Precauations para auditoría de seguridad de aplicaciones web

Si contrata a una empresa para realizar una prueba de penetración y auditar su aplicación, será prudente determinar exactamente qué hay en los límites de dicha prueba, qué se probará y cómo (parece que les está dando la fuente). para poder hacer pruebas de caja blanca también). Es probable que trabajen con usted para establecer los acuerdos legales que los indemnizan. También debe detallar los resultados esperados, los plazos y los métodos que le comunicarán los resultados. Todas estas cosas son solo formas de asegurarse de que está obteniendo exactamente lo que espera de ellos. Esto también es en su mejor interés; Ellos también quieren clientes felices.

Aparte de los asuntos legales / contractuales, sería prudente darles un entorno tan cercano o igual al de su producción para que los resultados sean precisos y también si puede realizar sus propias pruebas con anticipación para eliminar "fruta colgando" - es decir, cualquier cosa que sea fácil de encontrar para ellos. Considere las revisiones de código y las revisiones de diseño del sistema con anticipación para darles lo que cree que es lo mejor. De esa manera usted está obteniendo el valor de su dinero.

Si le preocupa darle su código fuente a un tercero, no lo haga. Lleve al tercero al sitio para realizar la revisión del código y no permita que se lleven el código fuente con ellos. Esto también significa que pueden sentarse con un desarrollador y tener respuestas a cualquier pregunta que tengan con bastante rapidez. El desarrollador también tendrá la oportunidad de aprender del revisor.

Para las pruebas de penetración, se pueden realizar pruebas con credenciales y sin credenciales sin proporcionar ningún código fuente, ya que el probador puede probar la interfaz y la lógica de la aplicación.