11:37
4/10/2010

Microsoft Web Application Configuration Analyzer

Autor: Piotr Konieczny | Tagi:  

Oto narzędzie, które przeskanuje Wasz serwer IIS i sprawdzi, czy ASP.NET oraz SQL Server są “poprawnie” skonfigurowane.

MWACA od MISRM&D :-)

Wytyczne dla narzędzia Microsoft Web Application Configuration Analyzer przygotował zespół Microsoft Information Secrity Risk Management & Deployment (genialne te nazwy, nie? :-) MWACA oddaje w wasze ręce 140 regułek, które podzielone są na trzy kategorie:

  • General Application Rules
  • IIS Application Rules
  • SQL Application Rules

Oprócz skanowania oferuje też możliwość porównywania wyników i generowania raportu. Program można pobrać stąd

Microsoft Web Application Configuration Analyzer

Microsoft Web Application Configuration Analyzer

Przypominijmy tylko, że automatyczne skanery są fajne, bo są automatyczne …i w zasadzie tyle. Skanery prawie zawsze generują sporą liczbę false-positve’ów i oparcie testu penetracyjnego wyłącznie na automatach nie jest dobrym pomysłem… (za to świetnie nadają się do szybkiego zlokalizowania “potencjalnych i popularnych” błędów).

Przeczytaj także:

Niebezpiecznik

11 komentarzy

Dodaj komentarz
  1. anonim 2010.10.04 11:55 | # | Reply

    Czy nie dałoby się tych obcych kodów w kodzie strony przesunąć jakoś niżej :) aktualnie u mnie przez static.ak.connect.facebook.com ta strona ładuje prawie 30s (28s), albo ładować to js na końcu. A co do artykułu przynajmniej się chłopaki nie nudzą :), ale czy to zastąpi rzetelną wiedzę nie sądzę :)

    PS: jestem pierwszy :D

  2. Mariusz Kędziora 2010.10.04 12:33 | # | Reply

    Proszę się nie naśmiewać z nazw naszych działów, jednostek i zespołów :) Bo te które zacytowałeś nie są takie najgorsze ;P

    • Piotr Konieczny 2010.10.04 13:13 | # |

      Mariusz: hehe, te nazwy są i tak lepsze niż nazwy niektórych linuksowych paczek… jak już jesteśmy przy terminologii okołosystemowej ;-)

  3. Michał 2010.10.04 13:12 | # | Reply

    @Mariusz
    Faktycznie dział w którym Ty pracujesz ma lepszą nazwę “IT Pro Evangelist” ;)

  4. meaglin 2010.10.04 14:42 | # | Reply

    @Piotr Konieczny: Aż z ciekawości sprawdziłem. 7 najdluższych nazw pakietów w moim Ubuntu:

    linux-backports-modules-compat-wireless-2.6.34-2.6.32-25-generic-pae
    linux-backports-modules-compat-wireless-2.6.35-2.6.32-25-generic-pae
    linux-backports-modules-compat-wireless-2.6.34-2.6.32-25-generic
    linux-backports-modules-compat-wireless-2.6.35-2.6.32-25-generic
    linux-backports-modules-wireless-2.6.35-lucid-generic-pae
    libmaypole-plugin-authentication-usersessioncookie-perl
    linux-backports-modules-wireless-2.6.32-21-generic-pae

    Szczerze powiedziawszy myślałem, że będzie gorzej ;) Ciekawsze już są nazwy pakietów z dużą ilością cyfr takie jak:

    libghc6-cgi-dev-3001.1.7.1-6d653
    libghc6-cgi-prof-3001.1.7.1-6d653
    libghc6-x11-dev-1.5.0.0-7b697
    libghc6-x11-prof-1.5.0.0-7b697
    libm4ri-0.0.20080521

    Grunt to dokładne nazewnictwo ;)

  5. Mariusz Kędziora 2010.10.04 15:45 | # | Reply

    @Michał: To nie nazwa działu, a nazwa mojego stanowiska… Po polski brzmi to jeszcze lepiej (“Ewangelista dla specjalistów IT”) i wyobraź sobie minę starszej pani na badaniu przy przyjęciu do pracy (bo w takim skierowaniu musi być stanowisko po polsku) gdy z pewną taką nieśmiałością zapytała “A czy Pan jest może księdzem?”.

    Na marginesie mój dział to Developer & Platform Group (DPG) czasem nazywany też Developer & Platform Evangelism (DPE).

  6. OkropNick 2010.10.04 16:02 | # | Reply

    Ja tam lubię takie zryte nazwy :)

    http://en.wikipedia.org/wiki/Brain_Fuck_Scheduler

  7. Anonymous 2010.10.04 18:33 | # | Reply

    @Mariusz Kędziora
    To ty nie jesteś księdzem? ;>

  8. angelus 2010.10.04 23:58 | # | Reply

    panowie nie oszukujmy sie – odnosnie artykulu
    fajnie ze sa te wszystkie programy, ja sie naprawde z nich ciesze i stosuje
    a teraz wytlumaczenie i gwozdz – poniewaz pewni panowie w bialych fartuszkach – niekoniecznie bialych no ale coz – nie wiedza jak ustawic domyslne ustawienia i dlatego polowa tego co wykrywaja te programy to poprawa domyslnych ostawien [ ok 75% ] a dopiero poniej konfiguracji wlasnej adminow, dlatego tez tak duzo fals/possitive
    sorki, musialem to powiedziec bo jestem po tygodnowej walce z nowym [ swierza instalacja ] srv2008 i juz mam dosc debilizmu
    ps. juz nawet nie wspomne co sie dzieje na desktopach……

  9. OkropNick 2010.10.05 00:09 | # | Reply

    Powiało “świerzością”. ;) Polecam http://www.sjp.pl

  10. angelus 2010.10.05 08:05 | # | Reply

    @OkropNick
    wiesz, nie mam takiego doswiadczenia w trolowaniu jak ty
    jak wygooglowalem to az sie zdziwilem iloscia wynikow
    radzilbym dodawac komentarze ktore w sobie cos niosa a nie tylko bzdury typu onetforum
    zreszta to u ciebie norma – przerost formy nad trescia

Odpowiadasz na komentarz Mariusz Kędziora

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: