Lépésről lépésre a webes alkalmazásokon belüli biztonsági hibák megtalálására a biztonsági rés felismerésével.


97% a TrustWave által tesztelt alkalmazások egyike vagy több biztonsági kockázatnak volt kitéve.

Ez a blogbejegyzés a Detectify-vel együttműködve működik.

A webes alkalmazások biztonsági rését okozhatja üzleti és reputációs veszteség a társaság számára, ha nem időben orvosolják.

A szomorú igazság az, hogy a legtöbb webhely legtöbbször sebezhető. egy érdekes jelentése Fehér kalap biztonság Az átlagos napok azt mutatják, hogy az iparág szerint hogyan lehet kiszűrni a sebezhetőséget.

Hogyan tudod biztosítani? tudatában van a webes alkalmazások ismert és ismeretlen sebezhetőségeiről?

Számos felhőalapú biztonsági szkenner segít ebben. Ebben a cikkben az egyik legígéretesebb SaaS-platformról fogok beszélni – Detectify.

Detectify integrálódik a fejlesztési folyamatban, hogy egy biztonsági kockázatot találjanak korai fázis (átmeneti / nem termelési környezet), tehát enyhítik őket az élő közvetítés előtt.

A fejlesztési integráció csak egy a sok közül kiváló tulajdonságokkal és opcionális, ha nincs átmeneti környezet.

A Detectify belsőleg beépített bejárót használ a webhely feltérképezéséhez és a teszt optimalizálásához a webes alkalmazásokban használt technológiák alapján.

A feltérképezés után a webhelyét több mint kipróbálták 500 sebezhetőség, beleértve az OWASP top 10-ét, és jelentést készít az egyes megállapításokról.

A szolgáltatások felismerése

Néhány említésre méltó szolgáltatás a következő:

Jelentés – exportálhatja a szkennelési eredményeket összefoglaló vagy teljes jelentés formájában. Lehetősége van exportálni PDF, JSON vagy Trello formátumban. A jelentést a következő oldalon is megtekintheti: OWASP top 10; ez hasznos lenne, ha a cél az, hogy csak az OWASP eredményekkel javítsanak.

Integráció – Használhatja a Detectify API-t az alkalmazásokhoz vagy az alábbiakhoz történő integrációhoz.

  • Lassúság, személyhívó, hipchat – azonnal értesítést kap
  • JIRA – hozzon létre egy kérdést az eredményekhez
  • Trello – szerezze meg az eredményeket a Trello táblán
  • Zapier – automatizálja a munkafolyamatokat

Számos teszt – ahogy korábban említettük, több mint 500 sebezhetőséget vizsgál, és ezek közül néhány:

  • SQL / Blind / WPML / NoSQL SQL injekció
  • Webhelyek közötti szkriptek (XSS)
  • Helyszínközi hamisítási kérelem (CSRF)
  • Távoli / helyi fájlbeillesztés
  • SQL hiba
  • Titkosítatlan bejelentkezési munkamenet
  • Információszivárgások
  • E-mail hamisítás
  • E-mail / felhasználó felsorolás
  • Törött ülés
  • XPATH
  • Rosszindulatú

Ne csinálj mindent egyedül – hívja meg csapatát a fellépésre és az eredmények megosztására

Testreszabhatja a teszteket – minden alkalmazás egyedi, így szükség esetén beillesztheti az egyedi cookie-kat / felhasználói ügynököket / fejléceket, megváltoztathatja a teszt viselkedését és a különböző eszközökről.

Folyamatos biztonsági frissítések – Az eszközt rendszeresen frissítik annak érdekében, hogy minden a legújabb sebezhetőségek le vannak fedve és tesztelve. A voltnak, csak a múlt héten, több mint tíz új tesztet frissítettek.

CMS biztonság – Ha blogot, információs weboldalt vagy e-kereskedelmet működtet, akkor valószínűleg használ CMS mint például a WordPress, a Joomla, a Drupal, a Magento, és a jó hír az, hogy ezekre a biztonsági tesztre vonatkoznak.

Detectify végez Különösen a CMS teszt annak biztosítása érdekében, hogy webhelye ne legyen kitéve online fenyegetéseknek, amelyek tőlük felmerülhetnek.

Olvassa be a védett oldalt – böngészhet a bejelentkezés mögött lévő oldalon.

Az észlelés első lépései

Az ajánlatok felismerése 14 napos ingyenes próbaverzió (hitelkártya nem szükséges). Ezt követően létrehozom egy próbafiókot, és elvégezem a biztonsági tesztet a saját webhelyemre.

  • E-mail megerősítést kap a fiók igazolására

  • Kattintson a „E-mail ellenőrzése az induláshoz” lehetőségre, és átirányítja Önt az irányítópultra egy üdvözlő túra képernyővel.

  • Érdekelhet a lépésről lépésre történő navigálás vagy a videó megtekintése, de most bezárom az ablakot.

