Kuidas analüüsida oma veebisaiti nagu häkker haavatavuste leidmiseks?

Üksikasjalik juhend veebirakenduste turvavead leidmiseks, kasutades turvaaukude tuvastamise skännerit.


97% TrustWave’i testitud rakenduste versioon oli haavatav ühe või mitme turvariski suhtes.

See ajaveebi postitus on koostöös Detectifyga.

Võib põhjustada veebirakenduste haavatavus äri ja maine kahju ettevõttele, kui seda ei heastata õigel ajal.

Kurb tõde on see, et enamik veebisaite on enamasti haavatavad. An huvitav aruanne Valge mütsi turvalisus näitab keskmist päeva haavatavuse parandamiseks majandusharude kaupa.

Kuidas tagate, et olete? teadlik teie veebirakenduste teadaolevatest ja tundmatutest haavatavustest?

Selles on abiks palju pilvepõhiseid turvaskannereid. Selles artiklis räägin ühest paljulubavamast SaaS-i platvormist – Tuvastama.

Tuvastama integreerub teie arendusprotsessiga turvariski leidmiseks varajases staadiumis (lavastuskeskkond / mittetootmiskeskkond), nii et leevendate neid enne otseülekannet.

Arenguintegratsioon on vaid üks paljudest suurepärased omadused ja valikuline, kui teil pole lavastuskeskkonda.

Detectify kasutab teie veebisaidi indekseerimiseks ja testi optimeerimiseks sisemiselt ehitatud indekseerijat, mis põhineb veebirakendustes kasutatavatel tehnoloogiatel.

Kui olete indekseerinud, testitakse teie veebisaiti enam kui 500 haavatavust, sealhulgas OWASP top 10, ja anname teile iga leiu kohta teostatava aruande.

Funktsioonide tuvastamine

Mõned mainimist väärt funktsioonid on järgmised:

Aruandlus – saate skannimistulemused eksportida kokkuvõttena või tervikaruandena. Teil on võimalus eksportida PDF-, JSON- või Trello-vormingus. Aruannet saate vaadata ka OWASP 10 parimat; see oleks mugav, kui teie eesmärk on parandada ainult OWASP-i leidudega.

Integreerimine – saate rakenduse Detectify API abil integreerida oma rakendustega või järgmistega.

  • Lõtvus, Pager Duty, Hipchat – saate sellest kohe teada
  • JIRA – loo leidude jaoks teema
  • Trello – saate tulemusi Trello tahvlist
  • Zapier – töövoogude automatiseerimine

Suur arv teste – nagu varem mainitud, kontrollib see enam kui 500 turvaauku ja mõned neist on:

  • SQL / Blind / WPML / NoSQL SQL-i süstimine
  • Saidideülene skriptimine (XSS)
  • Saitideülene võltsimise taotlus (CSRF)
  • Kausta / kohaliku faili kaasamine
  • SQL-i viga
  • Krüptimata sisselogimisseanss
  • Teabe lekked
  • E-posti kelmused
  • E-posti / kasutajate loend
  • Katkenud seanss
  • XPATH
  • Pahavara

Ära tee kõike üksi – kutsuge oma meeskond esinema ja tulemusi jagama

Testide kohandamine – iga rakendus on unikaalne, nii et vajadusel saate panna kohandatud küpsiseid / kasutajaagente / päiseid, muuta testkäitumist ja erinevatest seadmetest.

Pidevad turvavärskendused – Tööriista ajakohastatakse regulaarselt, et tagada kõigi uusimad haavatavused on kaetud ja testitud. Ex jaoks, just eelmisel nädalal, uuendati üle kümne uue testi.

CMS turvalisus – kui teil on ajaveeb, teabeveebisait või e-kaubandus, siis tõenäoliselt kasutate seda CMS nagu WordPress, Joomla, Drupal, Magento ja hea uudis on see, et need on turvatestiga kaetud.

Detectify sooritab CMS eriti testida, et veenduda, et teie veebisait ei puutu kokku veebipõhiste ohtudega, mis võivad nendest tuleneda.

Skaneerige kaitstud leht – sirvida sisselogimise taga olevat lehte.

Tuvastamise alustamine

Tuvastage pakkumised 14 päeva TASUTA prooviperiood (krediitkaarti pole vaja). Seejärel loon proovikonto ja teen oma veebisaidil turvatesti.

  • Konto kinnitamiseks saate meilisõnumi

  • Alustamiseks klõpsake nuppu „Kinnitage e-kiri“ ja teid suunatakse juhtpaneeli juurde koos tervitusreisi ekraaniga.

  • Võib-olla olete huvitatud samm-sammulises juhendis liikumisest või video vaatamisest, kuid praegu panen akna kinni.

