Un ghid pas cu pas pentru găsirea unor defecte de securitate în aplicațiile web folosind detectarea scanerului de vulnerabilitate.


97% din aplicațiile testate de TrustWave au fost vulnerabile la unul sau mai multe riscuri de securitate.

Această postare pe blog este în colaborare cu Detectify.

Vulnerabilitatea aplicațiilor web poate cauza Afaceri și reputațional pierderea către companie dacă nu este remediată la timp.

Tristul adevăr este că majoritatea site-urilor web sunt vulnerabile de cele mai multe ori. Un interesant raportează de White Hat Security arată zilele medii pentru a remedia vulnerabilitatea de către industrie.

Cum te asiguri că ești conștient a vulnerabilităților cunoscute și necunoscute din aplicațiile dvs. web?

Există multe scanere de securitate bazate pe cloud care vă pot ajuta în acest sens. În acest articol, voi vorbi despre una dintre cele mai promițătoare platforme SaaS – Detectify.

Detectify se integrează cu procesul de dezvoltare pentru a găsi riscul de securitate la un an stadiu timpuriu (mediu de punere în scenă / neproducție), astfel încât să le atenuați înainte de trăire.

Integrarea dezvoltării este doar una dintre numeroasele caracteristici excelente și opțional dacă nu aveți un mediu de scena.

Detectify utilizează un crawler construit intern pentru a accesa site-ul dvs. web și a optimiza testul bazat pe tehnologiile utilizate în aplicațiile web.

După ce a fost accesat, site-ul dvs. web este testat pentru mai mult de 500 de vulnerabilități, inclusiv top 10 OWASP, și vă oferă un raport acționabil al fiecărei constatări.

Detectează caracteristicile

Unele dintre caracteristicile demne de menționat sunt:

Raportarea – puteți exporta rezultatele scanării ca un rezumat sau un raport complet. Aveți o opțiune de a exporta în format PDF, JSON sau Trello. Puteți vedea, de asemenea, raportul Top 10 OWASP; acest lucru ar fi util dacă obiectivul dvs. este să vă rezolvați numai cu constatările OWASP.

Integrare – puteți utiliza API-ul Detectify pentru a vă integra cu aplicațiile dvs. sau cu următoarele.

  • Slack, Pager Duty, Hipchat – fiți anunțat instant
  • JIRA – creează o problemă pentru constatări
  • Trello – obțineți rezultatele în tabloul Trello
  • Zapier – automatizarea fluxurilor de lucru

Un număr mare de teste – după cum am menționat anterior, verifică mai mult de 500 de vulnerabilități, iar unele dintre ele sunt:

  • Injecție SQL / Blind / WPML / NoSQL
  • Scripturi cross-site (XSS)
  • Falsificare a cererilor încrucișate (CSRF)
  • Includerea fișierului de la distanță / local
  • Eroare SQL
  • Sesiune de conectare necriptată
  • Scurgeri de informații
  • Spofing prin e-mail
  • Enumerare prin e-mail / utilizator
  • Ședință ruptă
  • XPath
  • malware

Nu faceți totul singur – invită-ți echipa să performeze și să împărtășească rezultatele

Personalizați testele – fiecare aplicație este unică, așa că, dacă este necesar, puteți pune cookie-urile / utilizatorii / anteturile personalizate, puteți schimba comportamentul testului și de pe diferite dispozitive.

Actualizări de securitate continuă – Instrumentul este actualizat regulat pentru a asigura toate cele mai recente vulnerabilități sunt acoperite și testate. De exemplu, doar săptămâna trecută, mai mult de zece teste noi au fost actualizate.

Securitate CMS – dacă rulați un blog, un site web de informații, comerț electronic, atunci cel mai probabil veți utiliza CMS cum ar fi WordPress, Joomla, Drupal, Magento și veștile bune sunt că sunt acoperite în testul de securitate.

Detectează performanțele CMS special testare pentru a vă asigura că site-ul dvs. web nu este expus la amenințări online care ar fi putut apărea de la acestea.

Scanați pagina protejată – răsfoiți pagina care se află în spatele autentificării.

Noțiuni introductive cu Detectify

Detectează ofertele Proces GRATUIT de 14 zile (nu este necesar card de credit). În continuare, voi crea un cont de încercare și voi efectua testul de securitate pe site-ul meu web.

  • Veți primi o confirmare prin e-mail pentru a verifica contul

  • Faceți clic pe „Verificați e-mailul pentru a începe” și veți fi redirecționat către tabloul de bord cu un ecran de tur de bun venit.

  • Poate vă interesează navigarea prin ghidul pas cu pas sau vizionarea videoclipului, dar deocamdată, voi închide fereastra.

