Wie analysiere ich meine Website wie Hacker, um Schwachstellen zu finden?

Eine schrittweise Anleitung zum Auffinden von Sicherheitslücken in Webanwendungen mithilfe des Scanners “Sicherheitslücke erkennen”.


97% der von TrustWave getesteten Anwendungen war einem oder mehreren Sicherheitsrisiken ausgesetzt.

Dieser Blog-Beitrag ist in Zusammenarbeit mit Detectify.

Eine Sicherheitsanfälligkeit in Webanwendungen kann dazu führen Geschäft und Ruf Verlust für das Unternehmen, wenn nicht rechtzeitig behoben.

Die traurige Wahrheit ist, dass die meisten Websites die meiste Zeit anfällig sind. Ein interessant gemeldet von White Hat Sicherheit Zeigt durchschnittliche Tage an, um die Sicherheitsanfälligkeit nach Branchen zu beheben.

Wie stellen Sie sicher, dass Sie es sind? bewusst von bekannten und unbekannten Schwachstellen in Ihren Webanwendungen?

Es gibt viele Cloud-basierte Sicherheitsscanner, die Ihnen dabei helfen. In diesem Artikel werde ich über eine der vielversprechendsten SaaS-Plattformen sprechen – Erkennen.

Erkennen Integriert sich in Ihren Entwicklungsprozess, um das Sicherheitsrisiko bei einem zu finden frühen Zeitpunkt (Staging- / Nichtproduktionsumgebung), sodass Sie sie vor der Inbetriebnahme abmildern können.

Entwicklungsintegration ist nur eine von vielen hervorragende Eigenschaften und optional, wenn Sie keine Staging-Umgebung haben.

Detectify verwendet einen intern erstellten Crawler, um Ihre Website zu crawlen und den Test basierend auf den in den Webanwendungen verwendeten Technologien zu optimieren.

Nach dem Crawlen wird Ihre Website auf mehr als getestet 500 Schwachstellen, einschließlich OWASP Top 10, und geben Sie einen umsetzbaren Bericht über jeden Befund.

Funktionen erkennen

Einige der erwähnenswerten Funktionen sind:

Berichterstattung – Sie können die Scanergebnisse als Zusammenfassung oder als vollständigen Bericht exportieren. Sie haben die Möglichkeit, als PDF, JSON oder Trello zu exportieren. Sie können den Bericht auch anzeigen nach OWASP Top 10;; Dies wäre praktisch, wenn Ihr Ziel darin besteht, nur mit OWASP-Ergebnissen zu beheben.

Integration – Sie können die Detectify-API verwenden, um sie in Ihre Anwendungen oder Folgendes zu integrieren.

  • Slack, Pager Duty, Hipchat – lassen Sie sich sofort benachrichtigen
  • JIRA – Erstellen Sie ein Problem für die Ergebnisse
  • Trello – Holen Sie sich die Ergebnisse in Trello Board
  • Zapier – Arbeitsabläufe automatisieren

Eine große Anzahl von Tests – Wie bereits erwähnt, werden mehr als 500 Sicherheitslücken überprüft. Einige davon sind:

  • SQL / Blind / WPML / NoSQL SQL-Injection
  • Cross-Site-Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Remote / Local File Inclusion
  • SQL-Fehler
  • Unverschlüsselte Anmeldesitzung
  • Informationslecks
  • E-Mail-Spoofing
  • E-Mail / Benutzeraufzählung
  • Sitzung abgebrochen
  • XPATH
  • Malware

Mach nicht alles alleine – Laden Sie Ihr Team ein, die Ergebnisse durchzuführen und zu teilen

Passen Sie Tests an – Jede Anwendung ist einzigartig. Bei Bedarf können Sie die benutzerdefinierten Cookies / Benutzeragenten / Header ablegen, das Testverhalten ändern und von verschiedenen Geräten aus.

Kontinuierliche Sicherheitsupdates – Das Tool wird regelmäßig aktualisiert, um sicherzustellen, dass alle neueste Schwachstellen abgedeckt und getestet werden. Zum Beispiel erst letzte Woche, Mehr als zehn neue Tests wurden aktualisiert.

CMS-Sicherheit – Wenn Sie ein Blog, eine Informationswebsite oder einen E-Commerce betreiben, werden Sie diese höchstwahrscheinlich verwenden CMS wie WordPress, Joomla, Drupal, Magento und die gute Nachricht ist, dass sie im Sicherheitstest behandelt werden.

Erkennen führt durch CMS insbesondere Testen Sie, um sicherzustellen, dass Ihre Website keinen Online-Bedrohungen ausgesetzt ist, die möglicherweise durch sie entstanden sind.

Scangeschützte Seite – Durchsuchen Sie die Seite hinter dem Login.

Erste Schritte mit Detectify

Angebote erkennen 14 Tage kostenlose Testversion (Keine Kreditkarte benötigt). Anschließend erstelle ich ein Testkonto und führe den Sicherheitstest auf meiner Website durch.

  • Sie erhalten eine E-Mail-Bestätigung, um das Konto zu bestätigen

  • Klicken Sie auf “Überprüfen Sie die E-Mail, um sie zu starten”, und Sie werden mit einem Begrüßungsbildschirm zum Dashboard weitergeleitet.

  • Möglicherweise möchten Sie durch die Schritt-für-Schritt-Anleitung navigieren oder das Video ansehen, aber im Moment werde ich das Fenster schließen.

Inzwischen haben Sie Ihr Konto erstellt und können die Website hinzufügen, auf der der Scan ausgeführt werden soll. Auf dem Dashboard sehen Sie ein Menü “Geltungsbereich & Ziele,Klicken Sie darauf.

