¿Existe una forma estándar de probar automáticamente la seguridad básica de mi servidor web? He encontrado un par de servicios en línea (por ejemplo, enlace ), y parecen estar bien, pero me gustaría comenzar con el lo esencial. ¿Existe un método de acceso para probar la seguridad de un servidor web?
Hay una serie de escáneres que no son gratuitos. Como Nexpose o Nessus, que puede hacer mucho más que solo escanear un servidor web. Pero también proporcionan esta funcionalidad, por supuesto.
La parte interesante es que estos escáneres también pueden iniciar sesión en su servidor y realizar revisiones de configuración a un cierto estándar. Por ejemplo, DISA STIG es una muy buena línea de base para probar y ver si ha implementado correctamente su servidor web de forma segura.
Aparte de eso, también puede probar la aplicación en sí misma, con escáneres automáticos como Burp o Appscan.
Otra opción sería utilizar ASV . Por lo general, solo se usan para el cumplimiento de PCI-DSS, pero también puede usarlos, por supuesto, incluso si no necesita cumplir con PCI-DSS. Sus análisis e informes de referencia son una muy buena evaluación de referencia para ver cuál es el nivel de seguridad, ya que los requisitos de PCI-DSS no son nada claros.
Lea otras preguntas en las etiquetas penetration-test automation