Hvernig á að greina vefsíðuna þína eins og tölvusnápur til að finna veikleika?

Skref fyrir skref leiðbeiningar til að finna öryggisgalla innan vefforrita með því að nota Greina öryggis varnarleysiskannann.


97% af forritum sem TrustWave prófaði var viðkvæm fyrir einni eða fleiri öryggisáhættu.

Þessi bloggfærsla er í samstarfi við Detectify.

Varnarleysi vefforrits getur valdið viðskipti og orðstír tap fyrir félagið ef ekki er bætt á réttum tíma.

Sorglegi sannleikurinn er að flestar vefsíður eru viðkvæmar oftast. An áhugavert skýrslu af Öryggi White Hat sýnir meðaldaga til að laga varnarleysi eftir atvinnugreinum.

Hvernig tryggir þú að þú sért það meðvitaður af þekktum og óþekktum varnarleysi í vefforritunum þínum?

Það eru margir skýjabundnir öryggisskannar til að hjálpa þér við það. Í þessari grein mun ég tala um einn efnilegasta SaaS vettvang – Greina.

Greina samþættir þróunarferlinu þínu til að finna öryggisáhættuna við snemma (sviðsetning / umhverfi án framleiðslu), svo að draga úr þeim áður en þú ferð í beinni útsendingu.

Þróunarsamþætting er aðeins ein af mörgum framúrskarandi eiginleika og valfrjálst ef þú ert ekki með sviðsetningarumhverfi.

Detectify notar innbyggðan skriðara til að skríða vefsíðuna þína og hámarka prófið út frá tækni sem notuð er í vefforritunum.

Þegar skriðið er skreytt er vefsíðan þín prófuð í meira en 500 varnarleysi, þar á meðal OWASP topp 10, og gefðu þér greinanlegar skýrslur um hverja niðurstöðu.

Finnið eiginleika

Sumir af the þess virði að nefna eiginleika eru:

Skýrslur – Þú getur flutt út skönnunarniðurstöðurnar sem yfirlit eða í skýrslu. Þú hefur möguleika á að flytja út sem PDF, JSON eða Trello. Þú getur líka skoðað skýrsluna eftir OWASP topp 10; þetta væri handhægt ef markmið þitt er að laga aðeins með niðurstöðum OWASP.

Sameining – þú getur notað Detectify API til að samþætta forritin þín eða eftirfarandi.

  • Slack, Pager Duty, Hipchat – fáðu þegar í stað tilkynningu
  • JIRA – búið til mál fyrir niðurstöðurnar
  • Trello – fáðu niðurstöðurnar í Trello borð
  • Zapier – sjálfvirkan verkflæði

Mikill fjöldi prófa – eins og fyrr segir, það kannar meira en 500 varnarleysi og sumar þeirra eru:

  • SQL / Blind / WPML / NoSQL SQL innspýting
  • Handrit yfir vefi (XSS)
  • Krossæðasjúkdómsbeiðni (CSRF)
  • Fjarlæg / Local skrá aðskilin
  • SQL villa
  • Ódulkóðað innskráningarlotan
  • Upplýsingar leka
  • Ósvikin með tölvupósti
  • Tölvupóstur / notandi
  • Brotinn fundur
  • XPATH
  • Spilliforrit

Ekki gera allt eitt og sér – bjóða liðinu þínu að framkvæma og deila árangri

Aðlaga próf – hvert forrit er einstakt, svo ef nauðsyn krefur geturðu sett sérsniðna fótspor / notendaviðmiða / hausa, breytt prófhegðun og frá mismunandi tækjum.

Stöðugar öryggisuppfærslur – Tólið er uppfært reglulega til að tryggja allt nýjustu varnarleysi eru hulin og prófuð. Fyrir fyrrverandi, bara í síðustu viku, meira en tíu ný próf voru uppfærð.

CMS öryggi – ef þú ert að reka blogg, upplýsingavef, e-verslun þá er líklegast að þú notir það CMS eins og WordPress, Joomla, Drupal, Magento og góðu fréttirnar eru þær að þær eru fjallað í öryggisprófinu.

Uppgötva framkvæma CMS sérstaklega próf til að tryggja að vefsíðan þín verði ekki fyrir ógnum á netinu sem kunna að hafa stafað af þeim.

Skanna verndaða síðu – flettu á síðunni sem er á bak við innskráninguna.

Byrjaðu með Uppgötva

Finnið tilboð 14 daga FRJÁLS prufuáskrift (ekkert kreditkort krafist). Í framhaldinu mun ég stofna prufureikning og framkvæma öryggisprófið á vefsíðu minni.

  • Þú munt fá staðfestingu í tölvupósti til að staðfesta reikninginn

  • Smelltu á „Staðfestu tölvupóstinn til að koma honum af stað,“ og þér verður vísað á mælaborðið með velkominn skoðunarskjá.

  • Þú gætir haft áhuga á að fletta í gegnum skref-fyrir-skref leiðbeiningar eða horfa á myndbandið, en í bili mun ég loka glugganum.

Núna er reikningurinn þinn búinn til og tilbúinn til að bæta við vefsíðunni til að keyra skannann. Á mælaborðinu sérðu valmynd „Gildissvið & Markmið,”Smelltu á það.

