כיצד לנתח את אתר האינטרנט שלך כמו האקר כדי למצוא פגיעויות?

מדריך אחר צעד אחר איתור ליקויי אבטחה ביישומי אינטרנט באמצעות סורק פגיעות אבטחה.


97% של יישומים שנבדקו על ידי TrustWave היו חשופים לסיכון אבטחה אחד או יותר.

פוסט בלוג זה בשיתוף פעולה עם Detectify.

פגיעות ביישומי אינטרנט עלולה לגרום עסק ו בעל שם הפסד לחברה אם אינו מתוקן במועד.

האמת העגומה היא שרוב אתרי האינטרנט פגיעים רוב הזמן. א מעניין דווח על ידי אבטחת כובע לבן מראה ימים ממוצעים לתיקון הפגיעות לפי ענף.

איך אתה מבטיח שאתה מודע של פגיעויות ידועות ובלתי ידועות ביישומי האינטרנט שלך?

ישנם סורקי אבטחה מבוססי ענן רבים שיעזרו לך בכך. במאמר זה אדבר על אחת מפלטפורמות ה- SaaS המבטיחות ביותר – לגלות.

לגלות משתלב בתהליך הפיתוח שלך בכדי למצוא את הסיכון האבטחי בשלב מוקדם (סביבת בימוי / אי-ייצור), כך שתקל עליהם לפני שתעבור לדרך.

שילוב פיתוח הוא רק אחד מהרבים תכונות מעולות ואופציונלי אם אין לך סביבת בימוי.

Detectify משתמש בסורק בנוי פנימי כדי לסרוק את אתר האינטרנט שלך ולבצע אופטימיזציה של הבדיקה על בסיס טכנולוגיות המשמשות ביישומי האינטרנט..

לאחר הסריקה האתר שלך נבדק ליותר מ- 500 פגיעויות, כולל OWASP המדורגת 10, ולתת לך דוח הניתן לפעולה של כל ממצא.

זיהוי תכונות

חלק מהתכונות ששווה להזכיר הן:

דיווח – אתה יכול לייצא את תוצאות הסריקה כסיכום או כדוח מלא. יש לך אפשרות לייצא כ- PDF, JSON או Trello. אתה יכול גם להציג את הדוח עד OWASP המדורגים 10; זה יהיה שימושי אם המטרה שלך היא לתקן רק עם ממצאי OWASP.

שילוב – אתה יכול להשתמש ב- Detectify API כדי להשתלב עם היישומים שלך או עם הדברים הבאים.

  • רפיון, חובה הביפר, היפצ’ט – קבל הודעה מיידית
  • JIRA – צור נושא לממצאים
  • טרלו – קבל את התוצאות בלוח טרלו
  • Zapier – זרימות עבודה אוטומטיות

מספר גדול של בדיקות – כאמור, הוא בודק יותר מ- 500 פגיעויות, וחלקן הן:

  • הזרקת SQL / עיוור / WPML / NoSQL
  • סקריפטים בין אתרים (XSS)
  • זיוף בקשות חוצות-אתרים (CSRF)
  • הכללת קבצים מרחוק / מקומי
  • שגיאת SQL
  • הפעלת כניסה לא מוצפנת
  • דליפות מידע
  • זיוף דוא”ל
  • ספירת דוא”ל / משתמש
  • מושב שבור
  • XPATH
  • תוכנות זדוניות

אל תעשו הכל לבד – הזמינו את הצוות שלכם לבצע ולשתף את התוצאות

התאם אישית בדיקות – כל יישום הוא ייחודי, כך שבמידת הצורך תוכלו להציב את קובצי ה- cookie / סוכני משתמש / כותרות מותאמים אישית, לשנות את התנהגות הבדיקה וממכשירים שונים..

עדכוני אבטחה מתמשכים – הכלי מתעדכן באופן קבוע כדי להבטיח את כל פגיעויות אחרונות מכוסים ונבדקים. למשל, רק בשבוע שעבר, יותר מעשרה בדיקות חדשות עודכנו.

אבטחת CMS – אם אתה מנהל בלוג, אתר מידע, מסחר אלקטרוני, סביר להניח שתשתמש CMS כמו וורדפרס, ג’ומלה, דרופל, מג’נטו, והחדשות הטובות הן שהם מכוסים במבחן האבטחה.

זיהוי מבצעים CMS בפרט מבחן כדי להבטיח שאתרך לא יחשף לאיומים מקוונים שעלולים לנבוע מהם.

סרוק עמוד מוגן – דפדף בדף שמאחורי הכניסה.

תחילת העבודה עם Detify

גלה הצעות 14 ימי ניסיון בחינם (אין צורך בכרטיס אשראי). בהמשך אצור חשבון ניסיון ואבצע את בדיקת האבטחה באתר שלי.

  • תקבל אישור בדוא”ל לאימות החשבון

  • לחץ על “אמת את הדוא”ל כדי להתחיל”, ותנותב מחדש ללוח המחוונים עם מסך סיור מבורך..

  • יתכן שתהיה מעוניין לנווט במדריך צעד אחר צעד או לצפות בסרטון, אך לעת עתה, אני אסגור את החלון.

