿Una herramienta gratuita en línea para hacer el primer cheque?
El sitio web en cuestión es uno muy básico desarrollado en PHP.
Eche un vistazo a la OWASP Top 10 Project .
OWASP tiene el mejor conjunto de recursos disponibles en línea cuando se trata de aplicaciones web. Puedes aprender mucha información desde allí.
Además, buscaría reforzar los servidores en los que se ejecuta su aplicación. CIS tiene un buen conjunto de puntos de referencia en los que podría basar su auditoría.
En cuanto a las herramientas, las recomendaciones están fuera del alcance del sitio. Hay demasiados por ahí. La distribución BackTrack viene con muchos excelentes. Sin embargo, puede ser bastante confuso para un principiante.
Como Terry sugirió que OWASP es el primer lugar donde alguien debería comenzar, especialmente w.r.t. Seguridad de aplicaciones web. Además de eso, le sugiero que también busque WASCv2 y S ANS CWE Top 25 .
Extendiendo el tema OWASP ... OWASP destaca uno de los 10 temas principales en los que debe preocuparse: enlace
Además del top 10, vale la pena reflexionar sobre la superficie de ataque que estás administrando: enlace
Una de las herramientas de OWASP, Zap (Zed), ayuda a identificar a su sitio en busca de problemas y es un punto de partida útil para automatizar su auditoría.
En términos de eficiencia, es posible que desee considerar el tiempo medio para parchear como una métrica para informar.
Lea otras preguntas en las etiquetas penetration-test web-scanners