Wat is naar verhouding een goede pentest voor ongeveer 6.000 euro?

FOK!forum / Digital Corner / Wat is naar verhouding een goede pentest voor ongeveer 6.000 euro?

#ANONIEM	zondag 28 november 2021 @ 21:00
	Hey beste mensen, Ik ben bezig met een website. De connectie met de database is voor zover ik weet wel veilig aangezien ik een framework gebruik (laravel) en niks afwijk van eloquent (de manier om verbinding te maken met de database). Serverveiligheid weet ik echter veel minder vanaf jammer genoeg. Ik heb basiszaken geïmplementeerd, root login disabled, alleen connectie via ssh, fail2ban geïnstalleerd etc. Wat zijn goede pentests om te doen? Ook die gratis zijn of weinig kosten hoor ik graag. Het budget wat ik maximaal uit wil geven is denk ik ongeveer 12.000 euro als ik daarmee voor de komende 2 jaren goed kan slapen om het zo maar te zeggen. Maar zelf richt ik op 6.000 ofzo als afdoende. Alvast erg bedankt weer beste mensen [ Bericht 0% gewijzigd door #ANONIEM op 28-11-2021 21:01:40 ]
#ANONIEM	zondag 28 november 2021 @ 21:09
	Misschien een goede toevoeging: ik zou graag ook websites of software willen zien die mijn website gratis (of voor weinig geld) testen. Het bedrag wat ik ervoor over heb is vooral om zeker te weten dat mijn website veilig is of in ieder geval kan aantonen dat ik mijn best heb gedaan om het veilig te maken, maar als ik daarvoor al wat dingen kan testen voor weinig tot geen geld dan hoor ik dat natuurlijk ook graag, bedankt. [ Bericht 11% gewijzigd door #ANONIEM op 28-11-2021 21:10:36 ]
crystal_meth	woensdag 1 december 2021 @ 02:05
	Misschien aan één van de admins/developers vragen (Breuls?).
#ANONIEM	dinsdag 14 december 2021 @ 20:17
	quote: Op woensdag 1 december 2021 02:05 schreef crystal_meth het volgende: Misschien aan één van de admins/developers vragen (Breuls?). Dat is wel een goede, ga ik misschien ook wel gewoon even doen. Kan nooit kwaad. Toch alsnog even een kickje. Want ik vroeg me ook af of er iemand is die weet of er pentests zijn die soort van garanderen dat je je best hebt gedaan om de gegevens en de server te beveiligen? Dus niet juridisch echt aansprakelijk kan zijn om het zo maar te zeggen aangezien je kan aantonen dat je er voldoende aan hebt gedaan om het te beveiligen op de juiste manier.. Voor mij is dit wel een dingetje, database connectie etc. weet ik wel genoeg van af maar de linux server zelf is waar ik me zorgen om maak. Kom ook wel vrij vlot steeds dichter bij het moment dat het een MVP wordt dus als iemand dit nog leest en hier ideeën over heeft.. Zou erg flut zijn als ik na al dit werk geen enkele kans maak vanwege beveiligingsissues (werk er nu 1,5 jaar aan in mijn vrije tijd, iets van 20 uur per week naast mijn werk dus ja)
investeerdertje	woensdag 15 december 2021 @ 17:02
	Voor een vluchtige nessus, sqlmap etc. voorzie ik niet al te veel kosten, kan je prima zelf doen. Een sourcecodereview is een ander ding. Nog even daargelaten de implicaties van je serverinstallatie er omheen. Maar voor het afkopen van je gemoedsrust kan je prima een random bedrijfje vragen een pentest te doen. Ben je vast goedkoper uit en kan je aantonen dat je er tenminste iets aan gedaan hebt.
Breuls	donderdag 16 december 2021 @ 13:15
	Een pentest kan door verschillende bedrijven worden uitgevoerd - ik kan echter niets zeggen over wat dat kost, want ik heb daar geen kennis van. In het algemeen doe je er natuurlijk goed aan om op alle lagen van je infrastructuur te letten op de veiligheidsaspecten. Alle ingangen naar je website, van servertoegang tot SQL injection, zijn relevant. Je moet kijken naar toegang tot je infrastructuur of naar hoe die misbruikt kan worden voor andere dingen, naar de veiligheid van je eigen gegevens en de privacy van je bezoekers. Bij OWASP is er een top 10 die periodiek wordt bijgewerkt, waarin de meest belangrijke aandachtspunten staan om in de gaten te houden voor je website/applicatie/whatever. Dat is het relevantste wat ik nu kan noemen, anders zou ik zelf allemaal lijstjes moeten gaan opschrijven over waar je allemaal naar moet kijken.