Forwarded from CTO On Live
🕵️♂️ Шеф нас вскрыли, что будем делать?
#ПилюСтартап #Безопасность
Когда ты относительно небольшой сервис, то ты можешь позволить себе делать сервис абы как, чтобы проверить теории, найти целевую аудиторию и т.д. Но как только сервис становится востребованным и поток клиентов стабилен, жизненно необходимо сразу же вкладываться в безопасность, хотя бы в автоматические инструменты тестирования.
Как только сервис начнёт хайпить все ваши силы будут тратиться на поддержание и оптимизации, но никак не на безопасность, а с любым ажиотажем, как известно приходят те, кто хочет на нем заработать и часто это не самые честные люди. Текущая история с Zoom является очень показательной в этом плане. Сначала им наверняка начали присылать отчеты по безопасности, но в связи с возрастающей каждый час нагрузкой (у меня даже знакомые бабушки начали спрашивать про Zoom) они просто не успевали их закрывать, как следствие вся эта информация выплеснулась в открытый доступ. Теперь ребят вероятно будут ждать суды, так как американское общество/правительство любит погреться на таких штуках (последние скандалы с facebook и google тому пример), особенно учитывая современную экономическую ситуацию.
Конечно, автоматическое тестирование пока не способно заменить полностью людей, так как они не способны найти сложные кейсы с использование контекста, поэтому существуют специальные площадки, где можно заказать тестирование
Вообще есть много способов отловить процентов 40 злоумышленников aka мамкиных хакеров еще на входе и об этом я напишу более развернутый пост, а пока...
Вот несколько инструментов для тестирования:
- Nessus - даже бесплатная версия даст вам много информации по проекту
- Vega - мощный и бесплатный инструмент, но возможно придется помучиться с установкой
- Kali - не просто инструмент, а полноценная ось для пентестеров включающая в себя кучу уже предустановленных инструментов
- Nikto - самые простые вещи поможет выявить
- nmap - сканер сетей
- JMeter - поможет проверить какую нагрузку сервис сможет держать
- Siege и AB - похожи на JMeter но послабее, хотя для базового тестирования производительности вполне пригодятся
Инструментов, конечно, гораздо больше и каждый может себе подобрать именно те, что ему больше по душе, а может просто начать штудировать OWASP и искать все самому руками. Главное это подбирать и не откладывать в очень уж долгий ящик.
#ПилюСтартап #Безопасность
Когда ты относительно небольшой сервис, то ты можешь позволить себе делать сервис абы как, чтобы проверить теории, найти целевую аудиторию и т.д. Но как только сервис становится востребованным и поток клиентов стабилен, жизненно необходимо сразу же вкладываться в безопасность, хотя бы в автоматические инструменты тестирования.
Как только сервис начнёт хайпить все ваши силы будут тратиться на поддержание и оптимизации, но никак не на безопасность, а с любым ажиотажем, как известно приходят те, кто хочет на нем заработать и часто это не самые честные люди. Текущая история с Zoom является очень показательной в этом плане. Сначала им наверняка начали присылать отчеты по безопасности, но в связи с возрастающей каждый час нагрузкой (у меня даже знакомые бабушки начали спрашивать про Zoom) они просто не успевали их закрывать, как следствие вся эта информация выплеснулась в открытый доступ. Теперь ребят вероятно будут ждать суды, так как американское общество/правительство любит погреться на таких штуках (последние скандалы с facebook и google тому пример), особенно учитывая современную экономическую ситуацию.
Конечно, автоматическое тестирование пока не способно заменить полностью людей, так как они не способны найти сложные кейсы с использование контекста, поэтому существуют специальные площадки, где можно заказать тестирование
Вообще есть много способов отловить процентов 40 злоумышленников aka мамкиных хакеров еще на входе и об этом я напишу более развернутый пост, а пока...
Вот несколько инструментов для тестирования:
- Nessus - даже бесплатная версия даст вам много информации по проекту
- Vega - мощный и бесплатный инструмент, но возможно придется помучиться с установкой
- Kali - не просто инструмент, а полноценная ось для пентестеров включающая в себя кучу уже предустановленных инструментов
- Nikto - самые простые вещи поможет выявить
- nmap - сканер сетей
- JMeter - поможет проверить какую нагрузку сервис сможет держать
- Siege и AB - похожи на JMeter но послабее, хотя для базового тестирования производительности вполне пригодятся
Инструментов, конечно, гораздо больше и каждый может себе подобрать именно те, что ему больше по душе, а может просто начать штудировать OWASP и искать все самому руками. Главное это подбирать и не откладывать в очень уж долгий ящик.
vc.ru
Утечки данных, отсутствие шифрования, передача данных Facebook: за что критикуют видеоконференции Zoom и есть ли замена — Сервисы…
Евгений Делюкин Сервисы 01.04.2020