Bagaimana Menganalisis WebSite Anda seperti Peretas untuk Menemukan Kerentanan?

Panduan langkah demi langkah untuk menemukan kelemahan keamanan dalam aplikasi web menggunakan pemindai Detectify security security.


97% aplikasi yang diuji oleh TrustWave rentan terhadap satu atau lebih risiko keamanan.

Posting blog ini bekerja sama dengan Detectify.

Kerentanan aplikasi web dapat menyebabkan bisnis dan reputasi kerugian bagi perusahaan jika tidak diatasi tepat waktu.

Kebenaran yang menyedihkan adalah sebagian besar situs web rentan sebagian besar waktu. Sebuah menarik dilaporkan oleh Keamanan Topi Putih menunjukkan rata-rata hari untuk memperbaiki kerentanan berdasarkan industri.

Bagaimana Anda memastikannya? sadar kerentanan yang dikenal dan tidak dikenal dalam aplikasi web Anda?

Ada banyak pemindai keamanan berbasis cloud untuk membantu Anda. Dalam artikel ini, saya akan berbicara tentang salah satu platform SaaS yang paling menjanjikan – Deteksi.

Deteksi terintegrasi dengan proses pengembangan Anda untuk menemukan risiko keamanan di sebuah tahap awal (lingkungan pementasan / non-produksi), jadi Anda mengurangi mereka sebelum go-live.

Integrasi pembangunan hanyalah satu dari sekian banyak fitur unggulan dan opsional jika Anda tidak memiliki lingkungan pementasan.

Detectify menggunakan perayap yang dibangun secara internal untuk menjelajah situs web Anda dan mengoptimalkan tes berdasarkan teknologi yang digunakan dalam aplikasi web.

Setelah dirayapi, situs web Anda diuji lebih dari 500 kerentanan, termasuk OWASP 10 besar, dan memberi Anda laporan yang dapat ditindaklanjuti dari setiap temuan.

Deteksi Fitur

Beberapa fitur yang layak disebutkan adalah:

Pelaporan – Anda dapat mengekspor hasil pemindaian sebagai ringkasan atau laporan lengkap. Anda memiliki opsi untuk mengekspor sebagai PDF, JSON, atau Trello. Anda juga dapat melihat laporan dengan OWASP 10 teratas; ini akan berguna jika tujuan Anda hanya memperbaikinya dengan temuan OWASP.

Integrasi – Anda dapat menggunakan Detectify API untuk berintegrasi dengan aplikasi Anda atau yang berikut ini.

  • Kendur, Tugas Pager, Hipchat – dapatkan pemberitahuan instan
  • JIRA – buat masalah untuk temuan
  • Trello – dapatkan hasilnya di papan Trello
  • Zapier – mengotomatiskan alur kerja

Sejumlah besar tes – seperti yang disebutkan sebelumnya, ia memeriksa lebih dari 500 kerentanan, dan beberapa di antaranya adalah:

  • SQL / Blind / WPML / NoSQL injeksi SQL
  • Skrip lintas situs (XSS)
  • Pemalsuan permintaan lintas situs (CSRF)
  • Inklusi File Jarak Jauh / Lokal
  • Kesalahan SQL
  • Sesi login tidak terenkripsi
  • Kebocoran informasi
  • Spoofing email
  • Enumerasi email / pengguna
  • Sesi rusak
  • XPATH
  • Malware

Jangan melakukan semuanya sendirian – undang tim Anda untuk tampil dan membagikan hasilnya

Kustomisasi tes – setiap aplikasi unik, jadi jika perlu Anda dapat menempatkan cookie khusus / agen pengguna / header, mengubah perilaku pengujian, dan dari perangkat yang berbeda.

Pembaruan Keamanan Berkelanjutan – Alat diperbarui secara berkala untuk memastikan semua kerentanan terbaru ditutupi dan diuji. Misalnya, baru minggu lalu, lebih dari sepuluh tes baru diperbarui.

Keamanan CMS – jika Anda menjalankan blog, situs web informasi, eCommerce maka kemungkinan besar Anda akan menggunakan CMS seperti WordPress, Joomla, Drupal, Magento, dan kabar baiknya adalah mereka dicakup dalam tes keamanan.

Deteksi kinerja CMS khusus uji untuk memastikan situs web Anda tidak terpapar ancaman daring yang mungkin timbul darinya.

Pindai halaman yang dilindungi – Jelajahi halaman yang berada di belakang login.

Memulai dengan Detectify

Deteksi penawaran 14 hari percobaan GRATIS (tidak diperlukan kartu kredit). Setelah itu, saya akan membuat akun percobaan dan melakukan tes keamanan di situs web saya.

  • Anda akan mendapatkan konfirmasi email untuk memverifikasi akun

  • Klik “Verifikasi email untuk memulai,” dan Anda akan diarahkan ke dasbor dengan layar tur selamat datang.

  • Anda mungkin tertarik menavigasi melalui panduan langkah-demi-langkah atau menonton video, tetapi untuk sekarang, saya akan menutup jendela.

