Ako analyzovať vaše webové stránky ako Hacker, aby našli chyby?

Sprievodca krok za krokom k nájdeniu bezpečnostných nedostatkov vo webových aplikáciách pomocou skenera Zistiť bezpečnostné chyby.


97% aplikácií testovaných spoločnosťou TrustWave bolo zraniteľné voči jednému alebo viacerým bezpečnostným rizikám.

Tento blogový príspevok je v spolupráci so službou Detectify.

Môže spôsobiť zraniteľnosť webovej aplikácie obchodné a povesti strata spoločnosti, ak nebude napravená včas.

Smutná pravda je, že väčšina webových stránok je väčšinou zraniteľná. zaujímavý podať správu White Hat Security zobrazuje priemerné dni na odstránenie zraniteľnosti podľa odvetvia.

Ako sa ubezpečujete, že ste vedomý známych a neznámych zraniteľností vo vašich webových aplikáciách?

Pomáha vám s tým veľa bezpečnostných skenerov typu cloud. V tomto článku budem hovoriť o jednej z najsľubnejších platforiem SaaS – Detectify.

Detectify integruje sa do vášho vývojového procesu s cieľom nájsť bezpečnostné riziko na skoré štádium (inscenácie / nevýrobné prostredie), aby ste ich pred uvedením do prevádzky zmiernili.

Integrácia rozvoja je len jedným z mnohých vynikajúce vlastnosti a voliteľné, ak nemáte pracovné prostredie.

Aplikácia Detectify používa interne zostavený prehľadávač na prehľadávanie vašich webových stránok a optimalizáciu testu na základe technológií používaných vo webových aplikáciách.

Po indexovom prehľadaní je váš web testovaný na viac ako 500 slabých miest, vrátane OWASP top 10, a dá vám správu o každom náleze.

Zistiť funkcie

Niektoré z užitočných funkcií sú:

hlásenie – výsledky kontroly môžete exportovať ako súhrn alebo úplnú správu. Máte možnosť exportovať ako PDF, JSON alebo Trello. Prehľad môžete zobraziť aj podľa OWASP top 10; bolo by to užitočné, ak je vaším cieľom opraviť iba nálezy OWASP.

integrácia – Pomocou rozhrania Detectify API môžete integrovať svoje aplikácie alebo nasledujúce položky.

  • Slack, Pager Duty, Hipchat – okamžite informovaný
  • JIRA – vytvoriť problém pre zistenia
  • Trello – získajte výsledky v rade Trello
  • Zapier – automatizujte pracovné toky

Veľké množstvo testov – ako už bolo uvedené, kontroluje viac ako 500 zraniteľností a niektoré z nich sú:

  • SQL / Blind / WPML / NoSQL SQL injekcia
  • Skriptovanie viacerých stránok (XSS)
  • Falšovanie žiadostí na viacerých stránkach (CSRF)
  • Vzdialené / lokálne zahrnutie súboru
  • Chyba SQL
  • Nešifrovaná relácia prihlásenia
  • Únik informácií
  • E-mail spoofing
  • Počet e-mailov / používateľov
  • Zlomená relácia
  • XPath
  • malware

Nerobte všetko sám – pozvať váš tím, aby vykonal a podelil sa o výsledky

Prispôsobte testy – každá aplikácia je jedinečná, takže v prípade potreby môžete vložiť vlastné súbory cookie / používateľské agenty / hlavičky, zmeniť testovacie správanie a z rôznych zariadení.

Neustále aktualizácie zabezpečenia – Nástroj sa pravidelne aktualizuje, aby sa zabezpečilo všetko najnovšie zraniteľné miesta sú zakryté a testované. Napríklad minulý týždeň, bolo aktualizovaných viac ako desať nových testov.

Zabezpečenie CMS – ak prevádzkujete blog, webovú stránku s informáciami, elektronický obchod, s najväčšou pravdepodobnosťou ich budete používať CMS ako WordPress, Joomla, Drupal, Magento a dobrá správa je, že sa na ne vzťahuje bezpečnostný test.

Zistiť výkony Konkrétne CMS test, či vaše webové stránky nie sú vystavené online hrozbám, ktoré z nich mohli vyplynúť.

Naskenujte chránenú stránku – prehľadajte stránku, ktorá je za prihlásením.

Začíname s detekciou

Zistiť ponuky 14-dňová skúšobná verzia ZDARMA (nevyžaduje sa žiadna kreditná karta). Následne vytvorím skúšobný účet a na svojej webovej stránke vykonám bezpečnostný test.

  • Dostanete e-mail s potvrdením na overenie účtu

  • Ak chcete začať, kliknite na možnosť Overiť e-mail a budete presmerovaní na hlavný panel s uvítacou prehliadkovou obrazovkou.

  • Možno vás bude zaujímať navigácia v podrobnom sprievodcovi alebo pozeranie videa, ale zatiaľ zavriem okno.

