prueba de seguridad para desarrolladores

11

¿Alguien sabe de un breve cuestionario de seguridad que se pueda administrar en línea para probar el conocimiento de seguridad de un desarrollador? Estoy buscando algo sencillo de administrar y simple de calificar, idealmente algo que llevaría a un desarrollador solo unos minutos, como una herramienta de detección para diferenciar a las personas que no tienen experiencia en seguridad de aquellas que tienen al menos un nivel mínimo de conocimiento. / experiencia.

Idealmente, esto probaría el conocimiento de los problemas de seguridad en el código de la aplicación web (especialmente, el código PHP, pero otros también serían útiles).

¿Alguien sabe de algo como esto? ¿O incluso algo que está en este espacio general? Alternativamente, ¿alguien tiene alguna experiencia con el diseño o la utilización de un cuestionario de este tipo?

    
pregunta D.W. 07.06.2012 - 01:26
fuente

2 respuestas

4

Aquí hay algunos:

Microsoft también parece tener un juego de cartas de modelado de amenazas:

respondido por el Epoch Win 25.06.2012 - 19:00
fuente
7

Utilice DVWA o Mutillidae , ¿les pide que corrijan el código y luego demuestren un comportamiento pre / post corrección? Quizás un poco más complejo de lo que pensabas, pero también probaría su capacidad de codificación.

O, si esto es demasiado, haga que pasen por DVWA con la configuración de seguridad más baja, ¿buscan ciertos datos? (obtener nombres de usuario, inicio de sesión sin credenciales, etc.) ¿Incluso podría reducir la prueba a una sola pregunta? "¿Cuál es la contraseña del administrador?" No pondrá a prueba sus conocimientos de codificación, sino cómo probar las prácticas de codificación inseguras.

Divulgación completa: no los he usado como prueba.

    
respondido por el schroeder 07.06.2012 - 02:36
fuente

Lea otras preguntas en las etiquetas