Användarvisningsbild
ak
Inlägg: 275
Blev medlem: 29 dec 2015, 11:45
Områden: Vakta orten
Kontakt: Twitter

Re: Gäst [#1] avlidienbrunn - Webbsäkerhet

21 sep 2016, 02:00

Oj vilka kanonsvar! Intresant och riktigt kul att läsa! :) Tack så mycket för input Avlidienbrunn! :D
Min blogg | https://akboy.se/

Användarvisningsbild
Chloë
Administratör
Inlägg: 2505
Blev medlem: 08 okt 2014, 02:28
Områden: Webbsäkerhet
Kontakt: Twitter

Re: Gäst [#1] avlidienbrunn - Webbsäkerhet

21 sep 2016, 02:04

Jag är väldigt nöjd med svaren han gav! Frågorna var också väldigt bra! Detta var lärorikt, så tack avlidienbrunn!
keybase.io/dotchloe | chloe.re | chloe.website

Arabies
Inlägg: 83
Blev medlem: 18 mar 2016, 09:42

Re: Gäst [#1] avlidienbrunn - Webbsäkerhet

22 sep 2016, 09:32

avlidienbrunn skrev:Hallå! Nu vart det lite sena svar, men here goes!
1. Skulle vända mig till ett pentestföretag och be om full initial säkerhetsanalys, pentest, kodgranskning + infrastruktur. På något sätt förhandla ner timmarna, för säger man det till en pentestsäljare så gissar jag på att timmarna kommer smällas på ordentligt. Alternativt (eller också) kan man köra några gratis-scanners (t.ex. Detectify världens bästa (jag är absolut inte partisk)).


Ett whitebox pentest (pentest med stöd av källkoden) av en webapp + infra kommer landa på iaf 120h, lägre än så är det nog svårt att komma och fortfarande kunna känna sig hyfsat säker på resultatet. Är det en väldigt liten app, och liten miljö, kan det givetvis bli lägre, men snitt landar nog där någonstans. Kodgranskning tycker jag själv är ganska överflödigt, om inte det man är ute efter är tecken på dåliga rutiner, annars får man med det mesta i pentestet, förutsatt att man har tillgång till koden.

Användarvisningsbild
avlidienbrunn
Respekterad Medlem
Inlägg: 131
Blev medlem: 08 mar 2015, 15:32
Områden: a'">http://a.b/<u>sd

Re: Gäst [#1] avlidienbrunn - Webbsäkerhet

22 sep 2016, 09:54

Arabies skrev:Ett whitebox pentest (pentest med stöd av källkoden) av en webapp + infra kommer landa på iaf 120h, lägre än så är det nog svårt att komma och fortfarande kunna känna sig hyfsat säker på resultatet. Är det en väldigt liten app, och liten miljö, kan det givetvis bli lägre, men snitt landar nog där någonstans. Kodgranskning tycker jag själv är ganska överflödigt, om inte det man är ute efter är tecken på dåliga rutiner, annars får man med det mesta i pentestet, förutsatt att man har tillgång till koden.


Syftade på att jag tycker det är dumt med att börja gräva djup i ett led, bättre att kolla brett för att förstå vad man ens behöver. Jag tror det är ganska vanligt att folk köper säkerhet utan att ens försöka göra någon riskanalys. Beroende på vad man får fram av det så kan man fortsätta med t.ex. pentest :)