これがSOにとって適切な質問であるかどうかはわかりませんが、わからないのでとにかく先に進みます。
私は現在のプロジェクトでペネトレーションテストツールを調べており、それらのツールをいくつか見つけましたが、最終的にはこれを真剣に受け止め、この種の作業の実行を専門とする専門組織または個人に目を向けることから逃れることはできません。
ツールを探す理由は、完全な侵入テストサイクルを開始する前に、ぶら下がっている果物をピックオフできるようにするためです。これにより、明らかな脆弱性すべてに対処できれば幸いですが、このプロセスがより安価になることも期待されます。
ツールとリソース
組織と個人
これらのタスクを実行している組織を評価およびレビューするリソースがそこにあるかどうか疑問に思っていますか?以前に使用して良い結果が得られたことをお勧めできる組織はありますか?
@Jammer、あなたが探しているような評価が存在するかどうかはわかりません。私の個人的な見解は、認定やコンプライアンスを探しているのか、単にセキュリティを強化しようとしているのかにかかわらず、要件を調査することです. これらの基準に基づいて、ペンテスティング組織を見て、自分で評価することができます。このリンクが役立つ場合があります。
http://www.ivizsecurity.com/blog/penetration-testing/how-to-choose-penetration-testing-companies/
いずれにせよ、サード パーティ ベンダーを選択するか、独自のセキュリティ チームを所有するかの間には、常にトレードオフがあります。サード パーティのコンサルテーションを受けて、社内に Security Educated QA Team を持つことができます。
お役に立てれば。
残念ながら、あなたがリストしたツールのいくつかは、同等のものではありません。
Burp はプロキシ スキャナー ツールです。サーバーに送信する前に、burp でトラフィックをインターセプトし、リクエストを操作できます。Proバージョンには、スキャナーを送信する特定のリクエスト用のスキャナーがあります
Nikto と Appscan は自動スキャナーです。最後に、偽陽性を排除する必要があり、偽陰性の結果が生じる可能性もあります。
nmap は、スクリプト エンジンを使用して、ポート スキャン、ftp、snmp などのネットワーク関連の検索を行うための強力なツールです。
さらに、自動化されたツールを使用しても、侵入テストのコストは削減されません。いずれにせよ、アプリを公開する前に侵入テスト サービスを受ける必要があるためです。
セキュリティ コストを削減することは得策ではありません。代わりに、安全なコーディングのバックグラウンドを持つ開発者を雇うか、安全な開発ライフサイクルを開発環境に適用することをお勧めします。
他に質問があれば、それを撃ってください。