Come analizzare il tuo sito Web come Hacker per trovare vulnerabilità?

Una guida dettagliata per individuare i difetti di sicurezza all’interno delle applicazioni Web utilizzando Detectify scanner di vulnerabilità della sicurezza.


97% delle applicazioni testate da TrustWave era vulnerabile a uno o più rischi per la sicurezza.

Questo post sul blog è in collaborazione con Detectify.

La vulnerabilità delle applicazioni Web può causare attività commerciale e reputazionale perdita per l’azienda se non riparata in tempo.

La triste verità è che la maggior parte dei siti Web sono vulnerabili per la maggior parte del tempo. Un interessante relazione di Sicurezza del cappello bianco mostra i giorni medi per correggere la vulnerabilità per settore.

Come ti assicuri di esserlo consapevole di vulnerabilità note e sconosciute nelle tue applicazioni web?

Esistono molti scanner di sicurezza basati su cloud per aiutarti. In questo articolo, parlerò di una delle piattaforme SaaS più promettenti: Detectify.

Detectify si integra con il processo di sviluppo per trovare il rischio per la sicurezza in un fase iniziale (ambiente di gestione temporanea / non di produzione), in modo da mitigarli prima di andare in diretta.

L’integrazione dello sviluppo è solo una delle tante caratteristiche eccellenti e facoltativo se non si dispone di un ambiente di gestione temporanea.

Detectify utilizza un crawler costruito internamente per eseguire la scansione del sito Web e ottimizzare il test in base alle tecnologie utilizzate nelle applicazioni Web.

Una volta scansionato, il tuo sito Web viene testato per più di 500 vulnerabilità, inclusa la top 10 di OWASP, e fornirti un rapporto attuabile di ogni risultato.

Rileva caratteristiche

Alcune delle caratteristiche degne di nota sono:

segnalazione – è possibile esportare i risultati della scansione come riepilogo o rapporto completo. Hai un’opzione per esportare come PDF, JSON o Trello. Puoi anche visualizzare il rapporto per OWASP top 10; questo sarebbe utile se il tuo obiettivo è quello di risolvere solo con i risultati OWASP.

Integrazione – è possibile utilizzare l’API Detectify per l’integrazione con le applicazioni o le seguenti.

  • Slack, Pager Duty, Hipchat – ricevi una notifica istantanea
  • JIRA: crea un problema per i risultati
  • Trello: ottieni i risultati nella scheda Trello
  • Zapier: automatizza i flussi di lavoro

Un gran numero di test – come accennato in precedenza, verifica la presenza di oltre 500 vulnerabilità e alcune di esse sono:

  • Iniezione SQL SQL / Blind / WPML / NoSQL
  • Scripting tra siti (XSS)
  • Falsificazione di richieste tra siti (CSRF)
  • Inclusione file remota / locale
  • Errore SQL
  • Sessione di accesso non crittografata
  • Perdite di informazioni
  • Email spoofing
  • Enumerazione email / utente
  • Sessione interrotta
  • XPATH
  • Malware

Non fare tutto da solo – invita la tua squadra a esibirsi e condividere i risultati

Personalizza i test – ogni applicazione è unica, quindi se necessario puoi inserire cookie / user agent / intestazioni personalizzati, modificare il comportamento del test e da diversi dispositivi.

Aggiornamenti di sicurezza continui – Lo strumento viene aggiornato regolarmente per garantire tutto il ultime vulnerabilità sono coperti e testati. Per esempio, proprio la scorsa settimana, sono stati aggiornati più di dieci nuovi test.

Sicurezza CMS – se stai gestendo un blog, un sito Web di informazioni, eCommerce, molto probabilmente lo utilizzerai CMS come WordPress, Joomla, Drupal, Magento e la buona notizia è che sono coperti dal test di sicurezza.

Detectify esegue CMS particolare test per assicurarsi che il tuo sito Web non sia esposto a minacce online che potrebbero derivare da esse.

Scansione della pagina protetta – sfoglia la pagina che si trova dietro il login.

Introduzione a Detectify

Individua le offerte 14 giorni di prova GRATUITA (nessuna carta di credito richiesta). Successivamente, creerò un account di prova ed eseguirò il test di sicurezza sul mio sito Web.

  • Riceverai un’email di conferma per verificare l’account

  • Fai clic su “Verifica l’e-mail per avviarla” e verrai reindirizzato alla dashboard con una schermata di benvenuto.

  • Potresti essere interessato a navigare attraverso la guida passo-passo o guardare il video, ma per ora chiuderò la finestra.

