¿Cómo analizar su sitio web como Hacker para encontrar vulnerabilidades?

Una guía paso a paso para encontrar fallas de seguridad dentro de las aplicaciones web usando el escáner de vulnerabilidad de seguridad Detectify.


97% de las aplicaciones probadas por TrustWave era vulnerable a uno o más riesgos de seguridad.

Esta publicación de blog está en colaboración con Detectify.

La vulnerabilidad de la aplicación web puede causar negocio y reputacional pérdida para la empresa si no se remedia a tiempo.

La triste verdad es que la mayoría de los sitios web son vulnerables la mayor parte del tiempo. Un interesante informe por Seguridad de sombrero blanco muestra los días promedio para corregir la vulnerabilidad por industria.

¿Cómo te aseguras de que eres consciente de vulnerabilidades conocidas y desconocidas en sus aplicaciones web?

Hay muchos escáneres de seguridad basados ​​en la nube para ayudarlo con eso. En este artículo, hablaré sobre una de las plataformas SaaS más prometedoras: Detectar.

Detectar se integra con su proceso de desarrollo para encontrar el riesgo de seguridad en un Etapa temprana (entorno de ensayo / no producción), por lo que debe mitigarlos antes de la puesta en marcha.

La integración del desarrollo es solo uno de los muchos excelentes características y opcional si no tiene un entorno de ensayo.

Detectify utiliza un rastreador creado internamente para rastrear su sitio web y optimizar la prueba en función de las tecnologías utilizadas en las aplicaciones web.

Una vez rastreado, su sitio web se prueba por más de 500 vulnerabilidades, incluidos los 10 principales de OWASP, y darle un informe procesable de cada hallazgo.

Detectar características

Algunas de las características que vale la pena mencionar son:

Informes – Puede exportar los resultados del análisis como un resumen o un informe completo. Tiene una opción para exportar como PDF, JSON o Trello. También puede ver el informe por OWASP top 10; esto sería útil si su objetivo es solucionarlo solo con los hallazgos de OWASP.

Integración – puede usar Detectify API para integrarse con sus aplicaciones o lo siguiente.

  • Slack, Pager Duty, Hipchat: recibe una notificación al instante
  • JIRA: crea un problema para los hallazgos
  • Trello – obtenga los resultados en el tablero de Trello
  • Zapier: automatice los flujos de trabajo

Una gran cantidad de pruebas – como se mencionó anteriormente, verifica más de 500 vulnerabilidades, y algunas de ellas son:

  • Inyección SQL SQL / Blind / WPML / NoSQL
  • Cross-site scripting (XSS)
  • Falsificación de solicitudes entre sitios (CSRF)
  • Inclusión remota / local de archivos
  • Error de SQL
  • Sesión de inicio de sesión sin cifrar
  • Fugas de información.
  • Suplantación de correo electrónico
  • Correo electrónico / enumeración de usuarios
  • Sesión rota
  • XPATH
  • Malware

No hagas todo solo – invita a tu equipo a realizar y compartir los resultados

Personalizar pruebas – cada aplicación es única, por lo que si es necesario puede colocar cookies / agentes de usuario / encabezados personalizados, cambiar el comportamiento de la prueba y desde diferentes dispositivos.

Actualizaciones continuas de seguridad – La herramienta se actualiza periódicamente para garantizar que últimas vulnerabilidades están cubiertos y probados. Por ejemplo, solo la semana pasada, se actualizaron más de diez nuevas pruebas.

Seguridad CMS – si está ejecutando un blog, sitio web de información, comercio electrónico, lo más probable es que esté utilizando CMS como WordPress, Joomla, Drupal, Magento, y la buena noticia es que están cubiertos en la prueba de seguridad.

Detectar realiza CMS particular prueba para asegurarse de que su sitio web no esté expuesto a las amenazas en línea que puedan haber surgido de ellas.

Escanear página protegida – navegar por la página que está detrás del inicio de sesión.

Comenzando con Detectify

Detectar ofertas 14 días de prueba GRATIS (No se requiere tarjeta de crédito). A continuación, crearé una cuenta de prueba y realizaré la prueba de seguridad en mi sitio web.

  • Recibirá un correo electrónico de confirmación para verificar la cuenta.

  • Haga clic en “Verificar el correo electrónico para comenzar” y será redirigido al tablero con una pantalla de bienvenida..

  • Puede que le interese navegar por la guía paso a paso o ver el video, pero por ahora, cerraré la ventana.

