auditoria

[albries]

Hola que tal, ahora tengo una pregunta para todos los que se dedican a la seguridad informática en general, resulta que en mi Universidad quizá surga la posibilidad de hacer una auditoría a su sitio web, del cual ya tengo una lista de varias vulnerabilidad es , algunas bastante graves como  la posibilidad de cambiar calificaciones, y es una universidad de la mas importantes de por acá, este sería mi primer trabajo en este sentido si logro hacer le negocio, y que me dan chance de hacerle esta "auditoría" seria perfecto, pero ahora quisiera un poco de sus experiencias es este sentido:

Tomando en cuenta que es la primera vez que lo hago, pero que es una cantidad cosas importantes y estoy seguro que no los defraudaría ya que tengo un estudio bastante completo sobre su servidor

¿Cuanto creen que le pueda o les deba cobrar sin perder esta posibilidad que también me interesa como curriculum?, no se realmente como cobrarles por que por un lado creo que pueden pagar una buena cantidad pero por otro lado podrían no tomarme en cuenta por mi poca experiencia.

Todo lo que me puedan comentar en este y otro sentido se los agradecería, también acepto recomendacione s

Saludos y de antemano gracias 

[Dope]

emmm... eso suena muy etico por tuparte pero.... seria interesante hacer esta comparativa... .

Ketanto te podria pagar la escuela.....
y ketanto te podrian pagar x alterar calificaiones. .....

ahora otra kosa.... ke software usaste para escanear el sitio web... la comlejidad y la confiabilidad de esto tambien puede ser un factor por site decides cobrar ala escuela. XD

[albries]

si es otro buen punto pero lo que pasa es que yo ya tengo copia de la base de datos de contraseñas y además una especie de backdor  que dudo que arreglen aunque se los diga. sobre lo que me preguntas sobre el software no use ninguno todas las vulnerabilidad es que encontré fueron por cuenta propia, las que son sobre el servidor son con software como netcat pero fuera de eso nada

Gracias y sigo escuchando sugerencias

[Dope]

genial !!! pero para ke sepas otras bulnerabilidad es prodria ser util usar algun software, digamos olo para ke seas mas proXD te recomiendo Nikto es un excelente scaner de bulnerabilidad es.

[MaN!FesT]

La verdad no se de el tal nikto aunque si existe y aqui esta la
Para ver este enlace Registrate o Inicia Sesion

descarga

yo prefiero el SSS o Acunetix y de esos 2 el primero.

Salu2

p.d

Hay información de SSS y Acunetix en Bugs&Exploits echos por OzX.

[albries]

Muchas gracias justo en este momento estoy probando el nikto y alrato pruebno los otros 2m ya he usado el sss, y sobre los precios cuanto podría proponerles como costo (moneda pesos mexicanos)??

[albries]

por cierto saben de otro scanner qeu trabaje sobre linux aparte de nikto

[matrix_hc85]

no se olviden del señor NMAP sobre linux

[NodVeK]

por cierto saben de otro scanner qeu trabaje sobre linux aparte de nikto

Nessus

Bienvenido al mundo de los profesionales de la Seguridad Informática.

¿Cómo tarificar las Auditorías? La respuesta más común y odiada es.. "Depende". Hay empresas que lo tarifican directamente por el número de horas de trabajo, poniendo un precio por hora.
En mi empresa lo hacemos por contrato de un tiempo (un mes, un año,....) o por número de direcciones IP a analizar, esto es lo más común. Te pongo precios orientativos que he encontrado por Internet, de la empresa SecuritySpace (no es donde trabajo yo).

Descripción	Precio
Auditoría Estándar: 1 IP	49$
Un mes de Auditorías Estándar ilimitadas sobre IPs ilimitadas (proveyendo la IP que es suya, o asignada para su uso)    - canales de auditoría adicionales por un mes	$119 $5/canal
Un año de Auditorías Estándar ilimitadas sobre IPs ilimitadas (proveyendo la IP que es suya, o asignada para su uso)    - canales de auditoría adicionales por un año	$899 $50/canal

[matrix_hc85]

una pregunta!! cuanto cobra un expositor a una empresa por una expocicion sobre seguridad informatica o una secion de seguridad a una empresa.