TRex hat geschrieben: 02.05.2020 12:48:17
Wenn *du* das aber selbst so eingerichtet hast, wirst *du* das Problem nicht mit Software finden, weil du ja gar nicht weißt, nach was du suchst.
Das ist zwar so vollkommen richtig, aber es gibt ja durchaus so Auditierungs - ich sag mal - Fragebögen, in denen man einfach nur nach Schema F vorgehen muss.
Bei uns wurde mal so eine App "pentested". Am Ende haben wir eine Excel Tabelle mit den Ergebnissen bekommen. Wirklich angestrengt haben die sich nicht
Sie haben den OWASP guide genommen und Punkt für Punkt abgearbeitet, ein paar Screenshots dazu und fertig.
Also es gibt ja durchaus Tools die einem nachher alles mögliche ausspucken. Wichtig ist dann, das man weiß was die Dinge bedeuten - denn auch eine Warnung kann mal kritisch sein und ein Kritischer Fehler manchmal unnötig zum ansehen.
Die größte Arbeit war dann denen zurück zuschreiben warum die x "kritischen Fehler" die sie da gefunden haben sowieso alle mitigiert waren.
Im Übrigen schlägt das gut den Bogen zu Firmen die sowas verkaufen. Meistens machen die eh a nix anderes. Die nehmen ein Auditierungsschema her, fahren mit ihrem Script da drüber und man bekommt einen hübschen bunten Auditierungsreport.
Was man dann mit den Informationen anfängt ist meistens einem selber überlassen, außer die Firma verkauft auch gleich die Beratung mit dazu
Dann kann es aber von schon teuer auf richtig teuer gehen
(aus Haftungsgründen werden solche Firmen in so ein Dokument nur gegen Aufpreis reinschreiben was du tun sollst - wenn überhaupt bekommst du ne Empfehlung was du tun
kannst) Ist jedenfalls meine Erfahrung damit.