Kako analizirati vašo spletno stran, kot je Hacker, da bi našli ranljivosti?

Navodila po korakih za iskanje pomanjkljivosti varnosti v spletnih aplikacijah s pomočjo prepoznavanja varnostnega bralnika.


97% aplikacij, ki jih je preizkusil TrustWave, je bilo izpostavljeno enemu ali več varnostnim tveganjem.

Ta spletna objava je v sodelovanju z Detectify.

Lahko pride do ranljivosti spletnih aplikacij posel in ugledni izguba družbe, če je ne odpravimo pravočasno.

Žalostna resnica je, da je večina spletnih strani večino časa ranljiva. An zanimivo poročilo Varnost White Hat prikazuje povprečne dni za odpravo ranljivosti po panogah.

Kako zagotavljate, da ste zavedajoč se znanih in neznanih ranljivosti v vaših spletnih aplikacijah?

Obstaja veliko varnostnih bralnikov, ki temeljijo na oblaku, da vam pomagajo pri tem. V tem članku bom govoril o eni najbolj obetavnih SaaS platform – Odkrijte.

Odkrijte se vključi v svoj razvojni postopek, da poišče varnostno tveganje na v zgodnji fazi (uprizoritveno / neprodukcijsko okolje), zato jih omilite pred začetkom uporabe.

Razvojna integracija je le ena izmed mnogih odlične lastnosti in neobvezno, če nimate uprizoritvenega okolja.

Detectify uporablja notranje vgrajen pajek za pajkanje vašega spletnega mesta in optimizacijo testa na podlagi tehnologij, uporabljenih v spletnih aplikacijah.

Ko je spletno vsebino preiskovano, je preizkušeno več kot 500 ranljivosti, vključno z OWASP top 10, in o vsaki ugotovitvi vam dajo uporabno poročilo.

Odkrivanje funkcij

Nekaj ​​pomembnih lastnosti je omeniti:

Poročanje – rezultate skeniranja lahko izvozite kot povzetek ali celotno poročilo. Imate možnost izvoza v PDF, JSON ali Trello. Poročilo si lahko ogledate tudi do OWASP top 10; to bi bilo priročno, če bi bil vaš cilj odpraviti samo ugotovitve OWASP.

Integracija – API za prepoznavanje lahko uporabite za integracijo s svojimi aplikacijami ali z naslednjimi.

  • Slack, Pager Duty, Hipchat – takoj obvestite
  • JIRA – ustvarite vprašanje za ugotovitve
  • Trello – dobite rezultate na plošči Trello
  • Zapier – samodejni potek dela

Veliko število testov – kot smo že omenili, preverja več kot 500 ranljivosti in nekatere od njih so:

  • SQL / Blind / WPML / NoSQL Vbrizgavanje SQL
  • Prepisovanje na več mestih (XSS)
  • Ponarejanje zahteve na več mestih (CSRF)
  • Oddaljena / lokalna vključitev datotek
  • Napaka SQL
  • Nešifrirana seja za prijavo
  • Pretok informacij
  • Prevara po e-pošti
  • Naštevanje e-pošte / uporabnika
  • Prekinjena seja
  • XPATH
  • Zlonamerna programska oprema

Ne delajte vsega sam – povabite svojo ekipo k nastopu in izmenjavi rezultatov

Prilagodite teste – vsaka aplikacija je edinstvena, zato lahko po potrebi vstavite piškotek po meri / uporabniške agente / glave, spremenite testno vedenje in iz različnih naprav.

Nenehne varnostne posodobitve – Orodje se redno posodablja, da se zagotovi vse najnovejše ranljivosti so zajeti in testirani. Na primer, samo prejšnji teden, posodobljenih je bilo več kot deset novih testov.

Varnost CMS – če imate blog, informativno spletno mesto, e-trgovino, potem boste najverjetneje uporabljali CMS kot so WordPress, Joomla, Drupal, Magento, dobra novica pa je, da so zajeti v varnostnem testu.

Detectify izvaja Zlasti CMS preskus, da se prepričate, da vaše spletno mesto ni izpostavljeno spletnim grožnjam, ki bi lahko nastale zaradi njih.

Skeniranje zaščitena stran – brskajte po strani za prijavo.

Uvod v Detectify

Odkrijte ponudbe 14 dni BREZPLAČNO preizkušanje (kreditna kartica ni potrebna). V nadaljevanju bom ustvaril preskusni račun in opravil varnostni test na svojem spletnem mestu.

  • Za potrditev računa boste prejeli e-poštno sporočilo

  • Kliknite »Preverite e-poštno sporočilo, da ga začnete«, in preusmerjeni boste na nadzorno ploščo z zaslonom dobrodošlice..

  • Morda vas bo zanimala navigacija po priročniku po korakih ali gledanje videoposnetka, vendar zaenkrat zaprem okno.

