Пошаговое руководство по поиску уязвимостей в веб-приложениях с помощью сканера уязвимостей безопасности Detectify.


97% приложений, протестированных TrustWave, были подвержены одной или нескольким угрозам безопасности.

Этот пост в блоге в сотрудничестве с Detectify.

Уязвимость веб-приложения может привести к бизнес а также репутационный убыток компании, если он не был возмещен вовремя.

Печальная правда в том, что большинство сайтов уязвимы большую часть времени. интересно сообщить Белая Шляпа Безопасность показывает среднее количество дней, чтобы исправить уязвимость по отрасли.

Как вы убедитесь, что вы знать известных и неизвестных уязвимостей в ваших веб-приложениях?

Есть много облачных сканеров безопасности, чтобы помочь вам в этом. В этой статье я расскажу об одной из самых перспективных платформ SaaS – Detectify.

Detectify интегрируется с вашим процессом разработки, чтобы найти угрозу безопасности на ранняя стадия (промежуточная / непроизводственная среда), поэтому вы должны смягчить их, прежде чем начать работу.

Интеграция развития – это только один из многих отличные возможности и необязательно, если у вас нет промежуточной среды.

Detectify использует встроенный сканер для сканирования вашего веб-сайта и оптимизации теста на основе технологий, используемых в веб-приложениях..

После сканирования ваш веб-сайт проверен на более чем 500 уязвимостей, включая 10 лучших в OWASP, и дать вам действенный отчет о каждой находке.

Detectify Особенности

Некоторые из заслуживающих упоминания особенностей:

Составление отчетов – вы можете экспортировать результаты сканирования в виде сводки или полного отчета. У вас есть возможность экспортировать как PDF, JSON или Trello. Вы также можете просмотреть отчет по OWASP топ 10; это было бы удобно, если ваша цель – исправить только с помощью результатов OWASP.

интеграция – вы можете использовать API Detectify для интеграции с вашими приложениями или следующими.

  • Slack, Pager Duty, Hipchat – получать мгновенные уведомления
  • JIRA – создать вопрос для выводов
  • Trello – получить результаты на доске Trello
  • Zapier – автоматизировать рабочие процессы

Большое количество тестов – как упоминалось ранее, он проверяет более 500 уязвимостей, и некоторые из них:

  • SQL / слепой / WPML / NoSQL SQL-инъекция
  • Межсайтовый скриптинг (XSS)
  • Подделка межсайтовых запросов (CSRF)
  • Удаленное / локальное включение файлов
  • Ошибка SQL
  • Незашифрованный сеанс входа
  • Утечки информации
  • Подмена электронной почты
  • Перечисление электронной почты / пользователя
  • Сломанная сессия
  • XPATH
  • Вредоносное

Не делай все в одиночку – пригласить свою команду выступить и поделиться результатами

Настроить тесты – каждое приложение уникально, поэтому при необходимости вы можете поместить пользовательские файлы cookie / пользовательские агенты / заголовки, изменить поведение теста и с разных устройств.

Постоянные обновления безопасности – Инструмент регулярно обновляется, чтобы обеспечить все последние уязвимости покрыты и проверены. Например, только на прошлой неделе, обновлено более десяти новых тестов.

CMS Security – если у вас есть блог, информационный сайт, электронная коммерция, то, скорее всего, вы будете использовать CMS как WordPress, Joomla, Drupal, Magento, и хорошая новость в том, что они освещены в тесте безопасности.

Detectify выполняет CMS частности проверить, чтобы ваш сайт не подвергался онлайн-угрозам, которые могли возникнуть из-за них.

Сканирование защищенной страницы – просмотреть страницу, которая находится за логином.

Начало работы с Detectify

Детектировать предложения 14 дней бесплатно (кредитная карта не требуется). После этого я создам пробную учетную запись и проведу тест безопасности на своем веб-сайте..

  • Вы получите подтверждение по электронной почте для подтверждения аккаунта

  • Нажмите «Подтвердить электронную почту, чтобы начать работу», и вы будете перенаправлены на панель мониторинга с экраном приветствия..

  • Возможно, вас заинтересует пошаговое руководство или просмотр видео, но сейчас я закрою окно.

К настоящему времени у вас есть учетная запись, созданная и готовая добавить веб-сайт для запуска сканирования. На приборной панели вы увидите меню «Области применения & Цели,Нажмите на это.