Por ahora, tiene su cuenta creada y lista para agregar el sitio web para ejecutar el escaneo. En el tablero, verá un menú “Alcances & Objetivos,”Haga clic en eso.

Hay dos formas de agregar el alcance (URL).

  1. A mano – ingrese la URL manualmente
  2. Automáticamente – importar la URL con Google Analytics

Elige el que más te guste. Continuaré importando a través de Google analitico.

  • Haga clic en “Usar Google Analytics” y autentique su cuenta de Google para recuperar la información de la URL. Una vez agregado, debería ver la información de la URL.

Esto concluye que ha agregado la URL a Detectify y, cuando esté listo, puede ejecutar el escaneo a pedido o calendario para ejecutarlo diariamente, semanalmente o mensualmente.

Ejecutar un escaneo de seguridad

Es un divertido Ahora!

  • Vayamos al tablero y haga clic en la URL que acaba de agregar.
  • Haga clic en “Iniciar escaneo“En la parte inferior derecha

Comenzará el escaneo en siete pasos de la siguiente manera y deberías ver el estado de cada

  • Comenzando
  • Recopilación de información
  • Gateando
  • Huellas dactilares
  • Análisis de la información
  • Explotación
  • Finalizacion

Llevará un tiempo (aproximadamente 3-4 horas según el tamaño del sitio web) ejecutar el análisis completo. Puede cerrar el navegador y obtendrá notificación por correo electrónico una vez que finaliza el escaneo.

Me llevó alrededor de 3,5 horas completar el escaneo de Geek Flare, y obtuve esto.

Puede hacer clic en el correo electrónico o iniciar sesión en un panel para ver el reporte.

Explorando el informe de detección

Informar es lo que estaría buscando un propietario de un sitio web o un analista de seguridad. Sus esencial ya que necesitará corregir los hallazgos que ve en el informe.

Cuando inicie sesión en el Panel, verá la lista de su sitio web.

Puedes ver la última fecha de escaneo & tiempo, algunos hallazgos y puntaje general.

  • Icono rojo – alto
  • Icono amarillo – medio
  • Icono azul – bajo

Alta gravedad es peligroso, y siempre debe ser el primero en solucionarlo en su lista de prioridades.

Echemos un vistazo al informe detallado. Haga clic en el sitio web desde el panel de control y lo llevará a la página de resumen.

Aquí tiene dos opciones en “Puntaje de amenaza”. O puedes ver el hallazgo en línea o exportarlos a PDF.

Exporté mi informe en PDF, y tenía 351 páginas, eso es a fondo.

Un ejemplo rápido de hallazgos en línea, puede expandirlos para ver la información detallada.

Cada resultado se explica de forma clara y posible recomendaciones así que si eres un analista de seguridad; un informe debería brindarle suficiente información para corregirlos.

10 informes principales de OWASP – si solo te interesa OWASP top 10 informe de elementos de seguridad, puede verlos en “Informes“En la barra de navegación izquierda.

Así que ve y mira el informe para ver qué tienes que arreglar. Una vez que repare el hallazgo, puede ejecutar el escaneo nuevamente para verificarlo.

Explorando la configuración de Detectify

Hay algunas configuraciones útiles con las que puede jugar según el requisito.

En Configuración >> básico

Límite de solicitud – si desea que Detectify limite la cantidad de solicitudes que realiza por segundo a su sitio web, puede personalizarlas aquí. Por defecto, está deshabilitado.

Subdominio – puede indicarle a Detectify que no descubra el subdominio para el escaneo. Está habilitado por defecto.

Configurar escaneos recurrentes – cambie la programación para ejecutar el análisis de seguridad diariamente, semanalmente o mensualmente. De forma predeterminada, está configurado para ejecutarse semanalmente.

En Configuración >> Avanzado

Cookie personalizada & encabezamiento – proporcione su cookie y encabezado personalizados para la prueba

Escanear desde el móvil – puede ejecutar el escaneo desde diferentes agentes de usuario. Útil si desea realizar pruebas como un usuario móvil, un cliente personalizado, etc..

Desactivar prueba específica – ¿No quieres probar algunos elementos de seguridad específicos? Puedes deshabilitarlo desde aquí.

A ti…

Si se toma en serio la búsqueda de vulnerabilidades de seguridad de la perspectiva del hacker, luego intente detectar. Usted puede crear una cuenta de prueba para explorar las características.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map