Как да анализирате вашия уеб сайт като хакер, за да намерите уязвимости?

Стъпка по стъпка ръководство за намиране на пропуски в сигурността в уеб приложенията с помощта на Detectify скенер за уязвимост на сигурността.


97% на приложенията, тествани от TrustWave, са уязвими към един или повече рискове за сигурността.

Тази публикация в блога е в сътрудничество с Detectify.

Уязвимостта на уеб приложенията може да причини бизнес и накърняване на репутацията загуба за компанията, ако не бъде възстановена навреме.

Тъжната истина е, че повечето от уебсайтовете са уязвими през повечето време. Една интересен доклад от Сигурност на бялата шапка показва средни дни за определяне на уязвимостта по отрасли.

Как гарантираш, че си осведомен на известни и неизвестни уязвимости във вашите уеб приложения?

Има много скенери за сигурност, базирани на облак, които да ви помогнат в това. В тази статия ще говоря за една от най-обещаващите платформи на SaaS – Detectify.

Detectify интегрира се с вашия процес на разработка, за да намери риска за сигурността на ранна фаза (постановка / непроизводствена среда), така че ги смекчавате преди стартиране.

Интеграцията в развитието е само една от многото отлични характеристики и незадължително, ако нямате сценична среда.

Detectify използва вътрешно вграден робот за обхождане на уебсайта Ви и оптимизиране на теста въз основа на технологиите, използвани в уеб приложенията.

Веднъж обходен, уебсайтът ви е тестван за повече от 500 уязвимости, включително OWASP топ 10, и ще ви предостави полезен доклад за всяка констатация.

Откриване на функции

Някои от ценните за споменаване функции са:

Докладване – можете да експортирате резултатите от сканирането като обобщение или пълен отчет. Имате възможност да експортирате като PDF, JSON или Trello. Можете също да видите доклада от OWASP топ 10; това би било полезно, ако целта ви е да се оправите само с констатациите на OWASP.

интеграция – можете да използвате API за откриване, за да се интегрирате с вашите приложения или следното.

  • Slack, Pager Duty, Hipchat – получавайте незабавно известяване
  • JIRA – създайте проблем за констатациите
  • Trello – вземете резултатите в борда на Trello
  • Zapier – автоматизирайте работните процеси

Голям брой тестове – както споменахме по-рано, той проверява за повече от 500 уязвимости, а някои от тях са:

  • SQL / Blind / WPML / NoSQL инжекция SQL
  • Изписване на различни сайтове (XSS)
  • Фалшифициране на заявка за различни сайтове (CSRF)
  • Дистанционно / локално включване на файлове
  • SQL грешка
  • Нешифрована сесия за вход
  • Изтичане на информация
  • Изпращане на имейл
  • Изброяване на имейл / потребител
  • Прекъсната сесия
  • XPath
  • Malware

Не правете всичко сам – поканете вашия екип за изпълнение и споделяне на резултатите

Персонализирайте тестовете – всяко приложение е уникално, така че ако е необходимо можете да поставите персонализирана бисквитка / потребителски агенти / заглавки, да промените поведението на теста и от различни устройства.

Непрекъснати актуализации на защитата – Инструментът се актуализира редовно, за да гарантира всички най-новите уязвимости са обхванати и тествани. За пример, само миналата седмица, бяха актуализирани повече от десет нови теста.

CMS сигурност – ако използвате блог, информационен уебсайт, електронна търговия, тогава най-вероятно ще използвате CMS като WordPress, Joomla, Drupal, Magento, а добрата новина е, че са обхванати в теста за сигурност.

Detectify изпълнява CMS по-специално тест, за да се гарантира, че уебсайтът ви не е изложен на онлайн заплахи, които може да са възникнали от тях.

Сканиране на защитена страница – прегледайте страницата, която стои зад входа.

Първи стъпки с Detectify

Открийте офертите 14 дни БЕЗПЛАТНА пробна версия (не се изисква кредитна карта). След това ще създам пробен акаунт и ще извърша тест за сигурност на моя уебсайт.

  • Ще получите потвърждение по имейл, за да потвърдите акаунта

  • Кликнете върху „Потвърдете имейла, за да го започнете“ и ще бъдете пренасочени към таблото с екран за добре дошли.

  • Може да се интересувате от навигацията през стъпка по стъпка ръководството или гледането на видеото, но засега ще затворя прозореца.

