Hoe kan u u webwerf, soos Hacker, ontleed om kwesbaarhede te vind?

‘N Stap-vir-stap-gids vir die opsporing van sekuriteitsfoute in webtoepassings met behulp van Detectify-beveiligingslek-skandeerder.


97% van toepassings wat deur TrustWave getoets is, was kwesbaar vir een of meer veiligheidsrisiko’s.

Hierdie blogplasing is in samewerking met Detectify.

Die kwesbaarheid van ‘n webtoepassing kan veroorsaak besigheid en reputasie verlies aan die onderneming indien dit nie betyds reggestel word nie.

Die hartseer waarheid is dat die meeste webwerwe meestal kwesbaar is. ‘n interessant verslag deur White Hat Security toon gemiddelde dae om die kwesbaarheid deur die industrie op te los.

Hoe kan u verseker dat u is? bewus van bekende en onbekende kwesbaarhede in u webtoepassings?

Daar is baie wolk-gebaseerde sekuriteitskandeerders om jou daarmee te help. In hierdie artikel gaan ek oor een van die belowendste SaaS-platforms praat – Detectify.

Detectify integreer met u ontwikkelingsproses om die veiligheidsrisiko by ‘n vroeë stadium (verhoog / nie-produksie-omgewing), sodat u dit versag voordat u weer gaan leef.

Ontwikkelingsintegrasie is maar een van die vele uitstekende eienskappe en opsioneel as u nie ‘n verhoogomgewing het nie.

Detectify gebruik ‘n intern-geboude crawler om u webwerf deur te soek en die toets te optimaliseer op grond van tegnologieë wat in die webtoepassings gebruik word.

Sodra u gekruip het, word u webwerf vir meer as getoets 500 kwesbaarhede, insluitend OWASP top 10, en gee u ‘n uitvoerbare verslag van elke bevinding.

Spoor funksies op

Sommige van die waardevolle vermeldingsfunksies is:

verslagdoening – u kan die skanderingsresultate uitvoer as ‘n samevatting of ‘n volledige verslag. U het die opsie om as PDF, JSON of Trello uit te voer. U kan ook die verslag teen OWASP top 10; dit sal handig te pas kom as u doel slegs is om OWASP-bevindings op te los.

integrasie – u kan Detectify API gebruik om met u toepassings of die volgende te integreer.

  • Slack, Pager Duty, Hipchat – word onmiddellik in kennis gestel
  • JIRA – skep ‘n probleem vir die bevindinge
  • Trello – kry die resultate in Trello-bord
  • Zapier – outomatiese werkvloei

‘N Groot aantal toetse – Soos vroeër genoem, kyk dit na meer as 500 kwesbaarhede, en sommige daarvan is:

  • SQL / Blind / WPML / NoSQL SQL-inspuiting
  • Cross-site scripting (XSS)
  • Kruiswese-vervalsing (CSRF)
  • Afgeleë / plaaslike lêerinsluiting
  • SQL-fout
  • Ongeënkripteerde aanmeldsessie
  • Inligting lekkasies
  • E-pos spoofing
  • Opsomming per e-pos / gebruiker
  • Gebroke sessie
  • XPath
  • malware

Moenie alles alleen doen nie – Nooi u span uit om die resultate op te lewer en te deel

Pasmaak toetse – elke toepassing is uniek, so indien nodig kan u die aangepaste koekie / gebruikersagente / opskrifte plaas, toetsgedrag verander en van verskillende toestelle af verander.

Deurlopende sekuriteitsopdaterings – Die instrument word gereeld bygewerk om te verseker dat alle nuutste kwesbaarhede word gedek en getoets. Vir eks, net verlede week, meer as tien nuwe toetse is opgedateer.

CMS Sekuriteit – As u ‘n blog, inligtingswebwerf, e-handel bestuur, sal u dit waarskynlik gebruik CMS soos WordPress, Joomla, Drupal, Magento, en die goeie nuus is dat dit in die veiligheidstoets gedek word.

Bespeur uitvoerings CMS veral toets om te verseker dat u webwerf nie blootgestel word aan aanlynbedreigings wat daaruit voortspruit nie.

Skandeer beskermde bladsy – blaai deur die bladsy agter die aanmelding.

Aan die begin met Detectify

Bespeur aanbiedinge 14 dae GRATIS proeftydperk (geen kredietkaart benodig nie). Hierna sal ek ‘n proefrekening skep en die veiligheidstoets op my webwerf uitvoer.

  • U sal ‘n e-posbevestiging kry om die rekening te verifieer

  • Klik op “Verifieer die e-pos om aan die gang te kom”, en u sal na die instrumentpaneel verwys word met ‘n welkome toerskerm.

  • Miskien wil u belangstel om deur die stap-vir-stap-gids te blaai of na die video te kyk, maar nou sal ek die venster sluit.

