چگونه وب سایت خود را مانند هکر برای یافتن آسیب پذیری ها تجزیه و تحلیل کنیم؟

راهنمای گام به گام برای پیدا کردن نقص امنیتی در برنامه های وب با استفاده از اسکنر آسیب پذیری امنیتی.


97٪ برنامه های آزمایش شده توسط TrustWave در برابر یک یا چند خطر امنیتی آسیب پذیر بود.

این پست وبلاگ با همکاری Detectify انجام می شود.

آسیب پذیری برنامه وب ممکن است ایجاد کند کسب و کار و معتبر ضرر به شركت اگر به موقع اصلاح نشود.

واقعیت غم انگیز این است که بیشتر وب سایت ها بیشتر اوقات آسیب پذیر هستند. یک جالب هست گزارش توسط امنیت کلاه سفید روزهای متوسط ​​برای رفع آسیب پذیری توسط صنعت را نشان می دهد.

چگونه مطمئن شوید که هستید آگاه آسیب پذیری های شناخته شده و ناشناخته در برنامه های وب شما?

بسیاری از اسکنرهای امنیتی مبتنی بر ابر وجود دارند که در این زمینه به شما کمک می کنند. در این مقاله ، در مورد یکی از امیدوار کننده ترین سیستم عامل SaaS صحبت خواهیم کرد – شناسایی.

شناسایی با فرایند توسعه خود یکپارچه می شوید تا خطر امنیتی را در آن پیدا کنید مرحله اولیه (محیط مرحله بندی / غیر تولید) ، بنابراین آنها را قبل از زندگی زنده می کنید.

ادغام توسعه فقط یکی از موارد بسیاری است ویژگی های عالی و اگر اختیاری ندارید ، اگر محیط صحنه ای نداشته باشید.

Detectify از یک خزنده داخلی ساخته شده برای خزیدن وب سایت شما و بهینه سازی آزمون بر اساس فن آوری های استفاده شده در برنامه های وب استفاده می کند.

پس از خزیدن ، وب سایت شما بیش از آزمایش شده است 500 آسیب پذیری از جمله 10 مورد برتر OWASP, و گزارش عملی را از هر یافته به شما ارائه می دهم.

ویژگی ها را تشخیص دهید

برخی از ویژگی های قابل ذکر این است:

گزارش نویسی – می توانید نتایج اسکن را به صورت خلاصه یا گزارش کامل صادر کنید. شما امکان صادرات به عنوان PDF ، JSON یا Trello را دارید. همچنین می توانید گزارش را توسط مشاهده کنید 10 برتر OWASP؛ این تنها در صورتی مفید خواهد بود که هدف شما فقط یافتن OWASP باشد.

ادغام – می توانید از برنامه Detectify API برای ادغام با برنامه های خود یا موارد زیر استفاده کنید.

  • Slack، Pager Duty، Hipchat – فوراً به شما اطلاع داده می شود
  • جیرا – یک شماره برای یافته ها ایجاد کنید
  • Trello – نتایج را در صفحه Trello دریافت کنید
  • Zapier – گردش خودکار کار را خودکار کنید

تعداد زیادی تست – همانطور که قبلاً ذکر شد ، بیش از 500 آسیب پذیری را بررسی می کند ، و برخی از آنها عبارتند از:

  • تزریق SQL / Blind / WPML / NoSQL
  • برنامه نویسی متقابل سایت (XSS)
  • جعل درخواست متقابل سایت (CSRF)
  • گنجاندن پرونده از راه دور / محلی
  • خطای SQL
  • جلسه ورود بدون رمزگذاری
  • نشت اطلاعات
  • جعل ایمیل
  • شماره گذاری ایمیل / کاربر
  • جلسه شکسته
  • XPATH
  • بد افزار

همه کارها را به تنهایی انجام نده – تیم خود را برای انجام و به اشتراک گذاری نتایج دعوت کنید

تست ها را سفارشی کنید – هر برنامه منحصر به فرد است ، بنابراین در صورت لزوم می توانید کوکی ها / عوامل / هدرهای کاربر سفارشی ، تغییر رفتار آزمون و از دستگاه های مختلف را قرار دهید.

