วิธีการวิเคราะห์เว็บไซต์ของคุณเช่น Hacker เพื่อค้นหาช่องโหว่?

คำแนะนำทีละขั้นตอนในการค้นหาข้อบกพร่องด้านความปลอดภัยภายในเว็บแอปพลิเคชันโดยใช้ Detectify สแกนเนอร์ช่องโหว่ความปลอดภัย.


97% ของแอปพลิเคชันที่ทดสอบโดย TrustWave เสี่ยงต่อความเสี่ยงด้านความปลอดภัยอย่างน้อยหนึ่งรายการ.

โพสต์บล็อกนี้ได้รับความร่วมมือจาก Detectify.

ช่องโหว่ของเว็บแอปพลิเคชันอาจทำให้เกิด ธุรกิจ และ ชื่อเสียง การสูญเสียให้กับ บริษัท หากไม่ได้รับการแก้ไขในเวลา.

ความจริงที่น่าเศร้าคือเว็บไซต์ส่วนใหญ่มีช่องโหว่อยู่เกือบตลอดเวลา น่าสนใจ รายงานโดย White Hat Security แสดงค่าเฉลี่ยวันเพื่อแก้ไขช่องโหว่ตามอุตสาหกรรม.

คุณมั่นใจได้อย่างไรว่าคุณเป็น ทราบ ของช่องโหว่ที่รู้จักและไม่รู้จักในเว็บแอปพลิเคชันของคุณ?

มีสแกนเนอร์รักษาความปลอดภัยบนคลาวด์มากมายที่ช่วยคุณได้ ในบทความนี้ฉันจะพูดถึงหนึ่งในแพลตฟอร์ม SaaS ที่มีแนวโน้มมากที่สุด – Detectify.

Detectify ทำงานร่วมกับกระบวนการพัฒนาของคุณเพื่อค้นหาความเสี่ยงด้านความปลอดภัยที่ ช่วงแรก ๆ (สภาพแวดล้อมการจัดเตรียม / ไม่ใช่การผลิต) ดังนั้นคุณจึงต้องลดปัญหาเหล่านั้นก่อนที่จะใช้งานจริง.

การรวมการพัฒนาเป็นเพียงหนึ่งในหลาย ๆ คุณสมบัติที่ยอดเยี่ยม และเป็นทางเลือกถ้าคุณไม่มีสภาพแวดล้อมการจัดเตรียม.

Detectify ใช้ซอฟต์แวร์รวบรวมข้อมูลที่สร้างขึ้นภายในเพื่อรวบรวมข้อมูลเว็บไซต์ของคุณและเพิ่มประสิทธิภาพการทดสอบตามเทคโนโลยีที่ใช้ในเว็บแอปพลิเคชัน.

เมื่อรวบรวมข้อมูลเว็บไซต์ของคุณผ่านการทดสอบมานานกว่า 500 ช่องโหว่รวมถึง OWASP 10 อันดับแรก, และให้รายงานที่สามารถดำเนินการได้ในการค้นหาแต่ละครั้ง.

ตรวจจับคุณสมบัติ

คุณสมบัติที่กล่าวถึงบางส่วน ได้แก่ :

รายงาน – คุณสามารถส่งออกผลการสแกนเป็นข้อมูลสรุปหรือรายงานฉบับเต็ม คุณมีตัวเลือกในการส่งออกเป็น PDF, JSON หรือ Trello คุณยังสามารถดูรายงานได้โดย OWASP 10 อันดับแรก; สิ่งนี้จะเป็นประโยชน์หากเป้าหมายของคุณคือแก้ไขด้วยการค้นพบ OWASP เท่านั้น.

บูรณาการ – คุณสามารถใช้ Detectify API เพื่อรวมกับแอปพลิเคชันของคุณหรือต่อไปนี้.

  • Slack, Pager Duty, Hipchat – รับการแจ้งเตือนทันที
  • จิรา – สร้างปัญหาสำหรับการค้นพบ
  • Trello – รับผลในกระดาน Trello
  • Zapier – เวิร์กโฟลว์อัตโนมัติ

การทดสอบจำนวนมาก – ดังกล่าวก่อนหน้านี้จะทำการตรวจหาช่องโหว่มากกว่า 500 ช่องโหว่และช่องโหว่บางช่อง ได้แก่ :

  • การฉีด SQL / Blind / WPML / NoSQL SQL
  • การเขียนสคริปต์ข้ามไซต์ (XSS)
  • การปลอมแปลงคำขอข้ามไซต์ (CSRF)
  • รวมไฟล์ระยะไกล / ท้องถิ่น
  • ข้อผิดพลาดของ SQL
  • เซสชันล็อกอินที่ไม่ได้เข้ารหัส
  • การรั่วไหลของข้อมูล
  • การปลอมแปลงอีเมล
  • การแจงนับอีเมล / ผู้ใช้
  • เซสชั่นที่ใช้งานไม่ได้
  • XPATH
  • มัลแวร์

อย่าทำทุกอย่างคนเดียว – เชิญทีมของคุณดำเนินการและแบ่งปันผลลัพธ์

ปรับแต่งการทดสอบ – ทุกแอปพลิเคชันไม่ซ้ำกันดังนั้นหากจำเป็นคุณสามารถใส่คุกกี้ / ตัวแทนผู้ใช้ / ส่วนหัวที่กำหนดเองเปลี่ยนพฤติกรรมการทดสอบและจากอุปกรณ์ที่แตกต่างกัน.