Teraz máte svoj účet vytvorený a pripravený pridať webovú stránku na spustenie kontroly. Na informačnom paneli sa zobrazí ponuka „Scopes & ciele,“Kliknite na to.

Existujú dva spôsoby, ako pridať rozsah (URL).

  1. ručné – zadajte adresu URL ručne
  2. automaticky – importujte webovú adresu pomocou nástroja Google Analytics

Vyberte si ten, ktorý sa vám páči. Pokračujem importom cez Google Analytics.

  • Kliknutím na položku „Použiť Google Analytics“ a overením svojho účtu Google získate informácie o adrese URL. Po pridaní by ste mali vidieť informácie o adrese URL.

To znamená, že ste adresu URL pridali do položky Detectify a kedykoľvek môžete spustiť skenovanie na požiadanie alebo plán na spustenie denne, týždenne alebo mesačne.

Spustenie bezpečnostného skenovania

Je to zábava teraz!

  • Prejdeme na informačný panel a klikneme na práve pridanú adresu URL.
  • Kliknite na „Spustite skenovanie“Vpravo dole

Spustí sa skenovanie sedem krokov ako je uvedené nižšie a mali by ste vidieť stav každého z nich

  • štartové
  • Získavanie informácií
  • plazí
  • odtlačkov prstov
  • Informačná analýza
  • vykorisťovania
  • dokončenie

Spustenie úplného skenovania bude trvať nejaký čas (približne 3 až 4 hodiny podľa veľkosti webovej stránky). Môžete zatvoriť prehliadač, a dostanete oznámenie e-mailom po dokončení skenovania.

Dokončenie skenovania Geeka Flareho trvalo približne 3,5 hodiny, a ja som to dostal.

Môžete kliknúť na e-mail alebo sa prihlásiť na informačný panel a zobraziť správa.

Preskúmanie správy detekcie

Reporting je to, čo by vlastník webových stránok alebo analytik zabezpečenia hľadal. to je nevyhnutný ako budete musieť opraviť zistenia, ktoré vidíte v správe.

Po prihlásení na informačný panel sa zobrazí zoznam vašich webových stránok.

Môžete vidieť dátum posledného skenovania & načasovanie, niektoré zistenia a celkové skóre.

  • Červená ikona – vysoká
  • Žltá ikona – stredná
  • Modrá ikona – nízka

Vysoká závažnosť je nebezpečný, a vo vašom zozname priorít by vždy malo byť ako prvé.

Pozrime sa na podrobnú správu. Na hlavnom paneli kliknite na webovú stránku a dostanete sa na stránku s prehľadom.

V časti „Skóre hrozby“ máte dve možnosti. Zistenie môžete zobraziť buď on-line alebo ich exportovať do PDF.

Svoju správu som exportoval do formátu PDF a bolo to 351 strán dôkladný.

Stručný príklad online zistení môžete rozšíriť tak, aby sa vám zobrazili podrobné informácie.

Každý výsledok je vysvetlený jasným a možným spôsobom odporúčanie takže ak ste analytik bezpečnosti; správa by vám mala poskytnúť dostatok informácií na ich opravu.

OWASP – top 10 reportingu – ak vás práve zaujíma OWASP top 10 prehľad položiek zabezpečenia potom si ich môžete prezrieť v časti „správy“Na ľavom navigačnom paneli.

Tak choďte do toho a pozrite sa do správy, aby ste zistili, čo máte napraviť. Keď opravíte nález, môžete ho znova spustiť a overiť ho.

Preskúmanie nastavení detekcie

Existuje niekoľko užitočných nastavení, s ktorými by ste si mohli zahrať podľa potreby.

V časti Nastavenia >> basic

Limit žiadosti – ak chcete, aby funkcia Detectify obmedzila počet žiadostí, ktoré za sekundu zadá, na váš web, môžete si ich prispôsobiť tu. V predvolenom nastavení je zakázané.

subdomény – môžete dať pokynu Detectify, aby nezistil subdoménu na skenovanie. V predvolenom nastavení je povolená.

Nastavenie opakovaných skenov – zmeňte rozvrh na vykonávanie bezpečnostnej kontroly denne, týždenne alebo mesačne. V predvolenom nastavení je nakonfigurovaný na týždenný chod.

V časti Nastavenia >> Pokročilé

Vlastný súbor cookie & hlavička – do testu zadajte svoj vlastný súbor cookie a hlavičku

Skenovanie z mobilu – skenovanie môžete spustiť z iného používateľského agenta. Užitočné, ak chcete testovať ako mobilný užívateľ, vlastný klient atď.

Vypnúť konkrétny test – nechcete testovať niektoré konkrétne položky zabezpečenia? Odtiaľto to môžete zakázať.

Nad tebou …

Ak máte vážne problémy s nájdením bezpečnostných chýb perspektíva hackera, potom skúste zistiť. Môžeš vytvoriť skúšobný účet preskúmať funkcie.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map