به روزرسانی های امنیتی مداوم – ابزار برای اطمینان از همه موارد به طور مرتب به روز می شود آخرین آسیب پذیری ها پوشانده شده و آزمایش شده اند برای مثال ، هفته گذشته, بیش از ده تست جدید به روز شد.

امنیت CMS – اگر وبلاگ ، وب سایت اطلاعاتی ، تجارت الکترونیک را اجرا می کنید ، احتمالاً از آن استفاده خواهید کرد CMS مانند وردپرس ، جوملا ، دروپال ، مگنتو ، و خبر خوب این است که آنها در تست امنیتی تحت پوشش هستند.

شناسایی را انجام می دهد CMS خاص تست کنید تا وب سایت شما در معرض تهدیدات آنلاین قرار نگیرد که ممکن است در اثر آنها بوجود آمده باشد.

صفحه محافظت شده را اسکن کنید – صفحه ای را که در پشت ورود قرار دارد مرور کنید.

شروع به کار با Detectify

شناسایی پیشنهادات 14 روز محاکمه رایگان (کارت اعتباری لازم نیست) در ادامه ، یک حساب آزمایشی ایجاد کرده و تست امنیتی را در وب سایت خود انجام خواهم داد.

  • برای تأیید اعتبار ، تأیید ایمیل دریافت خواهید کرد

  • بر روی “تأیید ایمیل برای شروع کار” کلیک کنید و با صفحه تور خوش آمدید به داشبورد هدایت می شوید.

  • ممکن است شما علاقه مند شوید از طریق راهنمای گام به گام یا به تماشای فیلم بروید ، اما فعلاً پنجره را می بندم.

در حال حاضر ، شما حساب خود را ایجاد کرده اید و آماده اضافه کردن وب سایت برای اجرای اسکن هستید. در داشبورد ، منویی را مشاهده خواهید کرد “دامنه & اهداف,بر روی آن کلیک کنید.

دو روش برای اضافه کردن وجود دارد محدوده (URL).

  1. دستی – URL را به صورت دستی وارد کنید
  2. بطور خودکار – URL را با Google Analytics وارد کنید

یکی را که دوست دارید انتخاب کنید. من با وارد کردن از طریق ادامه می دهم تجزیه و تحلیل ترافیک گوگل.

  • بر روی “استفاده از Google Analytics” کلیک کنید و اعتبار Google خود را تأیید کنید تا اطلاعات URL را بازیابی کنید. پس از افزودن ، باید اطلاعات URL را مشاهده کنید.

نتیجه می گیرد که شما URL را برای Detectify اضافه کرده اید ، و هر زمان که آماده باشد ، می توانید اسکنر را به صورت تقاضا اجرا کنید یا برنامه آن را روزانه ، هفتگی یا ماهانه اجرا کنید.

یک اسکن امنیتی در حال اجرا است

این یک سرگرم کننده ساعت هم اکنون!

  • بیایید به داشبورد برویم و بر روی URL ای که اخیراً اضافه کرده ایم کلیک خواهیم کرد.
  • کلیک “اسکن را شروع کنید“در پایین سمت راست

این اسکن در شروع می شود هفت مرحله به شرح زیر است و شما باید وضعیت هر یک را ببینید

  • راه افتادن
  • جمع آوری اطلاعات
  • خزنده
  • اثر انگشت
  • تجزیه و تحلیل اطلاعات
  • بهره برداری
  • نهایی شدن

برای اجرای اسکن کامل مدتی طول خواهد کشید (تقریباً 3-4 ساعت بر اساس اندازه وب سایت). ممکن است مرورگر را ببندید ، و دریافت خواهید کرد اعلان از طریق ایمیل پس از پایان اسکن.

حدود 3/5 ساعت طول کشید تا اسکن Geek Flare انجام شود و من این کار را کردم.