Есть два способа добавить объем (URL).

  1. Вручную – введите URL вручную
  2. Автоматически – импортировать URL с помощью Google Analytics

Выберите тот, который вам нравится. Я продолжу импортировать через Гугл Аналитика.

  • Нажмите «Использовать Google Analytics» и подтвердите свою учетную запись Google, чтобы получить информацию об URL. После добавления вы должны увидеть информацию об URL.

Таким образом, вы добавили URL-адрес для Detectify, и, когда будете готовы, вы можете запустить сканирование по требованию или график запускать его ежедневно, еженедельно или ежемесячно.

Запуск сканирования безопасности

Это веселье время сейчас!

  • Давайте перейдем к панели инструментов и нажмите на URL, который вы только что добавили.
  • Нажмите «Начать сканированиеВ правом нижнем углу

Начнется сканирование в семь шагов как следует, и вы должны увидеть статус каждого

  • начало
  • Сбор информации
  • ползком
  • дактилоскопия
  • Анализ информации
  • эксплуатация
  • завершение

Для полного сканирования потребуется некоторое время (около 3-4 часов в зависимости от размера сайта). Вы можете закрыть браузер, и вы получите уведомление по электронной почте как только сканирование закончено.

Потребовалось около 3,5 часов, чтобы завершить сканирование для Geek Flare, и я получил это.

Вы можете либо щелкнуть по электронной почте, либо войти в личный кабинет, чтобы просмотреть доклад.

Изучение отчета Detectify

Отчеты – это то, что ищет владелец сайта или аналитик по безопасности. Это существенный так как вам нужно будет исправить выводы, которые вы видите в отчете.

Когда вы войдете в Dashboard, вы увидите список вашего сайта.

Вы можете увидеть дату последнего сканирования & сроки, некоторые выводы и общий балл.

  • Красный значок – высокий
  • Желтый значок – средний
  • Синий значок – низкий

Высокая степень тяжести опасно, и это всегда должно быть первым, чтобы исправить в вашем списке приоритетов.

Давайте посмотрим на подробный отчет. Нажмите на веб-сайт с панели инструментов, и вы попадете на страницу обзора.

Здесь у вас есть два варианта в разделе «Оценка угроз». Либо вы можете просмотреть находку онлайн или экспортировать их в PDF.

Я экспортировал свой отчет в PDF, и это было 351 страница, это в глубине.

Быстрый пример онлайн-выводов, вы можете расширить их, чтобы увидеть подробную информацию.

Каждый результат объясняется ясно и возможно рекомендации так что если вы аналитик по безопасности; отчет должен дать вам достаточно информации, чтобы исправить их.

10 лучших отчетов OWASP – если вы просто заинтересованы в OWASP топ 10 отчет о безопасности, вы можете просмотреть их в разделе «Отчеты”На левой навигационной панели.

Так что продолжайте и изучите отчет, чтобы увидеть, что вы должны исправить. Как только вы восстановите обнаружение, вы можете запустить сканирование еще раз, чтобы проверить его.

Изучение настроек Detectify

Есть несколько полезных настроек, с которыми вы можете поэкспериментировать в зависимости от требований.

Под Настройки >> основной

Запрашивать лимит – если вы хотите, чтобы Detectify ограничивал количество запросов в секунду на ваш сайт, вы можете настроить его здесь. По умолчанию он отключен.

Subdomain – вы можете указать Detectify не обнаруживать поддомен для сканирования. По умолчанию включено.

Настройка повторяющихся сканов – изменить расписание для запуска проверки безопасности ежедневно, еженедельно или ежемесячно. По умолчанию он настроен на еженедельный запуск.

Под Настройки >> продвинутый

Custom cookie & заголовок – предоставьте свой собственный файл cookie и заголовок для теста

Сканирование с мобильного – вы можете запустить сканирование из другого пользовательского агента. Полезно, если вы хотите тестировать как мобильный пользователь, пользовательский клиент и т. Д..

Отключить определенный тест – не хотите тестировать какие-то конкретные элементы безопасности? Вы можете отключить его здесь.

К вам …

Если вы серьезно относитесь к поиску уязвимостей в хакерская перспектива, затем попытайтесь Detectify. Вы можете создать пробную учетную запись изучить особенности.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me