Prueba de penetración frente a revisión segura del código fuente [duplicado]

Navega tus respuestas
1

Recientemente me encontré con una situación en la que una institución ha contratado a un proveedor externo para desarrollar sus aplicaciones comerciales. Se me ocurrieron las siguientes preguntas relacionadas con pruebas de penetración y revisión independiente del código fuente seguro de terceros :

  • Cómo se ejerce la revisión del código fuente seguro de un tercero independiente ¿Diferentes de las pruebas de penetración?

  • ¿Cuáles son las limitaciones del código fuente seguro de terceros independientes? Revisión y pruebas de penetración y se cubren entre sí donde. son limitados?

  • Qué áreas cubre la revisión de código fuente seguro de un tercero independiente
    ¿Qué pruebas de penetración no y viceversa?

pregunta Khopcha 30.03.2018 - 20:12
fuente

1 respuesta

5
  

Cómo se ejerce la revisión de un código fuente seguro de un tercero independiente   ¿Diferentes de las pruebas de penetración?

La revisión de código seguro es una metodología de caja blanca en la que el revisor de código utilizará herramientas automatizadas y / o un enfoque manual para identificar problemas de seguridad en el código fuente dado, mientras que las pruebas de penetración son principalmente una metodología de caja negra donde la organización solo proporcionará solo la dirección IP o el nombre / URL de la aplicación bajo prueba. En la prueba de penetración, el analista de seguridad generalmente comienza con la recopilación de información y luego identifica las vulnerabilidades en el sistema. Más tarde, el analista atacará el sistema bajo prueba e intentará penetrar más y más profundamente para identificar más problemas de seguridad y evaluar el impacto de las vulnerabilidades identificadas.

  

¿Cuáles son las limitaciones del código fuente seguro de un tercero independiente?   revisión y pruebas de penetración y se cubren entre sí donde   son limitados?

Depende únicamente del tipo de compromiso con su proveedor. En su mayoría, no se cubren entre sí. Personalmente recomiendo tanto la prueba de penetración como la revisión segura del código en la aplicación. La revisión segura del código es más un enfoque estático. Aunque, las herramientas modernas de revisión de códigos seguros ofrecen capacidades dinámicas como el análisis de contaminación donde también se analizan los datos en movimiento, pero nuevamente mi experiencia personal dice que la revisión segura de códigos nunca puede lograr los resultados de la prueba de penetración y viceversa.

  

Qué áreas cubre la revisión del código fuente seguro de un tercero independiente   ¿Qué pruebas de penetración no y viceversa?

Como ya se dijo, ambos enfoques pueden usarse para lograr mejores resultados. Espero poder explicarlo mejor usando un ejemplo. Por ejemplo, la revisión del código seguro del lado del servidor incluirá las comprobaciones de administración de contraseñas. En el escenario donde se utiliza un algoritmo de hashing débil como MD5 para codificar la contraseña del usuario. Este problema de seguridad se identificará en la revisión segura del código donde el problema puede no identificarse en una prueba de penetración si no se obtiene el acceso al servidor / código.

    
respondido por el Shiv Sahni 31.03.2018 - 09:12
fuente

Lea otras preguntas en las etiquetas

¿Es viable cifrar una unidad 'bloqueada en bits' otra vez? [duplicar] Al fortalecer un sistema LINUX, ¿qué herramientas de línea de comandos eliminaría primero para dificultar realmente la vida de un atacante? [cerrado]