作者kkzaq12wsx (不在站上)
看板Soft_Job
标题[请益] 原始码弱点扫描工具(ASP)
时间Sat May 14 00:43:19 2022
各位前辈好
公司之前有承接一些古老的维护案,
用的语言是最旧的Classic ASP + VB Script。
最近客户要求要进行原始码弱点扫描(白箱测试),
不过google了几套免费扫描软体,似乎都不支援扫描ASP,
测试过Visual Code Grepper 跟 sonarqube,
都扫不出东西...囧rz
然後查了一些台湾有代理的付费软体,价格都写得有点含糊,
申请试用都有点麻烦。
例如 Checkmarx O-Scan之类的...
我的问题是...
1.是否有前辈知道有能够扫纯 ASP+VBS+JS 的免费弱点扫描工具?
2.若是买台湾代理商的付费软体,买来後是安装在主机上,随时想扫就扫吗?
还是要透过对方公司协助扫描产出报告??
若是後者,感觉在修补弱点的时候有点麻烦,没办法马上重扫看修补的结果...
3.若是付费软体是否有推荐价格比较亲民的?? (10万以内?)
4.若是购买付费软体,是否能够拿来接帮别人弱扫的case? XD
以上问题,恳请前辈们解惑,感激不尽!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.135.171.123 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1652460203.A.734.html
※ 编辑: kkzaq12wsx (220.135.171.123 台湾), 05/14/2022 00:44:53
1F:推 SFGEX: 新思的有考虑吗 05/14 01:12
2F:推 autonomic: CAT.NET好像可以 05/14 02:22
3F:→ kkzaq12wsx: 只要能够扫纯ASP的都可以 (非ASP.NET) 05/14 13:03
4F:推 wyytw: 就做一次的资安健检,产报告後客户可以修正弱点後,可再复 05/14 13:23
5F:→ wyytw: 扫。 05/14 13:23
6F:推 steak5566: coverity 05/14 13:42
查了一下似乎不支援 classic asp
7F:→ gpctv: Fortify scan呢? 05/14 13:50
HP 那套吗? 我查到疑似破百万 直接略过了 囧
8F:→ kwju: 2.可以安装在自己主机上随时扫 3.有名的都是7位数以上价格 05/14 14:07
9F:→ kwju: 4.不行,授权合约上有写 05/14 14:07
10F:推 FrancisC: 不知/可/无/看授权 05/14 15:56
11F:推 TAKADO: 3.无 4.看授权 。 05/14 17:54
12F:→ TAKADO: 要注意有些厂商说是有代理国外大厂,但专案型式扫一次多少 05/14 17:54
13F:→ TAKADO: $,其实只是他家有装一套,原始码要给他帮你扫。 05/14 17:54
14F:→ TAKADO: 你建议先问客户接受那几个牌子的比较快,资安严谨的一点客 05/14 17:55
15F:→ TAKADO: 户,能接受的牌子基本上都是6.7位数的产品。 05/14 17:55
客户其实没有要求品牌,免费的工具也可以(但至少要扫得到东西)
只是我目前试过的免费工具都没办法扫 纯ASP >_<
※ 编辑: kkzaq12wsx (220.135.171.123 台湾), 05/14/2022 21:15:41
※ 编辑: kkzaq12wsx (220.135.171.123 台湾), 05/14/2022 21:40:19
16F:→ sazabijiang: 公司愿意付费的话,可以问问资策会 05/15 13:08
17F:→ sazabijiang: 他们有提供弱点扫描服务 05/15 13:08
18F:→ ChungLi5566: 客户用哪套你们就买哪套 免得改完被退货 05/15 19:42
19F:→ ssccg: 客户要求叫客户生啊,付费的一定产得出报告但也不见得是扫 05/15 22:58
20F:→ ssccg: 得出东西,客户真的没指定你们就人工扫人工作PDF报告吧 05/15 23:00
21F:→ kkzaq12wsx: 其实最早的确是客户生的 (付费版的那种) 05/17 00:58
22F:→ kkzaq12wsx: 但後来客户不买了,把弱扫的责任归给外包厂商 05/17 00:59
23F:→ kkzaq12wsx: 还写进新年度的合约哩,所以才会生出这种困扰 XD 05/17 00:59
24F:→ ChungLi5566: 开发跟维运都有弱扫的责任 05/18 09:13
25F:→ ssccg: 弱扫只是一种工具,甚至不是完整的方法,哪来什麽责任 05/19 14:42
26F:→ ssccg: 目标是程式品质,code review是方法,弱扫最多也就是方便找 05/19 14:43
27F:→ ssccg: review重点的工具而已 05/19 14:46
28F:→ ssccg: 合约可以订交付的产出必须有(有品牌?)(没弱点?)弱扫报告 05/19 14:56
29F:→ ssccg: 那乙方就有责任交出来,但是单就弱扫又不是必要的何况责任 05/19 14:58
30F:→ kkzaq12wsx: 抱歉~「责任」一词可能我用词不当,应该说是把弱点扫 05/20 00:53
31F:→ kkzaq12wsx: 描跟弱点修补列为验收的交付项目。写那麽硬压力就来了 05/20 00:54
32F:→ kkzaq12wsx: 当然也是听说有人交了「扫不出来东西的报告」出去 05/20 00:55
33F:→ kkzaq12wsx: 工具扫不到弱点就代表没有弱点? 感觉怪怪的XD 05/20 00:55
34F:推 fatfatgigi: 以前甲方要求用Fortify扫ASP, 很可怕超多弱点要改 05/20 10:28
35F:→ kkzaq12wsx: 请问楼上 有那种完全无解 只能换语言改写的弱点吗? 05/20 16:03
36F:推 nickboy: Fortify对於旧式写法非常不友善,包括ASP.Net,我相信ASP 05/23 15:56
37F:→ nickboy: 应该会更惨,我改了应该超过五万个了 05/23 15:57