בשלב זה נוצר חשבונך ומוכן להוסיף את האתר להפעלת הסריקה. במרכז השליטה תראה תפריט “טווחים & יעדים,לחץ על זה.

ישנן שתי דרכים להוסיף את ה- היקף (URL).

  1. ידנית – הזן את כתובת האתר ידנית
  2. באופן אוטומטי – ייבא את כתובת האתר באמצעות Google Analytics

בחר את אחד שאתה אוהב. אני אמשיך בייבוא ​​דרך גוגל ניתוח נתונים.

  • לחץ על “השתמש ב- Google Analytics” ואמת את חשבון Google שלך ​​כדי לאחזר את פרטי ה- URL. לאחר הוספה, אתה אמור לראות את פרטי ה- URL.

זה מסכם שהוספת את כתובת ה- URL לאתר, ובכל פעם שאתה מוכן, תוכל להריץ את הסריקה לפי דרישה או לוח זמנים להריץ אותו מדי יום, שבועי או חודשי.

הפעלת סריקת אבטחה

זה כיף עכשיו!

  • בוא נלך למרכז השליטה ולחץ על כתובת האתר שהוספת זה עתה.
  • לחץ על “התחל סריקה“בתחתית ימין

זה יתחיל את הסריקה פנימה שבע מדרגות כדלקמן ועליך לראות את הסטטוס של כל אחד

  • מתחיל
  • איסוף מידע
  • זחילה
  • טביעת אצבע
  • ניתוח מידע
  • ניצול
  • סיום

זה ייקח זמן (כ 3-4 שעות מבוסס על גודל האתר) כדי להפעיל את הסריקה המלאה. אתה יכול לסגור את הדפדפן, ותקבל הודעה בדוא”ל לאחר סיום הסריקה.

לקח בערך 3.5 שעות כדי להשלים את הסריקה של התלקחות Geek, וקיבלתי את זה.

אתה יכול ללחוץ על דוא”ל או להתחבר ללוח מחוונים כדי להציג את להגיש תלונה.

בחינת דוח איתור

דיווח זה מה שמחפש בעל אתר או אנליסט אבטחה. זה כן חיוני כפי שתצטרך לתקן את הממצאים שאתה רואה בדוח.

כשתתחבר ללוח המחוונים, תראה את רשימת האתר שלך.

אתה יכול לראות את תאריך הסריקה האחרון & תזמון, כמה ממצאים וציון כולל.

  • אייקון אדום – גבוה
  • אייקון צהוב – בינוני
  • סמל כחול – נמוך

חומרה גבוהה היא מסוכן, וזה תמיד אמור להיות הראשון לתקן ברשימת העדיפות שלך.

בואו נסתכל על הדו”ח המפורט. לחץ על האתר ממרכז השליטה וזה יעביר אותך לדף הסקירה.

כאן עומדות בפניך שתי אפשרויות תחת ‘ציון האיום’. או שתוכלו לראות את הממצא באינטרנט או לייצא אותם ל- PDF.

ייצאתי את הדוח שלי ב- PDF וזה היה 351 עמודים עומק.

דוגמה מהירה לממצאים מקוונים, אתה יכול להרחיב אותם כדי לראות את המידע המפורט.

כל תוצאה מוסברת בצורה ברורה ואפשרית המלצות אז אם אתה מנתח אבטחה; דוח אמור לתת לך מספיק מידע כדי לתקן אותם.

10 הדיווחים המובילים של OWASP – אם אתה רק מעוניין OWASP המדורגים 10 דוח פריטי אבטחה ואז תוכל להציג אותם תחת “דיווחים”בסרגל הניווט השמאלי.

אז קדימה, בדוק את הדוח כדי לראות מה יש לך לתקן. לאחר שתתקן את הממצא, תוכל להפעיל את הסריקה שוב כדי לאמת אותה.

חקר הגדרות זיהוי

ישנן כמה הגדרות שימושיות שאולי תרצו לשחק איתה על בסיס הדרישה.

תחת הגדרות >> בסיסי

הגבלת בקשה – אם אתה רוצה ש Detectify יגביל את מספר הבקשות שהוא מגיש בשנייה לאתר שלך, תוכל להתאים אישית כאן. כברירת מחדל, הוא מושבת.

תת-דומיין – אתה יכול להורות ל Detify לא לגלות תת-דומיין לסריקה. זה מופעל כברירת מחדל.

הגדרת סריקות חוזרות – שנה את לוח הזמנים להפעלת סריקת האבטחה מדי יום, שבועי או חודשי. כברירת מחדל, הוא מוגדר לפעול שבועי.

תחת הגדרות >> מתקדם

עוגיה בהתאמה אישית & כותרת – ספק את העוגיה והכותרת המותאמת אישית שלך למבחן

סרוק מהנייד – אתה יכול להפעיל את הסריקה מגורם משתמש אחר. שימושי אם ברצונך לבדוק כמו משתמש נייד, לקוח מותאם אישית וכו ‘.

השבת את הבדיקה הספציפית – לא רוצים לבדוק כמה פריטי אבטחה ספציפיים? אתה יכול להשבית את זה מכאן.

אליך…

אם אתה רציני באיתור פגיעויות אבטחה מ נקודת מבט ההאקר, ואז לנסות לאתר. אתה יכול צור חשבון ניסיון לחקור את התכונות.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map