Kako analizirati web mjesto poput Hakera da pronađe ranjivosti?

Detaljni vodič za pronalaženje propusta u sigurnosti u web aplikacijama pomoću Otkrivanje skenera sigurnosne ranjivosti.


97% aplikacija koje je testirao TrustWave bio je ranjiv na jedan ili više sigurnosnih rizika.

Ovaj je blog blog u suradnji s Detectify.

Može doći do ranjivosti web aplikacija poslovanje i reputacijski gubitak za tvrtku ako se ne sanira na vrijeme.

Tužna je istina da su web stranice ranjive većinu vremena. zanimljiv izvijestio Sigurnost bijelog šešira prikazuje prosječne dane za popravljanje ranjivosti u industriji.

Kako osiguravate da jeste svjestan poznatih i nepoznatih ranjivosti u vašim web aplikacijama?

Postoji mnogo sigurnosnih skenera utemeljenih na oblaku koji vam mogu pomoći u tome. U ovom ću članku govoriti o jednoj od najperspektivnijih SaaS platformi – Detectify.

Detectify integrira sa svojim razvojnim procesom radi pronalaženja sigurnosnog rizika rana faza (inscenacijsko / ne-produkcijsko okruženje), tako da ih ublažite prije pokretanja uživo.

Integracija u razvoju samo je jedna od mnogih izvrsne karakteristike i izborno ako nemate scensko okruženje.

Detectify koristi interno ugrađeni alat za indeksiranje za indeksiranje vaše web stranice i optimiziranje testa na temelju tehnologija koje se koriste u web aplikacijama.

Nakon indeksiranja vaše se web mjesto testira više od 500 ranjivosti, uključujući OWASP top 10, i dati vam djelotvoran izvještaj o svakom nalazu.

Otkrivanje značajki

Neke od značajki koje se spominju su:

Izvještavanje – možete skenirati rezultate skeniranja kao sažetak ili cjelovito izvješće. Imate mogućnost izvoza u PDF, JSON ili Trello. Izvještaj možete pogledati i OWASP top 10; ovo bi bilo korisno ako vam je cilj popraviti se samo s nalazima OWASP-a.

Integracija – možete upotrijebiti API Detectify za integraciju sa svojim aplikacijama ili sa sljedećim.

  • Slack, Pager Duty, Hipchat – odmah se obavijestite
  • JIRA – stvorite problem za nalaze
  • Trello – dobijte rezultate na ploči Trello
  • Zapier – automatizirajte tijekove rada

Veliki broj testova – kao što je spomenuto ranije, provjerava se na više od 500 ranjivosti, a neke od njih su:

  • SQL / Blind / WPML / NoSQL ubrizgavanje SQL-a
  • Kristalno skriptiranje (XSS)
  • Krivotvorenje zahtjeva na više web lokacija (CSRF)
  • Uključivanje udaljene / lokalne datoteke
  • SQL pogreška
  • Nešifrirana sesija prijave
  • Curenja informacija
  • Prevara putem e-pošte
  • Popis e-pošte / korisnika
  • Prekinuta sesija
  • XPath
  • malware

Ne radite sve sami – pozvati svoj tim da izvodi i dijeli rezultate

Prilagodite testove – svaka je aplikacija jedinstvena, pa po potrebi možete staviti prilagođeni kolačić / korisničke agente / zaglavlja, promijeniti ponašanje ispitivanja i s različitih uređaja.

Kontinuirana sigurnosna ažuriranja – Alat se redovito ažurira kako bi se osiguralo sve najnovije ranjivosti pokriveni su i testirani. Za primjer, samo prošli tjedan, ažurirano je više od deset novih testova.

CMS sigurnost – ako imate blog, informativnu web stranicu, e-trgovinu, tada ćete je najvjerojatnije koristiti CMS poput WordPress-a, Joomle, Drupal-a, Magento-a, a dobra vijest je da su obuhvaćeni sigurnosnim testom.

Detectify obavlja CMS posebno test da se osigura da vaša web stranica nije izložena internetskim prijetnjama koje mogu proizići iz njih.

Skeniranje zaštićene stranice – pregledajte stranicu koja se nalazi iza prijave.

Početak rada s Detectify

Otkrivanje ponuda 14 dana BESPLATNO probno razdoblje (nije potrebna kreditna kartica). Nakon toga stvorit ću probni račun i izvršiti sigurnosni test na svojoj web lokaciji.

  • Dobit ćete potvrdu e-poštom za potvrdu računa

  • Kliknite “Provjerite e-poštu da biste je započeli” i bit ćete preusmjereni na nadzornu ploču s ekranom dobrodošlice.

  • Možda će vas zanimati navigacija kroz detaljni vodič ili gledanje videa, ali za sada ću zatvoriti prozor.

Do sad ste kreirali svoj račun i spremni ste dodati web mjesto da biste pokrenuli skeniranje. Na nadzornoj ploči vidjet ćete izbornik “opsega & ciljevi,”Kliknite na to.