Do zdaj ste ustvarili svoj račun in pripravljeni dodati spletno mesto za izvajanje skeniranja. Na nadzorni plošči boste videli meni “Področje uporabe & Cilji,”Kliknite na to.

Obstajata dva načina Obseg (URL).

  1. Ročno – ročno vnesite URL
  2. Samodejno – uvozite URL z Google Analytics

Izberite tistega, ki vam je všeč. Nadaljeval bom z uvozom skozi Google Analytics.

  • Kliknite »Uporabi Google Analytics« in potrdi svoj Google Račun za pridobivanje podatkov o URL-ju. Ko dodate, bi morali videti podatke o URL-ju.

S tem zaključimo, da ste dodali URL za zaznavanje in kadar koli ste pripravljeni, lahko zaženete skeniranje na zahtevo oz. urnik da ga izvajate dnevno, tedensko ali mesečno.

Zagon varnostnega skeniranja

Je zabavno čas zdaj!

  • Pojdimo na nadzorno ploščo in kliknite URL, ki ste ga pravkar dodali.
  • Kliknite »Zaženite optično branje“Na desnem dnu

Skeniranje se bo začelo sedem korakov kot sledi in bi morali videti status vsakega

  • Začetek
  • Zbiranje informacij
  • Plazenje
  • Odtisi prstov
  • Analiza informacij
  • Izkoriščanje
  • Dokončanje

Popolno skeniranje bo trajalo nekaj časa (približno 3-4 ure glede na velikost spletnega mesta). Brskalnik lahko zaprete in dobili boste obvestilo po e-pošti ko je pregled končan.

Trajalo je približno 3,5 ure, da sem opravil pregled Geek Flare in to sem dobil.

Če si želite ogledati, lahko kliknete e-pošto ali se prijavite na nadzorno ploščo poročilo.

Raziskovanje Odkrivanje poročila

Poročanje je tisto, kar bi iskal lastnik spletnega mesta ali varnostni analitik. Je bistvenega pomena saj boste morali popraviti ugotovitve, ki jih vidite v poročilu.

Ko se prijavite na nadzorno ploščo, boste videli seznam svojega spletnega mesta.

Lahko vidite zadnji datum skeniranja & čas, nekatere ugotovitve in skupni rezultat.

  • Rdeča ikona – visoka
  • Rumena ikona – srednje
  • Modra ikona – nizka

Velika resnost je nevarno, in na svojem seznamu prednostnih nalog mora biti vedno prvi.

Poglejmo podrobno poročilo. Na nadzorni plošči kliknite spletno mesto in prišlo vas bo do strani s pregledom.

Tu imate na voljo dve možnosti pod “Ocena nevarnosti.” Najdbo si lahko ogledate na spletu ali jih izvoziti v PDF.

Izvozila sem svoje poročilo v PDF-ju in to je bilo 351 strani poglobljeno.

Hiter primer spletnih ugotovitev, razširite jih lahko, če želite videti podrobne informacije.

Vsak rezultat je pojasnjen jasno in možno priporočila torej če ste varnostni analitik; poročilo naj vam da dovolj informacij, da jih popravite.

OWASP najboljših 10 poročanja – če vas samo zanima OWASP top 10 poročila o varnostnih elementih, nato pa si jih lahko ogledate pod “Poročila“Na levi vrstici za krmarjenje.

Zato pojdite naprej in poglejte v poročilo, da vidite, kaj morate popraviti. Ko popravite ugotovitev, lahko znova zaženete pregled, da ga preverite.

Raziskovanje nastavitev zaznavanja

Obstaja nekaj koristnih nastavitev, s katerimi se boste morda želeli igrati z njimi glede na zahtevo.

V nastavitvah >> osnovni

Omejitev zahteve – če želite Detectify omejiti število zahtev, ki jih na vašo spletno stran vloži na sekundo, lahko tukaj prilagodite. Privzeto je onemogočen.

Poddomena – lahko naročite odkrivanju, da ne odkrije poddomene za pregled. Privzeto je omogočeno.

Nastavite ponavljajoče se preglede – spremenite urnik za izvajanje varnostnega skeniranja dnevno, tedensko ali mesečno. Privzeto je nastavljeno, da se izvaja vsak teden.

V nastavitvah >> Napredno

Piškotek po meri & glava – priskrbite svoj piškotek in glavo po meri za test

Optično branje z mobilnega telefona – skeniranje lahko zaženete z različnih uporabniških agentov. Koristno, če se želite preizkusiti kot mobilni uporabnik, odjemalec po meri itd.

Onemogoči specifični test – ne želite preizkusiti nekaterih posebnih varnostnih elementov? Tu ga lahko onemogočite.

Nazaj k tebi…

Če resno iščete varnostne ranljivosti od hekerska perspektiva, nato poskusite zaznati. Ti lahko ustvarite preizkusni račun raziskati značilnosti.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map