几个月以来,在为客户搭建网站时,我碰到了几乎数万亿个“站点安全扫描程序”,这些程序据称得到了各种共享网络主机的认可/批准,它们声称可以运行 XSS、SQL 注入、垃圾邮件措施和其他检查,如果您想要每年进行一次以上扫描的计划,所有这些程序的价格都在 300 美元以上。
我并不是指 Comodo、McAfee、Symantec 等公司提供的 PCI 合规性扫描,这些扫描通常每年要花费数千美元,而是这些供应商似乎通过提供比 PCI 合规性扫描更实惠的替代方案来利用技术水平较低的企业主的恐惧心理。
虽然我可以提到几家公司,但我知道的太多了,无法一一列举,所以我的主要问题是:如果您不从事电子商务,这些“经济实惠”的扫描是否是 PCI 扫描仪的良好替代品。如果您使用的是共享/托管计划怎么办——主机不应该处理这个问题吗?
对于电子商务网站,由于一些商家处理器强制使用自己的 PCI 供应商,甚至承担 PCI 扫描的费用,是否有必要进行额外的扫描?
非常感谢大家的见解,因为这个问题已经困扰我很久了。
答案1
斯特金 IT 定律(“90% 的东西都是骗人的”)适用于 IT 的其他方面,也适用于 IT 的其他方面。我们都知道,PCI 只是一个燃烧的环/一袋狗屎,你需要通过它来处理信用卡(“做生意的成本”,就像向当地社区黑帮支付“保护费”),而不是真正的安全审计;这些自动扫描就像在街上随便找个人,给他 100 美元,让他不要烧毁你的商店。
我唯一会考虑这些地方的时候,是为了防止真正不称职的开发人员(我没有能力摆脱他们)。将这作为验收测试的强制性部分,如果他们的代码未通过其中一项扫描,他们将得不到任何报酬(最好是被棍子打一顿,然后被烧死)。我无法想象在 2011 年,任何形式的自动扫描都能发现称职的 Web 开发人员的代码存在问题——并不是说这些问题不为人所知,雇用称职的人才是经营任何企业最重要的方面。
话虽如此,赚钱的最好办法就是找到骗子,我敢打赌这些公司赚得盆满钵满。只要确保你不是骗子之一就行。要真正衡量这些公司的有效性,只需问他们对其产品做出什么样的保证——如果他们不愿意提供某种书面保证,保证他们已经发现了所有的安全问题(并且他们愿意在未来被黑客攻击时承担责任),那么他们不仅是在卖骗子,他们知道他们卖的是假药。
答案2
我们用过 netsol(我认为是看门狗扫描器)和 Qualys,它们都还不错;Qualys 比 Netsol 好得多。nessus 扫描没有提供任何特别的功能。我们需要进行外部扫描的唯一原因是某些客户需要它,否则我会坚持使用 nessus。