測試一個軟件漏洞

Question

現在在一個湯裏排序..並且對於一個普通的版本感到抱歉。

我是一家公司的IT管理員，我們有一個由內部開發的部門之一使用的小型定製生成軟件。似乎沒有人擁有它的源代碼，並且創建它的員工已經離開。 （這一切都發生在我加入之前）

現在，作爲安全合規性實施的一部分，我需要測試此軟件是否存在漏洞。我來自IT基礎設施背景，不知道如何去做。

可能有些你點我在正確的方向

感謝

Answer 1

1 DIY

有許多的「黑匣子」的測試，你可以自己執行。

最容易執行的是基於Web的工具，它將掃描衆所周知的問題。像Qualys這樣的公司（只是參考最知名的玩家，而不是背書）提供了所需的工具來生成安全報告，可能（或可能不）足以證明符合（或不符合）您的要求。

提到的公司甚至提供一些免費的，只要測試目標可以通過互聯網獲得。更高級的選項顯然不會是免費的。

2.外部審計

或者，你可以尋求熟悉規則/規定你尋求符合並讓他們以證明其符合審計師。根據您想要證明遵守的特定規則/規定，找到願意在黑匣子系統上工作的人可能會非常棘手。

3.道德黑客

另一種選擇是聘請一個公司，將採用類似的工具，你可以做自己在第一個階段，並根據這些結果審覈它，他們可能實際部署一個熟練的黑客打入系統。如果他們善於處理他們的工作，那麼這將花費你大量的資金，如果你允許他們有足夠的預算來做到這一點，那麼他們肯定會陷入困境。[沒有什麼是100％安全的，特別是，未放棄的部署]

該報告事後將指出您需要改進的列表（但由於您沒有合理的方式來做到這一點......而您的唯一目標是獲得合規性橡皮圖章......