Până acum, aveți contul creat și gata să adăugați site-ul web pentru a rula scanarea. Pe tabloul de bord, veți vedea un meniu „Scopes & Obiective,”Faceți clic pe asta.

Există două moduri de a adăuga domeniu (URL).

  1. Manual – introduceți URL-ul manual
  2. Automat – importați adresa URL cu Google Analytics

Alege-l pe cel care îți place. Voi continua prin importarea prin Google Analytics.

  • Faceți clic pe „Utilizați Google Analytics” și autentificați contul Google pentru a prelua informațiile despre adresa URL. Odată adăugată, ar trebui să vedeți informațiile URL.

Aceasta concluzionează că ați adăugat adresa URL pentru a detecta și, oricând este gata, puteți rula scanarea la cerere sau programa să-l execute zilnic, săptămânal sau lunar.

Executarea unei scanări de securitate

E o distracţie timpul acum!

  • Să mergem la tabloul de bord și să facem clic pe adresa URL pe care tocmai ați adăugat-o.
  • Faceți clic pe „Incepe scanarea”În partea de jos dreapta

Va începe scanarea șapte trepte după cum urmează și ar trebui să vedeți starea fiecăruia

  • Pornire
  • Strângerea de informații
  • Crawling
  • amprentarea
  • Analiza informațiilor
  • Exploatare
  • Definitivarea

Scanarea completă va dura ceva timp (aproximativ 3-4 ore în funcție de dimensiunea site-ului web). Puteți închide browserul și veți primi notificare prin e-mail odată ce scanarea este terminată.

A fost nevoie de aproximativ 3,5 ore pentru a finaliza scanarea Geek Flare și am primit acest lucru.

Puteți face clic pe e-mail sau conectați-vă la un tablou de bord pentru a vizualiza raport.

Explorarea raportului de detectare

Raportarea este ceea ce ar căuta un proprietar sau un analist de securitate a unui site web. Este esenţial deoarece va trebui să remediați constatările pe care le vedeți în raport.

Când vă conectați la Panoul de bord, veți vedea lista de site-uri web.

Puteți vedea ultima dată de scanare & calendarul, unele constatări și scorul general.

  • Pictograma roșie – înaltă
  • Icoana galbenă – medie
  • Pictograma albastră – scăzută

Severitatea mare este periculos, și ar trebui să fie întotdeauna primul care se stabilește în lista de priorități.

Să aruncăm o privire la raportul detaliat. Faceți clic pe site-ul web din tabloul de bord și vă va duce la pagina de ansamblu.

Aici aveți două opțiuni sub „Scor amenințarea”. Fie puteți vedea constatarea pe net sau le exportă în PDF.

Am exportat raportul meu în PDF și acesta a fost de 351 de pagini în profunzime.

Un exemplu rapid de constatări online, le puteți extinde pentru a vedea informațiile detaliate.

Fiecare rezultat este explicat în mod clar și posibil recomandări deci dacă sunteți analist de securitate; un raport ar trebui să vă ofere suficiente informații pentru a le repara.

Top 10 raportări OWASP – dacă sunteți doar interesat Top 10 OWASP Rapoarte elementele de securitate, apoi le puteți vizualiza sub „rapoarte”La bara de navigare din stânga.

Așa că mergeți mai departe și priviți în raport pentru a vedea ce aveți de rezolvat. După ce reparați constatarea, puteți rula scanarea din nou pentru a o verifica.

Explorarea detectării setărilor

Există câteva setări utile pe care poate doriți să le jucați în funcție de cerință.

În Setări >> de bază

Limită de solicitare – dacă doriți ca Detectify să limiteze numărul de solicitări pe care le face pe secundă site-ului dvs. web, puteți personaliza aici. În mod implicit, este dezactivat.

subdomeniu – puteți instrui Detectify să nu descopere subdomeniul pentru scanare. Este activat implicit.

Configurarea scanărilor repetate – schimbați programul pentru a rula scanarea de securitate zilnic, săptămânal sau lunar. În mod implicit, este configurat să funcționeze săptămânal.

În Setări >> Avansat

Cookie personalizată & antet – furnizați cookie-ul personalizat și antetul pentru test

Scanați de pe mobil – puteți rula scanarea de la diferiți user-agent. Este util dacă doriți să testați ca un utilizator mobil, client personalizat, etc.

Dezactivați testul specific – nu doriți să testați anumite elemente de securitate? Îl puteți dezactiva de aici.

Este randul tau…

Dacă sunteți serios despre găsirea vulnerabilităților de securitate de la perspectiva hackerului, apoi încearcă să detecteze. Poti creați un cont de încercare pentru a explora caracteristicile.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me