Sekarang, Anda sudah membuat akun dan siap untuk menambahkan situs web untuk menjalankan pemindaian. Di dasbor, Anda akan melihat menu “Lingkup & Target,”Klik itu.

Ada dua cara untuk menambahkan cakupan (URL).

  1. Secara manual – masukkan URL secara manual
  2. Secara otomatis – impor URL dengan Google Analytics

Pilih yang Anda suka. Saya akan melanjutkan dengan mengimpor melalui Google Analytics.

  • Klik “Gunakan Google Analytics” dan otentikasi akun Google Anda untuk mengambil informasi URL. Setelah ditambahkan, Anda harus melihat informasi URL.

Ini menyimpulkan Anda telah menambahkan URL ke Detectify, dan kapan pun siap, Anda dapat menjalankan pemindaian saat diminta atau susunan acara untuk menjalankannya setiap hari, mingguan, atau bulanan.

Menjalankan Pemindaian Keamanan

Itu adalah menyenangkan waktu sekarang!

  • Ayo buka dasbor dan klik URL yang baru saja Anda tambahkan.
  • Klik “Mulai Pindai”Di kanan bawah

Ini akan memulai pemindaian tujuh langkah sebagai berikut dan Anda akan melihat status masing-masing

  • Mulai
  • Pengumpulan informasi
  • Merangkak
  • Sidik jari
  • Analisis informasi
  • Eksploitasi
  • Finalisasi

Ini akan memakan waktu (sekitar 3-4 jam berdasarkan ukuran situs web) untuk menjalankan pemindaian penuh. Anda dapat menutup browser, dan Anda akan mendapatkannya pemberitahuan melalui email setelah pemindaian selesai.

Butuh sekitar 3,5 jam untuk menyelesaikan pemindaian Geek Flare, dan saya dapat ini.

Anda dapat mengklik email atau masuk ke dasbor untuk melihat melaporkan.

Menjelajahi Laporan Deteksi

Pelaporan adalah apa yang dicari oleh pemilik situs web atau analis keamanan. Nya penting karena Anda perlu memperbaiki temuan yang Anda lihat dalam laporan.

Ketika Anda masuk ke Dasbor, Anda akan melihat daftar situs web Anda.

Anda dapat melihat tanggal pemindaian terakhir & waktu, beberapa temuan, dan skor keseluruhan.

  • Ikon merah – tinggi
  • Ikon kuning – sedang
  • Ikon biru – rendah

Keparahan tinggi adalah berbahaya, dan itu harus selalu menjadi yang pertama diperbaiki dalam daftar prioritas Anda.

Mari kita lihat laporan terperinci. Klik situs web dari dasbor, dan itu akan membawa Anda ke halaman ikhtisar.

Di sini Anda memiliki dua opsi di bawah “Skor Ancaman.” Anda dapat melihat temuannya on line atau ekspor ke PDF.

Saya mengekspor laporan saya dalam PDF, dan itu adalah 351 halaman, itu secara mendalam.

Contoh cepat dari temuan online, Anda dapat memperluasnya untuk melihat informasi terperinci.

Setiap hasil dijelaskan dengan jelas dan mungkin rekomendasi jadi jika Anda seorang analis keamanan; sebuah laporan harus memberi Anda informasi yang cukup untuk memperbaikinya.

OWASP 10 pelaporan teratas – jika Anda hanya tertarik OWASP 10 teratas laporan item keamanan maka Anda dapat melihatnya di bawah “Laporan”Di bilah navigasi kiri.

Jadi, lanjutkan dan lihat laporan untuk melihat apa yang harus Anda perbaiki. Setelah Anda memperbaiki temuan, Anda dapat menjalankan pemindaian lagi untuk memverifikasinya.

Menjelajahi Pengaturan Deteksi

Ada beberapa pengaturan berguna yang mungkin ingin Anda mainkan berdasarkan kebutuhan.

Di bawah Pengaturan >> dasar

Batas permintaan – jika Anda ingin Detectify membatasi jumlah permintaan yang dibuat per detik ke situs web Anda, Anda dapat menyesuaikannya di sini. Secara default, ini dinonaktifkan.

Subdomain – Anda dapat menginstruksikan Detectify untuk tidak menemukan subdomain untuk pemindaian. Ini diaktifkan secara default.

Atur pemindaian berulang – ubah jadwal untuk menjalankan pemindaian keamanan harian, mingguan, atau bulanan. Secara default, ini dikonfigurasi untuk dijalankan setiap minggu.

Di bawah Pengaturan >> Maju

Cookie khusus & tajuk – berikan cookie khusus dan tajuk untuk pengujian

Pindai dari ponsel – Anda dapat menjalankan pemindaian dari agen-pengguna yang berbeda. Berguna jika Anda ingin menguji seperti pengguna seluler, klien khusus, dll.

Nonaktifkan tes khusus – tidak ingin menguji beberapa item keamanan tertentu? Anda dapat menonaktifkannya dari sini.

Ke Anda…

Jika Anda serius mencari kerentanan keamanan dari perspektif peretas, lalu coba Deteksi. Kamu bisa buat akun percobaan untuk menjelajahi fitur.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map