Kaip išanalizuoti savo svetainę kaip „Hacker“, kad rastumėte pažeidžiamumus?

Žingsnis po žingsnio ieškant žiniatinklio programų saugos trūkumų naudojant „Aptikti saugos pažeidžiamumų skaitytuvą“.


97 proc. programų, patikrintų „TrustWave“, buvo pažeidžiamos dėl vienos ar kelių saugumo rizikų.

Šis tinklaraščio įrašas bendradarbiauja su „Detectify“.

Gali atsirasti interneto programų pažeidžiamumas verslas ir reputacija nuostoliai įmonei, jei nebus laiku ištaisyti.

Liūdna tiesa, dauguma svetainių dažniausiai yra pažeidžiamos. An įdomus ataskaita Baltosios skrybėlės saugumas rodo vidutines dienas, kuriomis pramonės atstovai gali pašalinti pažeidžiamumą.

Kaip užtikrinate, kad esate žinodamas žinomų ir nežinomų jūsų interneto programų pažeidžiamumų?

Yra daugybė debesų pagrindu veikiančių saugos skaitytuvų, kurie jums padės. Šiame straipsnyje kalbėsiu apie vieną perspektyviausių „SaaS“ platformų – Nustatyti.

Nustatyti yra integruotas su jūsų kūrimo procesu, siekiant surasti saugumo riziką Ankstyva stadija (pastatymo / negamybinė aplinka), taigi jūs sušvelninsite jas prieš pradėdami gyventi.

Vystymosi integracija yra tik viena iš daugelio puikios savybės ir neprivaloma, jei neturite sustojimo aplinkos.

„Detectify“ naudoja vidinį tikrinimo įrankį, norėdami nuskaityti jūsų svetainę ir optimizuoti testą, pagrįstą žiniatinklio programose naudojamomis technologijomis.

Tikrinant jūsų svetainę išbandoma daugiau nei 500 pažeidžiamumų, įskaitant OWASP top 10, ir pateiks jums ataskaitą apie kiekvieną radinį.

Aptikti savybes

Kai kurias vertas paminėti savybes:

Ataskaitų teikimas – nuskaitymo rezultatus galite eksportuoti kaip suvestinę arba visą ataskaitą. Galite eksportuoti kaip PDF, JSON arba Trello. Ataskaitą taip pat galite peržiūrėti OWASP top 10; tai būtų naudinga, jei jūsų tikslas yra išspręsti tik su OWASP išvadomis.

Integracija – galite naudoti „Detectify“ API, norėdami integruotis su savo programomis ar šiomis priemonėmis.

  • Laisvas, ieškotojo pareiga, „Hipchat“ – iškart gaukite pranešimą
  • JIRA – sukurkite išvadų temą
  • „Trello“ – gaukite rezultatus „Trello“ lentoje
  • „Zapier“ – automatizuoti darbo srautus

Daugybė testų – kaip minėta anksčiau, jame patikrinama daugiau nei 500 pažeidžiamumų, o kai kurie iš jų yra:

  • SQL / aklųjų / WPML / NoSQL SQL injekcija
  • Skirtingų svetainių scenarijai (XSS)
  • Užklausų klastojimas kitose vietose (CSRF)
  • Nuotolinis / vietinis failų įtraukimas
  • SQL klaida
  • Nešifruota prisijungimo sesija
  • Informacijos nutekėjimas
  • El. Pašto apgaulė
  • El. Pašto / vartotojo sąrašas
  • Sutrikusi sesija
  • XPATH
  • Kenkėjiška programa

Nedaryk visko vienas – pakvieskite savo komandą koncertuoti ir pasidalykite rezultatais

Tinkinkite testus – kiekviena programa yra unikali, todėl prireikus galite įdėti pasirinktinius slapukus / vartotojo agentus / antraštes, pakeisti bandymo elgseną ir iš skirtingų įrenginių.

Nuolatiniai saugos atnaujinimai – Įrankis reguliariai atnaujinamas, kad būtų užtikrinta visa naujausi pažeidžiamumai yra uždengti ir išbandyti. Ex, tik praeitą savaitę, buvo atnaujinta daugiau nei dešimt naujų bandymų.

CMS saugumas – Jei naudojate tinklaraštį, informacijos svetainę, el. Prekybą, greičiausiai tuo pasinaudosite CMS kaip „WordPress“, „Joomla“, „Drupal“, „Magento“, ir gera žinia yra ta, kad jie yra įtraukti į saugos testą.

Detectify atlieka CMS ypač išbandykite, kad įsitikintumėte, jog jūsų svetainė nėra veikiama internete kylančių grėsmių.

Nuskaitykite apsaugotą puslapį – naršykite puslapį, kuris yra už prisijungimo.

Darbo su „Detectify“ pradžia

Aptikite pasiūlymus 14 dienų nemokamas bandymas (nereikia kreditinės kortelės). Vėliau sukursiu bandomąją paskyrą ir atliksiu saugos testą savo svetainėje.

  • Gausite el. Pašto patvirtinimą, kad patvirtinsite sąskaitą

  • Spustelėkite „Patvirtinti el. Laišką, kad jį pradėtumėte“, ir būsite nukreipti į informacijos suvestinę su pasveikinimo kelionės ekranu..

  • Jums gali būti įdomu naršyti po nuoseklų vadovą arba žiūrėti vaizdo įrašą, tačiau kol kas uždarysiu langą.

Dabar jau esate sukūrę savo sąskaitą ir pasiruošę pridėti svetainę, kad būtų galima nuskaityti. Prietaisų skydelyje pamatysite meniu „Taikymo sritis & Tikslai,Spustelėkite jį.