Það eru tvær leiðir til að bæta við umfang (URL).

  1. Handvirkt – sláðu inn slóðina handvirkt
  2. Sjálfkrafa – flytja inn slóðina með Google Analytics

Veldu þann sem þú vilt. Ég mun halda áfram með innflutningi í gegnum Google Analytics.

  • Smelltu á „Nota Google Analytics“ og sannvotta Google reikninginn þinn til að sækja upplýsingar um slóðina. Þegar því er bætt við ættirðu að sjá upplýsingar um slóðina.

Þetta ályktar að þú hafir bætt við slóðinni til að greina og þegar þú ert tilbúin geturðu keyrt skönnunina eftirspurn eða áætlun að keyra það daglega, vikulega eða mánaðarlega.

Keyra öryggisskönnun

Það er gaman tími núna!

  • Förum á stjórnborðið og smelltu á vefslóðina sem þú bætti bara við.
  • Smellur “Ræstu skannann”Hægra megin

Það byrjar skönnunina inn sjö skref eins og hér á eftir og þú ættir að sjá stöðu hvers og eins

  • Byrjar
  • Upplýsingaöflun
  • Skrið
  • Fingrafar
  • Upplýsingagreining
  • Hagnýting
  • Klára

Það mun taka nokkurn tíma (u.þ.b. 3-4 klukkustundir miðað við stærð vefsins) að keyra alla skannunina. Þú getur lokað vafranum og þú munt fá það tilkynning með tölvupósti þegar skönnuninni er lokið.

Það tók um 3,5 klukkustundir að klára skannann fyrir Geek Flare og ég fékk þetta.

Þú getur annað hvort smellt á tölvupóst eða skráð þig inn á mælaborð til að skoða skýrslu.

Að kanna greiningarskýrslu

Skýrslur eru það sem vefsíða eigandi eða öryggisfræðingur myndi leita að. Það er nauðsynleg þar sem þú þarft að laga niðurstöðurnar sem þú sérð í skýrslunni.

Þegar þú skráir þig inn á stjórnborðið sérðu vefsíðulistann þinn.

Þú getur séð síðasta skannadagsetningu & tímasetning, nokkrar niðurstöður og heildarstig.

  • Rauða táknið – hátt
  • Gult táknið – miðill
  • Blá táknmynd – lág

Mikil alvarleiki er hættulegt, og það ætti alltaf að vera það fyrsta til að laga á forgangslistanum þínum.

Við skulum skoða ítarlega skýrslu. Smelltu á vefsíðuna frá mælaborðinu og það fer með þig á yfirlitssíðuna.

Hér hefur þú tvo valkosti undir „Ógnunarstig.“ Annaðhvort geturðu skoðað fundinn á netinu eða flytja þær til PDF.

Ég flutti út skýrsluna mína í PDF og hún var 351 blaðsíða ítarlega.

Skjótt dæmi um niðurstöður á netinu, þú getur stækkað þær til að sjá ítarlegar upplýsingar.

Hver niðurstaða er skýrð á skýran og mögulegan hátt meðmæli svo ef þú ert öryggissérfræðingur; skýrsla ætti að gefa þér nægar upplýsingar til að laga þær.

OWASP topp 10 skýrslur – ef þú hefur bara áhuga á OWASP topp 10 öryggisatriði skýrslu þá geturðu skoðað þau undir „Skýrslur“Á vinstri stýrihnappinum.

Svo farðu á undan og skoðaðu skýrsluna til að sjá hvað þú hefur lagað. Þegar þú hefur lagfært niðurstöðuna geturðu keyrt skannann aftur til að staðfesta það.

Kanna skynjunarstillingar

Það eru nokkrar gagnlegar stillingar sem þú vilt kannski leika við það út frá kröfunni.

Undir Stillingar >> undirstöðu

Beiðni um takmörkun – Ef þú vilt að Detectify takmarki fjölda beiðna sem það gerir á sekúndu á vefsíðuna þína geturðu sérsniðið hér. Sjálfgefið er að það er óvirk.

Undirlén – þú getur sagt Detectify að uppgötva ekki undirlén við skönnunina. Það er sjálfgefið virkt.

Setja upp endurteknar skannanir – breyttu áætluninni til að keyra öryggisskannun daglega, vikulega eða mánaðarlega. Sjálfgefið er að það sé stillt til að keyra vikulega.

Undir Stillingar >> Háþróaður

Sérsniðin kex & haus – afhentu sérsniðna kex og haus fyrir prófið

Skannaðu úr farsíma – þú getur keyrt skannann frá mismunandi umboðsmanni notanda. Gagnlegt ef þú vilt prófa eins og farsíma notandi, sérsniðinn viðskiptavinur osfrv.

Gera sérstakt próf óvirkt – viltu ekki prófa ákveðin öryggisatriði? Þú getur slökkt á því héðan.

Yfir til þín…

Ef þér er alvara með að finna öryggisleysi frá sjónarhorn spjallþráðsins, reyndu síðan að greina. Þú getur stofna prufureikning að kanna eiginleika.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map