อัปเดตความปลอดภัยอย่างต่อเนื่อง – เครื่องมือมีการปรับปรุงเป็นประจำเพื่อให้แน่ใจว่าทั้งหมด ช่องโหว่ล่าสุด ได้รับการคุ้มครองและทดสอบ ตัวอย่างเช่นเมื่อสัปดาห์ที่แล้ว, อัปเดตมากกว่าสิบการทดสอบใหม่แล้ว.

ความปลอดภัย CMS – หากคุณใช้งานบล็อกเว็บไซต์ข้อมูลอีคอมเมิร์ซมักเป็นไปได้ว่าคุณจะใช้ CMS เช่น WordPress, Joomla, Drupal, Magento และข่าวดีก็คือพวกเขาจะครอบคลุมในการทดสอบความปลอดภัย.

ตรวจจับการทำงาน โดยเฉพาะ CMS ทดสอบเพื่อให้แน่ใจว่าเว็บไซต์ของคุณไม่ได้สัมผัสกับภัยคุกคามออนไลน์ที่อาจเกิดขึ้นจากพวกเขา.

สแกนหน้าที่ได้รับการป้องกัน – เรียกดูหน้าเว็บที่อยู่ด้านหลังการเข้าสู่ระบบ.

เริ่มต้นด้วยการตรวจหา

ตรวจหาข้อเสนอ ทดลองใช้ฟรี 14 วัน (ไม่ต้องใช้บัตรเครดิต) ต่อไปนี้ฉันจะสร้างบัญชีทดลองและทำการทดสอบความปลอดภัยบนเว็บไซต์ของฉัน.

  • คุณจะได้รับอีเมลยืนยันเพื่อยืนยันบัญชี

  • คลิก“ ยืนยันอีเมลเพื่อเริ่มต้น” และคุณจะถูกนำไปยังแผงควบคุมด้วยหน้าจอทัวร์ต้อนรับ.

  • คุณอาจสนใจในการนำทางทีละขั้นตอนหรือดูวิดีโอ แต่ตอนนี้ฉันจะปิดหน้าต่าง.

ถึงตอนนี้คุณได้สร้างบัญชีของคุณแล้วและพร้อมที่จะเพิ่มเว็บไซต์เพื่อเรียกใช้การสแกน บนแดชบอร์ดคุณจะเห็นเมนู“ขอบเขต & เป้าหมาย,” คลิกที่.

มีสองวิธีในการเพิ่ม ขอบเขต (URL).

  1. ด้วยมือ – ป้อน URL ด้วยตนเอง
  2. อัตโนมัติ – นำเข้า URL ด้วย Google Analytics

เลือกคนที่คุณชอบ ฉันจะดำเนินการต่อโดยนำเข้าผ่าน Google Analytics.

  • คลิก “ใช้ Google Analytics” และตรวจสอบสิทธิ์บัญชี Google ของคุณเพื่อดึงข้อมูล URL เมื่อเพิ่มแล้วคุณควรเห็นข้อมูล URL.

นี่เป็นการสรุปว่าคุณได้เพิ่ม URL เพื่อตรวจจับและเมื่อใดก็ตามที่พร้อมคุณสามารถเรียกใช้งานสแกนตามต้องการหรือ ตารางเวลา เพื่อเรียกใช้เป็นรายวันรายสัปดาห์หรือรายเดือน.

เรียกใช้การสแกนเพื่อความปลอดภัย

มันเป็น สนุก เวลาตอนนี้!

  • ไปที่แผงควบคุมแล้วคลิก URL ที่คุณเพิ่งเพิ่มเข้าไป.
  • คลิก“เริ่มสแกน” ที่ด้านล่างขวา

มันจะเริ่มสแกน เจ็ดขั้นตอน ดังต่อไปนี้และคุณควรเห็นสถานะของแต่ละรายการ

  • ที่เริ่มต้น
  • การรวบรวมข้อมูล
  • การคลาน
  • พิมพ์ลายนิ้วมือ
  • การวิเคราะห์ข้อมูล
  • การแสวงหาผลประโยชน์
  • สรุป

จะใช้เวลาสักครู่ (ประมาณ 3-4 ชั่วโมงตามขนาดเว็บไซต์) เพื่อทำการสแกนแบบเต็ม คุณสามารถปิดเบราว์เซอร์และคุณจะได้รับ แจ้งเตือนทางอีเมล เมื่อการสแกนเสร็จสิ้น.