Nüüdseks on teie konto loodud ja veebisaidi skannimise ettevalmistamiseks valmis. Armatuurlaual näete menüüd „Reguleerimisala & Sihtmärgid,Klõpsake sellel.

Selle lisamiseks on kaks võimalust ulatus (URL).

  1. Käsitsi – sisestage URL käsitsi
  2. Automaatselt – URL-i importimine Google Analyticsiga

Valige endale meelepärane. Jätkan importimisega läbi Google Analytics.

  • URL-i teabe hankimiseks klõpsake „Kasuta Google Analyticsit“ ja autentige oma Google’i kontot. Pärast lisamist peaksite nägema URL-i teavet.

Siit järeldatakse, et olete lisanud tuvastamiseks URL-i ja kui see on valmis, saate käivitada nõudmisel kontrollimise või ajakava seda päeva, nädala või kuu jooksul käivitada.

Turvaskaneerimise käitamine

See on lõbus aeg nüüd!

  • Läheme armatuurlauale ja klõpsake äsja lisatud URL-il.
  • Klõpsake „Alusta skannimist”Paremas allosas

See alustab skannimist sisse seitse sammu kui järgmine ja peaksite nägema nende olekut

  • Alustades
  • Informatsiooni kogumine
  • Roomab
  • Sõrmejäljed
  • Teabe analüüs
  • Ekspluateerimine
  • Lõpetamine

Täieliku skannimise käivitamine võtab natuke aega (umbes 3-4 tundi vastavalt veebisaidi suurusele). Võite brauseri sulgeda ja saate teatis e-posti teel kui skannimine on lõpetatud.

Geek Flare’i skannimiseks kulus umbes 3,5 tundi ja ma sain selle kätte.

Selle kuvamiseks võite klõpsata e-posti aadressil või sisse logida juhtpaneelile aruanne.

Avastamise tuvastamise aruande uurimine

Aruandlus on see, mida veebisaidi omanik või turbeanalüütik otsiks. On küll hädavajalik kuna peate parandama aruandes nähtavad leiud.

Juhtpaneelile sisse logides näete oma veebisaitide loendit.

Näete viimast skannimiskuupäeva & ajastus, mõned leiud ja üldine tulemus.

  • Punane ikoon – kõrge
  • Kollane ikoon – keskmine
  • Sinine ikoon – madal

Suur raskusaste on ohtlik, ja see peaks alati olema teie prioriteetide loendis esimene.

Vaatame üksikasjalikku aruannet. Klõpsake juhtpaneelil veebisaidil ja see viib teid ülevaate lehele.

Siin on jaotises „Ohu skoor” kaks võimalust. Lehte saate vaadata kas siis veebis või eksportige nad siia PDF.

Eksportisin oma aruande PDF-vormingus ja see oli 351 lehekülge põhjalikult.

Kiire näide veebitulemustest, saate neid laiendada, et näha üksikasjalikku teavet.

Iga tulemus on selgitatud selgelt ja võimalik soovitused nii et kui olete turvaanalüütik; aruanne peaks andma teile nende parandamiseks piisavalt teavet.

OWASP 10 parimat aruandlust – kui olete lihtsalt huvitatud OWASP 10 parimat turvaelementide aruandest, siis saate neid vaadata jaotises “Aruanded”Vasakpoolsel navigeerimisribal.

Nii et minge edasi ja uurige aruannet, et näha, mida peate parandama. Kui olete leiu parandanud, saate selle kontrollimiseks uuesti skannida.

Avastage sätete tuvastamine

Seal on mõned kasulikud seaded, mida võiksite selle nõude põhjal mängida.

Jaotises Seaded >> põhiline

Taotluse limiit – kui soovite, et funktsioon Tuvastamine piiraks teie veebisaidile sekundis tehtavate taotluste arvu, saate siin kohandada. Vaikimisi on see keelatud.

Alamdomeen – võite anda käsku Detectify mitte avastada skannimiseks alamdomeeni. See on vaikimisi lubatud.

Seadista korduv skannimine – muutke turvaskaneerimise ajakava päeva, nädala või kuu jooksul. Vaikimisi on see konfigureeritud töötama igal nädalal.

Jaotises Seaded >> Täpsemad

Kohandatud küpsis & päis – andke testi jaoks oma kohandatud küpsis ja päis

Skaneeri mobiililt – saate skannimist käivitada erinevatest kasutajaagentidest. Kasulik, kui soovite testida nagu mobiilikasutaja, kohandatud klient jne.

Keela konkreetne test – kas te ei soovi mõnda konkreetset turvaelementi testida? Siit saate selle keelata.

Sinu kord…

Kui olete tõsiselt otsinud turvaaukude asukohta häkkerite perspektiiv, proovige siis tuvastada. Sa saad looge proovikonto funktsioonide uurimiseks.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map