Mostanra már létrehozta a fiókját, és készen áll a weboldal felvételére a vizsgálat elvégzéséhez. Az irányítópulton megjelenik egy „Célzók & célok,Kattintson rá.

Kétféle módon lehet hozzáadni a terület (URL).

  1. Manuálisan – kézzel írja be az URL-t
  2. automatikusan – importálja az URL-t a Google Analytics segítségével

Válassza ki a kívánt. Folytatom az importálást A Google Analytics.

  • Kattintson a „Google Analytics használata” elemre, és hitelesítse Google-fiókját az URL-adatok lekérdezéséhez. Miután hozzátette, látnia kell az URL-információkat.

Ebből arra következtethetünk, hogy hozzáadta az URL-t a felismeréshez, és amikor készen áll, futtathatja a lekérhető keresést vagy menetrend napi, heti vagy havi futtatásához.

Biztonsági vizsgálat futtatása

Ez egy móka itt az idő!

  • Menjünk az irányítópultra, és kattintsunk az éppen hozzáadott URL-re.
  • Kattintson a „Indítsa el a szkenneléstA jobb alsó sarokban

Beindítja a beolvasást hét lépés mint a következő, és látnia kell mindegyik állapotát

  • Kezdve
  • Információgyűjtés
  • Csúszó
  • fingerprinting
  • Információelemzés
  • Kizsákmányolás
  • véglegesítése

A teljes vizsgálat elvégzése eltart egy ideig (kb. 3-4 óra a webhely méretétől függően). Bezárhatja a böngészőt, és megkapja értesítés e-mailben miután a szkennelés befejeződött.

Körülbelül 3,5 óra telt el a Geek Flare vizsgálatának befejezéséhez, és megkaptam.

Az e-mail megtekintéséhez kattintson az e-mailre vagy jelentkezzen be az irányítópultra jelentés.

A felismerési jelentés feltárása

A jelentéskészítés az, amit egy webhelytulajdonos vagy biztonsági elemző keresne. ez alapvető mivel javítania kell a jelentésben szereplő megállapításokat.

Amikor bejelentkezik az irányítópultba, látni fogja a webhelyek listáját.

Láthatja az utolsó letapogatás dátumát & időzítés, néhány megállapítás és az összpontszám.

  • Piros ikon – magas
  • Sárga ikon – közepes
  • Kék ikon – alacsony

Magas súlyosságú veszélyes, és mindig elsőként kell rögzítenie a prioritási listán.

Vessen egy pillantást a részletes jelentésre. Kattintson a weboldalra az irányítópulton, és eljut az áttekintő oldalra.

Itt van két lehetőség a „Fenyegetési pontszám” alatt. Vagy megnézheti a megállapítást online vagy exportálja őket a PDF.

A jelentést PDF formátumban exportáltam, és ez 351 oldal volt mélyreható.

Az online leletek gyors példája, kibővítheti azokat a részletes információk megtekintéséhez.

Minden eredményt világosan és lehetséges módon magyarázunk ajánlások tehát ha biztonsági elemző vagy; a jelentésnek elegendő információt kell adnia a javításhoz.

Az OWASP top 10 jelentése – ha csak érdekli OWASP top 10 biztonsági elemek jelentést, majd megtekintheti azokat a „jelentések”A bal oldali navigációs sávon.

Tehát menj tovább, és nézd meg a jelentést, hogy megnézhesd, mit kell megjavítani. Miután kijavította a leletet, újra futtathatja a letapogatást annak igazolására.

A Beállítások felismerése felfedezése

Van néhány hasznos beállítás, amelyet érdemes megfontolni a követelmény alapján.

A Beállítások alatt >> alapvető

Kérjen korlátozást – Ha azt akarja, hogy a Detectify korlátozza a weboldalonként másodpercenként benyújtott kérelmek számát, itt testreszabhatja. Alapértelmezés szerint le van tiltva.

aldomain – utasíthatja a Detectify-t, hogy ne fedezze fel a szkennelés aldomainjét. Alapértelmezés szerint engedélyezve van.

A beállító ismétlődő beolvasások – módosítsa az ütemtervet a biztonsági vizsgálat napi, heti vagy havi futtatásához. Alapértelmezés szerint hetente fut.

A Beállítások alatt >> Fejlett

Egyéni süti & fejléc – adja meg az egyedi sütiket és fejlécet a teszthez

Beolvasás mobilról – futtathatja a szkennelést különböző felhasználói ügynökökről. Hasznos, ha tesztelni szeretne egy mobil felhasználót, egyéni ügyfelet stb.

Speciális teszt letiltása – nem akarja kipróbálni bizonyos biztonsági elemeket? Itt letilthatja.

Rajtad a sor…

Ha komolyan veszi a biztonsági rések felfedezését a a hackerek perspektíva, majd próbáld meg felismerni. tudsz hozzon létre egy próbafiókot hogy felfedezzék a szolgáltatásokat.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me