برای مشاهده می توانید بر روی ایمیل کلیک کرده یا وارد داشبورد شوید گزارش.

بررسی گزارش شناسایی

گزارش دادن چیزی است که یک وب سایت یا تحلیلگر امنیت به دنبال آن هستند. این است ضروری زیرا شما باید یافته هایی را که در گزارش مشاهده می کنید ، تصحیح کنید.

با ورود به داشبورد ، لیست وب سایت خود را مشاهده خواهید کرد.

آخرین تاریخ اسکن را می توانید مشاهده کنید & زمان بندی ، برخی یافته ها و نمره کلی.

  • نماد قرمز – بالا
  • نماد زرد – متوسط
  • نماد آبی – کم است

شدت آن زیاد است خطرناک, و همیشه باید اولین نفری باشد که در لیست اولویت های شما ثابت می شود.

بیایید نگاهی به گزارش مفصل بیندازیم. از داشبورد بر روی وب سایت کلیک کنید ، و شما را به صفحه نمای کلی می برد.

در اینجا شما می توانید دو گزینه تحت عنوان “امتیاز تهدید” داشته باشید. یا می توانید این یافته را مشاهده کنید برخط یا آنها را صادر کنید PDF.

من گزارش خود را به صورت PDF صادر کردم و 351 صفحه بود ، عمیق.

به عنوان مثال سریع از یافته های آنلاین ، می توانید آنها را گسترش دهید تا اطلاعات دقیق را ببینید.

هر نتیجه به روشنی و روشن توضیح داده شده است توصیه ها بنابراین اگر شما یک تحلیلگر امنیتی هستید ، یک گزارش باید اطلاعات کافی را برای رفع آنها ارائه دهد.

10 گزارش برتر OWASP – اگر فقط علاقه مند هستید 10 برتر OWASP موارد امنیتی گزارش می دهد سپس می توانید آنها را در زیر مشاهده کنید “گزارش ها“در نوار ناوبری سمت چپ.

بنابراین پیش بروید و به گزارش بروید تا ببینیم چه چیزی برای رفع آن دارید. پس از تعمیر یافتن ، می توانید اسکن را دوباره انجام دهید تا تأیید شود.

کاوش در مورد شناسایی تنظیمات

برخی از تنظیمات مفید وجود دارد که ممکن است بخواهید بر اساس نیاز آنها با آن بازی کنید.

در زیر تنظیمات >> پایه ای

حد مجاز – اگر می خواهید Detectify تعداد درخواست های درخواستی خود را در هر ثانیه به وب سایت شما محدود کند ، می توانید در اینجا شخصی سازی کنید. به طور پیش فرض ، غیرفعال است.

زیر دامنه – شما می توانید دستورالعمل Detectify را برای کشف زیر دامنه اسکن نکنید. به طور پیش فرض فعال است.

اسکنهای مکرر راه‌اندازی کنید – برنامه را برای اجرای اسکن امنیتی روزانه ، هفتگی یا ماهانه تغییر دهید. به طور پیش فرض ، تنظیم شده است که هفتگی اجرا شود.

در زیر تنظیمات >> پیشرفته

کوکی سفارشی & سرتیتر – کوکی و هدر دلخواه خود را برای آزمایش تهیه کنید

اسکن از تلفن همراه – می توانید اسکن را از عامل های مختلف کاربر اجرا کنید. اگر می خواهید مانند کاربر تلفن همراه ، مشتری سفارشی و غیره تست کنید مفید است.

تست خاص را غیرفعال کنید – نمی خواهید برخی از موارد امنیتی خاص را آزمایش کنید؟ می توانید آن را از اینجا غیرفعال کنید.

بیش از شما …

اگر در یافتن آسیب پذیری های امنیتی از آن جدی هستید چشم انداز هکرها, سپس سعی در شناسایی کنید. تو می توانی یک حساب آزمایشی ایجاد کنید برای کشف ویژگی ها.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map