Ormai hai il tuo account creato e pronto per aggiungere il sito Web per eseguire la scansione. Nella dashboard, vedrai un menu “Scopes & obiettivi,”Fai clic su quello.

Esistono due modi per aggiungere il scopo (URL).

  1. manualmente – inserisci l’URL manualmente
  2. Automaticamente – importa l’URL con Google Analytics

Scegli quello che ti piace. Procederò importando attraverso statistiche di Google.

  • Fai clic su “Usa Google Analytics” e autentica il tuo account Google per recuperare le informazioni sull’URL. Una volta aggiunto, dovresti vedere le informazioni sull’URL.

Questo conclude che hai aggiunto l’URL per Detectify e, quando è pronto, puoi eseguire la scansione su richiesta o programma per eseguirlo quotidianamente, settimanalmente o mensilmente.

Esecuzione di una scansione di sicurezza

È un divertimento momento attuale!

  • Andiamo nella dashboard e facciamo clic sull’URL che hai appena aggiunto.
  • Fai clic su “Inizia scansione“In basso a destra

Inizierà la scansione sette passi come segue e dovresti vedere lo stato di ciascuno

  • Di partenza
  • Raccolta di informazioni
  • crawling
  • fingerprinting
  • Analisi delle informazioni
  • Sfruttamento
  • finalizzazione

Ci vorrà del tempo (circa 3-4 ore in base alle dimensioni del sito Web) per eseguire la scansione completa. Puoi chiudere il browser e otterrai notifica via e-mail una volta terminata la scansione.

Ci sono volute circa 3,5 ore per completare la scansione di Geek Flare, e ho ottenuto questo.

È possibile fare clic su e-mail o accedere a una dashboard per visualizzare il rapporto.

Esplorazione di Detectify Report

La segnalazione è ciò che un proprietario di un sito Web o un analista di sicurezza cercherebbe. Suo essenziale poiché dovrai correggere i risultati che vedi nel rapporto.

Quando accedi alla Dashboard, vedrai il tuo elenco di siti Web.

Puoi vedere l’ultima data di scansione & tempistica, alcuni risultati e punteggio complessivo.

  • Icona rossa – alta
  • Icona gialla – media
  • Icona blu – bassa

L’alta severità è pericoloso, e dovrebbe essere sempre il primo da correggere nell’elenco delle priorità.

Diamo un’occhiata al rapporto dettagliato. Fai clic sul sito Web dalla dashboard e ti porterà alla pagina di panoramica.

Qui hai due opzioni in “Punteggio delle minacce”. Puoi visualizzare il risultato in linea o esportali in PDF.

Ho esportato il mio rapporto in PDF, ed erano 351 pagine profondo.

Un rapido esempio di risultati online, è possibile espanderli per visualizzare le informazioni dettagliate.

Ogni risultato è spiegato in modo chiaro e possibile raccomandazioni quindi se sei un analista della sicurezza; un rapporto dovrebbe fornirti informazioni sufficienti per risolverli.

I 10 migliori rapporti di OWASP – se ti interessa OWASP top 10 rapporto sugli elementi di sicurezza, quindi puoi visualizzarli in “Rapporti“Nella barra di navigazione a sinistra.

Quindi vai avanti e guarda il rapporto per vedere cosa devi risolvere. Una volta riparato il rilevamento, è possibile eseguire nuovamente la scansione per verificarlo.

Esplorazione delle impostazioni di Detectify

Ci sono alcune impostazioni utili che potresti voler giocare in base al requisito.

Sotto Impostazioni >> di base

Limite richiesta – se si desidera che Detectify limiti il ​​numero di richieste al secondo al proprio sito Web, è possibile personalizzare qui. Per impostazione predefinita, è disabilitato.

sottodominio – puoi indicare a Detectify di non scoprire il sottodominio per la scansione. È abilitato per impostazione predefinita.

Imposta scansioni ricorrenti – modifica la pianificazione per eseguire la scansione di sicurezza giornaliera, settimanale o mensile. Per impostazione predefinita, è configurato per l’esecuzione settimanale.

Sotto Impostazioni >> Avanzate

Cookie personalizzato & intestazione – fornire il cookie e l’intestazione personalizzati per il test

Scansione da cellulare – è possibile eseguire la scansione da diversi user-agent. Utile se vuoi testare come un utente mobile, un client personalizzato, ecc.

Disabilita test specifici – non vuoi provare alcuni elementi di sicurezza specifici? Puoi disabilitarlo da qui.

A voi…

Se sei serio nel trovare vulnerabilità di sicurezza da la prospettiva dell’hacker, quindi provare a Detectify. Puoi creare un account di prova per esplorare le funzionalità.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map