Yra du būdai, kaip pridėti taikymo sritis (URL).

  1. Rankiniu būdu – rankiniu būdu įveskite URL
  2. Automatiškai – importuokite URL naudodami „Google Analytics“

Pasirinkite jums patinkantį. Aš tęsiu importuodamas per Google analizė.

  • Spustelėkite „Naudoti„ Google Analytics ““ ir patvirtinkite savo „Google“ sąskaitą, kad gautumėte URL informaciją. Pridėję turėtumėte pamatyti URL informaciją.

Tai daro išvadą, kad jūs įtraukėte URL, kad aptiktumėte, ir, kai būsite pasiruošę, galėsite paleisti nuskaitymą pagal pareikalavimą arba grafikas paleisti jį kasdien, kas savaitę ar mėnesį.

Saugumo nuskaitymo vykdymas

Tai yra linksma laikas dabar!

  • Eikime į informacijos suvestinę ir spustelėkite ką tik pridėtą URL.
  • Spustelėkite „Pradėkite nuskaitymąDešinėje apačioje

Jis pradės nuskaitymą septyni žingsniai kaip sekite ir turėtumėte pamatyti kiekvieno būseną

  • Pradedant
  • Informacijos rinkimas
  • Nuskaitymas
  • Pirštų atspaudai
  • Informacijos analizė
  • Išnaudojimas
  • Baigimas

Visam nuskaitymui atlikti prireiks šiek tiek laiko (maždaug 3–4 valandos, atsižvelgiant į svetainės dydį). Galite uždaryti naršyklę ir gausite pranešimas el. paštu kai nuskaitymas bus baigtas.

Geek Flare nuskaitymas užtruko maždaug 3,5 valandos, ir aš tai gavau.

Galite spustelėti el. Laišką arba prisijungti prie informacijos suvestinės, kad peržiūrėtumėte ataskaita.

Naršyti aptikimo ataskaitą

Ataskaitų teikimas yra tai, ko ieškotų svetainės savininkas ar saugos analitikas. Tai yra esminis nes turėsite ištaisyti išvadas, kurias matote ataskaitoje.

Kai prisijungsite prie informacijos suvestinės, pamatysite savo svetainių sąrašą.

Galite pamatyti paskutinę nuskaitymo datą & laikas, kai kurios išvados ir bendras rezultatas.

  • Raudona piktograma – aukšta
  • Geltona piktograma – vidutinė
  • Mėlyna piktograma – žemai

Aukštas sunkumas yra pavojinga, ir ji visada turėtų būti pirmoji, kuri buvo nustatyta jūsų prioritetų sąraše.

Pažvelkime į išsamią ataskaitą. Informacijos suvestinėje spustelėkite svetainę ir ji pateks į apžvalgos puslapį.

Dalyje „Grėsmės balas“ yra dvi galimybės. Arba galite peržiūrėti radinį prisijungęs arba eksportuoti juos į PDF.

Aš eksportavau savo ataskaitą PDF formatu ir tai buvo 351 puslapis nuodugniai.

Greitas internetinių išvadų pavyzdys, jas galite išplėsti, kad pamatytumėte išsamią informaciją.

Kiekvienas rezultatas paaiškinamas aiškiai ir įmanoma rekomendacijas taigi, jei esate saugumo analitikas; ataskaitoje turėtų būti pakankamai informacijos, kad jas ištaisytumėte.

OWASP 10 geriausių ataskaitų – jei jus tiesiog domina OWASP top 10 saugos elementų ataskaitą, tada juos galite peržiūrėti skiltyje „AtaskaitosKairėje naršymo juostoje.

Taigi pirmyn ir pažiūrėkite į ataskaitą, kad pamatytumėte, ką turite išspręsti. Pataisę radinį, galite dar kartą paleisti nuskaitymą, kad patikrintumėte.

Tirti nustatymų nustatymus

Yra keletas naudingų nustatymų, kuriuos galbūt norėsite su juo žaisti, atsižvelgiant į reikalavimus.

Skiltyje „Nustatymai“ >> pagrindinis

Prašymo limitas – jei norite, kad „Detectify“ apribotų jūsų svetainėje pateiktų užklausų per sekundę skaičių, galite tinkinti čia. Pagal numatytuosius nustatymus jis yra išjungtas.

Padomenis – galite nurodyti Detectify nerasti nuskaitymo padomenio. Jis įgalintas pagal numatytuosius nustatymus.

Nustatykite pasikartojančius nuskaitymus – pakeiskite tvarkaraštį, kad saugos patikrinimas būtų vykdomas kasdien, kas savaitę ar mėnesį. Pagal numatytuosius nustatymus jis sukonfigūruotas veikti kas savaitę.

Skiltyje „Nustatymai“ >> Pažengęs

Individualus slapukas & antraštė – pateikite testui pasirinktą slapuką ir antraštę

Nuskaitykite iš mobiliojo telefono – galite paleisti nuskaitymą iš skirtingų vartotojo agentų. Naudinga, jei norite išbandyti kaip mobilųjį vartotoją, pasirinktinį klientą ir pan.

Išjungti konkretų testą – nenorite išbandyti tam tikrų saugos elementų? Čia galite jį išjungti.

Tau…

Jei rimtai ketinate rasti saugos spragas iš įsilaužėlių perspektyva, tada pabandykite nustatyti. Tu gali sukurti bandomąją paskyrą ištirti ypatybes.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map