Soy un desarrollador, no un gurú de la seguridad. Mi objetivo principal es garantizar que no esté introduciendo agujeros de seguridad a través de una mala programación. Entiendo cómo codificar para protegerme contra el Top 10 de OWASP, así como otras vulnerabilidades, pero sé lo suficiente para saber que no sé lo suficiente. Me gustaría agregar algunas pruebas adicionales a nuestro proceso para detectar vulnerabilidades en todo el proceso de desarrollo.
Ya realizamos modelos de amenazas a lo largo del proyecto, así como revisiones de código de todos los cambios de código que entran en producción.
También, como parte de nuestro proceso de lanzamiento, tenemos pruebas de penetración realizadas en nuestros sitios en nuestro entorno de prueba antes de lanzarlo a vivo, y también en vivo una vez que se lanzó. Sin embargo, no estoy seguro de que nuestras herramientas de prueba de penetración sean adecuadas . Además, las pruebas de penetración son costosas y solo se pueden hacer de vez en cuando. Realmente me gustaría que nuestro equipo los realice durante todo el proceso de desarrollo. (Es mucho más barato reparar hoyos antes que después en el proyecto).
Soy consciente de que herramientas como Havij que son utilizadas por los cibercriminales , y soy consciente de lo fácil que es hacer sitios de ataque con vulnerabilidades para los elementos. Incluso las personas no técnicas. Me encantaría poder usar las mismas herramientas para probar nuestra propia página web en nuestra prueba, luego la puesta en escena y luego el entorno de producción. (¿Por qué los malos tienen todas las buenas herramientas?) Pero no estoy dispuesto a ir a los sitios o grupos de noticias "sombríos" para descargar las herramientas. Ni siquiera sabría dónde mirar. Incluso si supiera dónde buscar, nuestros administradores de red nunca nos permitirían obtener esas herramientas de una fuente no confiable.
¿Hay un lugar legítimo , de confianza donde se puedan descargar o comprar tales herramientas para esos fines de sombrero blanco? Estoy perfectamente dispuesto a intentar que la alta gerencia pague la membresía en los grupos de sombrero blanco que podrían proporcionar estas herramientas, y aún mejor, capacitación, por lo que no necesariamente estoy buscando gratis. Solo estoy buscando fuentes legales y legítimas.