Postoje dva načina za dodavanje djelokrug (URL).

  1. ručno – unesite URL ručno
  2. automatsko – uvesti URL s usluge Google Analytics

Odaberite onu koja vam se sviđa. Nastavit ću uvozom putem Google Analytics.

  • Kliknite “Koristi Google Analytics” i ovjerite svoj Google račun kako biste preuzeli podatke o URL-u. Nakon dodavanja trebali biste vidjeti podatke o URL-u.

To zaključuje da ste dodali URL u otkrivanje i kad god ste spremni možete pokrenuti skeniranje na zahtjev ili raspored da biste ga pokrenuli dnevno, tjedno ili mjesečno.

Izvođenje sigurnosnog skeniranja

To je zabava vrijeme sada!

  • Idemo na nadzornu ploču i kliknite URL koji ste upravo dodali.
  • Kliknite “Započni skeniranje“Na desnom dnu

Pokrenut će skeniranje u sedam koraka kao što slijedi i trebali biste vidjeti status svakog

  • Počevši
  • Skupljanje informacija
  • Puzeći
  • Identifikacija
  • Analiza informacija
  • eksploatacija
  • finalizacija

Potpuno skeniranje će potrajati neko vrijeme (otprilike 3-4 sata na temelju veličine web mjesta). Možete zatvoriti preglednik i dobit ćete obavijest e-poštom Nakon što je skeniranje završeno.

Bilo je potrebno oko 3,5 sata da završim skeniranje Geek Flare-a, i shvatio sam.

Možete kliknuti e-poštu ili se prijaviti na nadzornu ploču da biste je vidjeli izvješće.

Istraživanje izvješća o otkrivanju

Izvještavanje je ono što bi vlasnik web mjesta ili sigurnosni analitičar tražio. to je osnovni kao što ćete trebati popraviti nalaze koje vidite u izvješću.

Kad se prijavite na nadzornu ploču, vidjet ćete popis vaših web stranica.

Možete vidjeti zadnji datum skeniranja & vrijeme, neki nalazi i ukupni rezultat.

  • Crvena ikona – visoka
  • Žuta ikona – srednja
  • Plava ikona – niska

Visoka je ozbiljnost opasno, i uvijek bi trebao biti prvi koji se popravio na vašoj listi prioriteta.

Pogledajmo detaljno izvješće. Kliknite web stranicu s nadzorne ploče i ona će vas odvesti na stranicu s pregledom.

Ovdje imate dvije mogućnosti pod “Ocjena prijetnji.” Ili možete vidjeti nalaz na liniji ili ih izvoziti u PDF.

Izvezio sam svoje izvješće u PDF-u, a bilo je to 351 stranica, to je opširan.

Brzi primjer internetskih nalaza možete ih proširiti da biste vidjeli detaljne informacije.

Svaki je rezultat objašnjen na jasan i mogući način preporuke pa ako ste sigurnosni analitičar; izvješće treba dati dovoljno informacija da ih popravite.

OWASP top 10 izvještavanja – ako vas samo zanima OWASP top 10 izvještaj o sigurnosnim stavkama, a zatim ih možete pogledati u odjeljku “Izvještaji“Na lijevoj navigacijskoj traci.

Dakle, naprijed i pogledajte u izvještaj da vidite što morate popraviti. Nakon što popravite nalaz, možete pokrenuti skeniranje ponovo kako biste ga provjerili.

Istraživanje postavki otkrivanja

Postoje neke korisne postavke s kojima se možda želite igrati okolo na temelju zahtjeva.

Pod Postavke >> Osnovni, temeljni

Zahtjev za ograničenje – ako želite Detectify ograničiti broj zahtjeva koje postavlja u vašoj web stranici u sekundi, ovdje ih možete prilagoditi. Prema zadanim postavkama onemogućeno je.

poddomena – možete uputiti Detectify da ne otkrije poddomene za skeniranje. Omogućeno je prema zadanim postavkama.

Postavljanje ponavljajućih skeniranja – promijenite raspored izvođenja sigurnosnog skeniranja dnevno, tjedno ili mjesečno. Prema zadanim postavkama konfigurirano je za pokretanje tjedno.

Pod Postavke >> Napredna

Prilagođeni kolačić & Zaglavlje – dobavi svoj prilagođeni kolačić i zaglavlje za test

Skeniranje s mobilnog uređaja – možete pokrenuti skeniranje s različitih korisničkih agenata. Korisno ako se želite testirati kao mobilni korisnik, prilagođeni klijent itd.

Onemogući specifičan test – ne želite testirati neke određene sigurnosne stavke? Možete ga onemogućiti odavde.

Za vas …

Ako ozbiljno tražite sigurnosne ranjivosti od hakerska perspektiva, a zatim pokušajte otkriti. Možeš stvorite probni račun istražiti značajke.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map