U het nou u rekening geskep en gereed om die webwerf by te voeg om die skandering uit te voer. Op die paneelbord sien u ‘n menu “bestekke & teikens,Kliek daarop.

Daar is twee maniere om die omvang (URL).

  1. met die hand – voer die URL met die hand in
  2. outomaties – voer die URL met Google Analytics in

Kies die een waarvan u hou. Ek sal voortgaan deur in te voer Google Analytics.

  • Klik op “Gebruik Google Analytics” en verifieer u Google-rekening om die URL-inligting op te spoor. Sodra u dit bygevoeg het, sal u die URL-inligting moet sien.

Dit kom tot die gevolgtrekking dat u die URL bygevoeg het om op te spoor, en as u gereed is, kan u die skandering op aanvraag uitvoer skedule om dit daagliks, weekliks of maandeliks uit te voer.

Voer ‘n sekuriteitsskandering uit

Dit is ‘n pret tyd nou!

  • Kom ons gaan na die paneelbord en klik op die URL wat u so pas bygevoeg het.
  • Klik op “Begin skandeer”Regs onder

Dit sal begin met die skandering binne sewe treë soos volg en u moet die status van elkeen sien

  • Begin
  • Inligting versameling
  • kruip
  • vingerafdrukke
  • Inligtingsanalise
  • uitbuiting
  • finalisering

Dit sal ‘n geruime tyd duur (ongeveer 3-4 uur gebaseer op die webwerf-grootte) om die volledige skandering uit te voer. U kan die blaaier toemaak, en u kry dit kennisgewing per e-pos sodra die skandering voltooi is.

Dit het ongeveer 3,5 uur geneem om die scan vir Geek Flare te voltooi, en ek het dit gekry.

U kan óf op e-pos klik of op ‘n dashboard aanmeld om die verslag.

Verken Detectify-verslag

Rapportering is waarna ‘n webwerf-eienaar of veiligheidsanalis sou soek. Dis noodsaaklik aangesien u die bevindings wat u in die verslag sien, sal moet regstel.

As u by die Dashboard aanmeld, sien u u webwerflys.

U kan die laaste skandeerdatum sien & tydsberekening, enkele bevindings, en die totale telling.

  • Rooi ikoon – hoog
  • Geel ikoon – medium
  • Blou ikoon – laag

Hoë erns is gevaarlike, en dit moet altyd die eerste wees wat u in u prioriteitslys opstel.

Kom ons kyk na die gedetailleerde verslag. Klik op die webwerf vanaf die dashboard, en dit neem u na die oorsigbladsy.

Hier het u twee opsies onder “Bedreigings telling”. Óf u kan die bevinding besigtig aanlyn of voer dit na PDF.

Ek het my verslag in PDF uitgevoer, en dit was 351 bladsye in-diepte.

‘N Vinnige voorbeeld van aanlyn-bevindings; u kan dit uitbrei om die gedetailleerde inligting te sien.

Elke resultaat word duidelik en moontlik uiteengesit aanbevelings dus as u ‘n veiligheidsanalis is; ‘n verslag moet genoeg inligting gee om dit op te los.

OWASP top 10 verslagdoening – as u net belangstel OWASP top 10 verslag oor sekuriteitsitems, dan kan u dit sien onder “Verslae”Aan die linkerkant van die navigasiebalk.

Gaan dus gerus na die verslag en kyk wat u moet regstel. Sodra u die bevinding herstel het, kan u die skandering weer uitvoer om dit te verifieer.

Ondersoek Detectify-instellings

Daar is ‘n paar nuttige instellings wat u dalk wil speel, gebaseer op die vereiste.

Onder Instellings >> basiese

Versoeklimiet – As u wil dat Detectify die aantal versoeke per sekonde op u webwerf beperk, kan u hier aanpas. Dit is standaard gedeaktiveer.

subdomein – u kan Detectify opdrag gee om nie subdomein vir die skandering te ontdek nie. Dit is standaard geaktiveer.

Opstel van herhalende skanderings – verander die skedule om die sekuriteitskandering daagliks, weekliks of maandeliks uit te voer. Dit is standaard opgestel om weekliks te werk.

Onder Instellings >> Advanced

Pasgemaakte koekie & kop – voorsien u persoonlike koekie en kopstuk vir die toets

Skandeer vanaf selfoon – u kan die skandering vanaf verskillende gebruikersagente uitvoer. Nuttig as u wil toets soos ‘n mobiele gebruiker, pasgemaakte kliënt, ens.

Deaktiveer spesifieke toets – wil u nie sekere sekuriteitsitems toets nie? U kan dit van hier af deaktiveer.

Oor na jou…

As u ernstig is oor die opsporing van veiligheids kwesbaarhede van die hacker-perspektief, probeer dan om op te spoor. Jy kan skep ‘n proefrekening om die funksies te verken.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map