ใช้เวลาประมาณ 3.5 ชั่วโมงในการสแกน Geek Flare ให้เสร็จและฉันได้รับสิ่งนี้.

คุณสามารถคลิกที่อีเมลหรือเข้าสู่แดชบอร์ดเพื่อดู รายงาน.

การสำรวจตรวจหารายงาน

การรายงานเป็นสิ่งที่เจ้าของเว็บไซต์หรือนักวิเคราะห์ความปลอดภัยจะมองหา มัน สำคัญ คุณจะต้องแก้ไขข้อค้นพบที่คุณเห็นในรายงาน.

เมื่อคุณเข้าสู่แดชบอร์ดคุณจะเห็นรายการเว็บไซต์ของคุณ.

คุณสามารถดูวันที่สแกนล่าสุด & เวลาผลการวิจัยบางส่วนและคะแนนโดยรวม.

  • ไอคอนสีแดง – สูง
  • ไอคอนสีเหลือง – ขนาดกลาง
  • ไอคอนสีน้ำเงิน – ต่ำ

ความรุนแรงสูงคือ เป็นอันตราย, และควรเป็นคนแรกที่แก้ไขในรายการลำดับความสำคัญของคุณ.

ลองดูรายงานโดยละเอียด คลิกที่เว็บไซต์จากแผงควบคุมและจะนำคุณไปยังหน้าภาพรวม.

ที่นี่คุณมีสองตัวเลือกใน“ คะแนนภัยคุกคาม” คุณสามารถดูการค้นพบ ออนไลน์ หรือส่งออกไปยัง ไฟล์ PDF.

ฉันส่งออกรายงานเป็น PDF และนั่นคือหน้า 351 ลึกซึ้ง.

ตัวอย่างการค้นพบออนไลน์อย่างรวดเร็วคุณสามารถขยายพวกเขาเพื่อดูข้อมูลรายละเอียด.

แต่ละผลลัพธ์มีการอธิบายอย่างชัดเจนและเป็นไปได้ คำแนะนำ ดังนั้นหากคุณเป็นนักวิเคราะห์ความปลอดภัย รายงานควรให้ข้อมูลที่เพียงพอแก่คุณในการแก้ไข.

การรายงาน OWASP 10 อันดับแรก – หากคุณสนใจ OWASP 10 อันดับแรก รายงานรายการความปลอดภัยจากนั้นคุณสามารถดูได้ภายใต้“รายงาน” ที่แถบนำทางด้านซ้าย.

ดังนั้นไปข้างหน้าและดูในรายงานเพื่อดูสิ่งที่คุณต้องแก้ไข เมื่อคุณซ่อมแซมการค้นพบคุณสามารถเรียกใช้การสแกนอีกครั้งเพื่อตรวจสอบ.

สำรวจการตั้งค่าตรวจจับ

มีการตั้งค่าที่เป็นประโยชน์บางอย่างที่คุณอาจต้องการใช้กับมันตามความต้องการ.

ภายใต้การตั้งค่า >> ขั้นพื้นฐาน

ขอ จำกัด – หากคุณต้องการ Detectify เพื่อ จำกัด จำนวนคำขอที่มีต่อวินาทีในเว็บไซต์ของคุณคุณสามารถปรับแต่งได้ที่นี่ โดยค่าเริ่มต้นจะถูกปิดใช้งาน.

subdomain – คุณสามารถสั่ง Detectify ไม่ให้ค้นพบโดเมนย่อยสำหรับการสแกน มันเปิดใช้งานโดยค่าเริ่มต้น.

ตั้งค่าการสแกนซ้ำ ๆ – เปลี่ยนกำหนดการเพื่อเรียกใช้การสแกนความปลอดภัยรายวันรายสัปดาห์หรือรายเดือน โดยค่าเริ่มต้นจะกำหนดค่าให้ทำงานทุกสัปดาห์.

ภายใต้การตั้งค่า >> สูง

คุกกี้ที่กำหนดเอง & หัวข้อ – จัดหาคุกกี้และส่วนหัวที่กำหนดเองสำหรับการทดสอบ

สแกนจากมือถือ – คุณสามารถเรียกใช้การสแกนจากตัวแทนผู้ใช้ที่แตกต่างกัน มีประโยชน์หากคุณต้องการทดสอบเช่นผู้ใช้มือถือไคลเอนต์ที่กำหนดเอง ฯลฯ.

ปิดใช้งานการทดสอบเฉพาะ – ไม่ต้องการทดสอบรายการความปลอดภัยบางอย่างใช่ไหม คุณสามารถปิดการใช้งานได้จากที่นี่.

ไปยังคุณ…

หากคุณจริงจังกับการค้นหาช่องโหว่ด้านความปลอดภัยจาก มุมมองของแฮ็กเกอร์, จากนั้นให้ลองตรวจหา คุณสามารถ สร้างบัญชีทดลอง เพื่อสำรวจคุณสมบัติ.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map