Es gibt zwei Möglichkeiten, das hinzuzufügen Umfang (URL).

  1. Manuell – Geben Sie die URL manuell ein
  2. Automatisch – Importieren Sie die URL mit Google Analytics

Wählen Sie die, die Sie mögen. Ich werde fortfahren, indem ich durch importiere Google Analytics.

  • Klicken Sie auf “Google Analytics verwenden” und authentifizieren Sie Ihr Google-Konto, um die URL-Informationen abzurufen. Nach dem Hinzufügen sollten die URL-Informationen angezeigt werden.

Damit ist der Schluss gezogen, dass Sie die URL zu “Erkennen” hinzugefügt haben. Wenn Sie dazu bereit sind, können Sie den Scan-on-Demand oder ausführen Zeitplan um es täglich, wöchentlich oder monatlich auszuführen.

Ausführen eines Sicherheitsscans

Es ist ein Spaß Zeit jetzt!

  • Gehen wir zum Dashboard und klicken Sie auf die URL, die Sie gerade hinzugefügt haben.
  • Klicken “Scan starten”Rechts unten

Der Scanvorgang wird gestartet sieben Schritte wie folgt und Sie sollten den Status von jedem sehen

  • Beginnend
  • Informationsbeschaffung
  • Krabbeln
  • Fingerabdruck
  • Informationsanalyse
  • Ausbeutung
  • Finalisierung

Es dauert einige Zeit (ca. 3-4 Stunden, abhängig von der Größe der Website), um den vollständigen Scan auszuführen. Sie können den Browser schließen, und Sie erhalten Benachrichtigung per E-Mail Sobald der Scan abgeschlossen ist.

Es dauerte ungefähr 3,5 Stunden, um den Scan für Geek Flare abzuschließen, und ich bekam dies.

Sie können entweder auf E-Mail klicken oder sich bei einem Dashboard anmelden, um das anzuzeigen Bericht.

Erkennungsbericht untersuchen

Die Berichterstellung ist das, wonach ein Websitebesitzer oder Sicherheitsanalyst suchen würde. Es ist wesentlich Sie müssen die Ergebnisse korrigieren, die Sie im Bericht sehen.

Wenn Sie sich beim Dashboard anmelden, wird Ihre Website-Liste angezeigt.

Sie können das Datum des letzten Scans sehen & Timing, einige Ergebnisse und Gesamtpunktzahl.

  • Rotes Symbol – hoch
  • Gelbes Symbol – mittel
  • Blaues Symbol – niedrig

Hohe Schwere ist gefährlich, und es sollte immer das erste sein, das in Ihrer Prioritätenliste behoben wird.

Werfen wir einen Blick auf den detaillierten Bericht. Klicken Sie im Dashboard auf die Website, um zur Übersichtsseite zu gelangen.

Hier haben Sie zwei Optionen unter “Bedrohungswert”. Entweder können Sie den Befund anzeigen online oder exportieren Sie nach PDF.

Ich habe meinen Bericht als PDF exportiert und er hatte 351 Seiten eingehend.

Als schnelles Beispiel für Online-Ergebnisse können Sie diese erweitern, um detaillierte Informationen anzuzeigen.

Jedes Ergebnis wird klar und möglich erklärt Empfehlungen Wenn Sie also ein Sicherheitsanalytiker sind, Ein Bericht sollte Ihnen genügend Informationen geben, um diese zu beheben.

OWASP Top 10 Berichterstattung – wenn Sie nur interessiert sind OWASP Top 10 Sicherheitselemente melden, dann können Sie sie unter „Berichte”In der linken Navigationsleiste.

Schauen Sie sich also den Bericht an, um zu sehen, was Sie reparieren müssen. Sobald Sie den Befund repariert haben, können Sie den Scan erneut ausführen, um ihn zu überprüfen.

Erkunden von Erkennungseinstellungen

Es gibt einige nützliche Einstellungen, mit denen Sie je nach Anforderung möglicherweise herumspielen möchten.

Unter Einstellungen >> Basic

Anforderungslimit – Wenn Sie möchten, dass Detectify die Anzahl der Anfragen pro Sekunde an Ihre Website begrenzt, können Sie diese hier anpassen. Standardmäßig ist es deaktiviert.

Subdomain – Sie können Detectify anweisen, die Subdomain für den Scan nicht zu ermitteln. Es ist standardmäßig aktiviert.

Richten Sie wiederkehrende Scans ein – Ändern Sie den Zeitplan, um den Sicherheitsscan täglich, wöchentlich oder monatlich auszuführen. Standardmäßig ist es so konfiguriert, dass es wöchentlich ausgeführt wird.

Unter Einstellungen >> Erweitert

Benutzerdefinierter Cookie & Header – Geben Sie Ihren benutzerdefinierten Cookie und Header für den Test an

Vom Handy aus scannen – Sie können den Scan von verschiedenen Benutzeragenten aus ausführen. Nützlich, wenn Sie wie ein mobiler Benutzer, ein benutzerdefinierter Client usw. Testen möchten.

Deaktivieren Sie einen bestimmten Test – Sie möchten bestimmte Sicherheitselemente nicht testen? Sie können es von hier aus deaktivieren.

Zu dir hinüber…

Wenn Sie es ernst meinen, Sicherheitslücken von zu finden die Hacker-Perspektive, Versuchen Sie dann zu erkennen. Du kannst Erstellen Sie ein Testkonto um die Funktionen zu erkunden.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map