До този момент имате създаден акаунт и сте готови да добавите уебсайта, за да стартирате сканирането. На таблото за управление ще видите меню „Скоупс & Цели,“Кликнете върху това.

Има два начина за добавяне на обхват (URL).

  1. Ръчно – въведете URL адреса ръчно
  2. автоматично – импортирайте URL адреса с Google Analytics

Изберете този, който харесвате. Ще продължа с импортирането чрез Google Analytics.

  • Кликнете върху „Използване на Google Анализ“ и удостоверете вашия акаунт в Google, за да извлечете информацията за URL адреса. След добавяне трябва да видите информацията за URL адреса.

Това стига до заключението, че сте добавили URL адреса на Detectify и когато сте готови, можете да стартирате сканирането при поискване или разписание да го изпълнявате ежедневно, седмично или месечно.

Изпълнение на сканиране за сигурност

Това е шега време сега!

  • Нека отидем на таблото за управление и кликнете върху току-що добавения URL адрес.
  • Кликнете върху „Започни сканиране”В дясно отдолу

Ще започне сканирането в седем стъпки както следва и трябва да видите състоянието на всеки

  • Стартиране
  • Събиране на информация
  • лазейки
  • Снемането на пръстови отпечатъци
  • Информационен анализ
  • експлоатация
  • Финализиране

Ще отнеме известно време (приблизително 3-4 часа според размера на уебсайта), за да стартирате пълното сканиране. Можете да затворите браузъра и ще получите известие по имейл след като сканирането приключи.

Отне около 3,5 часа, за да завърша сканирането за Geek Flare и разбрах.

Можете да кликнете върху имейл или да влезете в табло за управление, за да видите доклад.

Проучване на отчета за откриване

Отчитането е това, което би търсил собственик на уебсайт или анализатор по сигурността. е съществен тъй като ще трябва да поправите констатациите, които виждате в доклада.

Когато влезете в таблото за управление, ще видите списъка си с уебсайтове.

Можете да видите последната дата на сканиране & време, някои констатации и общ резултат.

  • Червена икона – висока
  • Жълта икона – средно
  • Синя икона – ниска

Висока тежест е опасно, и винаги трябва да е първият, който фиксира в списъка си с приоритети.

Нека да разгледаме подробния доклад. Кликнете върху уебсайта от таблото за управление и той ще ви отведе до страницата за обзор.

Тук имате две опции под „Резултат на заплахата“. Или можете да видите находката на линия или да ги експортирате в PDF.

Експортирах доклада си в PDF и той беше 351 страници в дълбочина.

Бърз пример за онлайн открития, можете да ги разширите, за да видите подробната информация.

Всеки резултат се обяснява ясно и възможно препоръки така че ако сте анализатор на сигурността; отчет трябва да ви даде достатъчно информация, за да ги поправите.

OWASP топ 10 отчитане – ако просто се интересувате OWASP топ 10 отчетите за сигурност, след това можете да ги видите в „Доклади”В лявата лента за навигация.

Затова продължете напред и погледнете в доклада, за да видите какво трябва да поправите. След като поправите находката, можете да стартирате сканирането отново, за да я проверите.

Проучване на настройките за откриване

Има някои полезни настройки, с които може да искате да си поиграете с него въз основа на изискването.

Под Настройки >> основен

Лимит за заявка – ако искате Detectify да ограничи броя на исканията, които отправя за секунда към вашия уебсайт, можете да персонализирате тук. По подразбиране той е деактивиран.

Под-домейн – можете да инструктирате Detectify да не открива поддомейн за сканирането. Тя е активирана по подразбиране.

Настройка на повтарящи се сканирания – променете графика за изпълнение на сканирането за сигурност всеки ден, седмично или месечно. По подразбиране той е конфигуриран да работи седмично.

Под Настройки >> напреднал

Персонализирана бисквитка & удар с глава – предоставете вашата персонализирана бисквитка и заглавие за теста

Сканиране от мобилен телефон – можете да стартирате сканирането от различни потребителски агент. Полезно, ако искате да тествате като мобилен потребител, потребителски клиент и т.н..

Деактивирайте специфичен тест – не искате да тествате някои конкретни елементи за сигурност? Можете да го деактивирате от тук.

За вас …

Ако сериозно се опитвате да намерите уязвими места за сигурност от хакерската перспектива, след това опитайте да откриете. Можеш създайте пробен акаунт да проучи характеристиките.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map