Ինչպե՞ս վերլուծել ձեր կայքէջը, ինչպես հաքերը `խոցելիություններ գտնելու համար:

Քայլ առ քայլ ուղեցույց ՝ վեբ ծրագրերում անվտանգության թերությունները հայտնաբերելու համար, Օգտագործելով Հայտարարել անվտանգության խոցելիության սկաները.


97% TrustWave- ի կողմից փորձարկված դիմումները խոցելի էին անվտանգության ապահովման մեկ կամ մի քանի ռիսկերի համար.

Բլոգի այս հաղորդագրությունը համագործակցում է Detectify- ի հետ.

Վեբ դիմումների խոցելիությունը կարող է առաջացնել բիզնես և հեղինակավոր կորուստը ընկերությանը, եթե ժամանակին չվերականգնվի.

Տխուր ճշմարտությունն այն է, որ կայքերի մեծ մասը ժամանակի ընթացքում խոցելի են: Ան հետաքրքիր է զեկուցել է Սպիտակ գլխարկի անվտանգություն ցույց է տալիս միջին օրեր `արդյունաբերության կողմից խոցելիությունը շտկելու համար.

Ինչպե՞ս եք ապահովում այդպիսին տեղյակ ձեր վեբ ծրագրերում հայտնի և անհայտ խոցելիությունների մասին?

Դրա համար կօգնեն ամպի վրա հիմնված անվտանգության բազմաթիվ սկաներ: Այս հոդվածում ես կխոսեմ SaaS ամենահեռանկարային պլատֆորմներից մեկի մասին ` Հայտնաբերել.

Հայտնաբերել ինտեգրվում է ձեր զարգացման գործընթացին `անվտանգության ռիսկը միանգամից գտնելու համար սկզբնաշրջան (բեմադրում / ոչ արտադրական միջավայր), այնպես որ դրանք մեղմացնում եք նախքան կենդանի ապրելը.

Զարգացման ինտեգրումը շատերից մեկն է միայն գերազանց հատկություններ և ըստ ցանկության, եթե չունեք բեմական միջավայր.

Detectify- ը օգտագործում է ներկառուցված սողացողը ձեր կայքը սողալու և թեստը օպտիմալացնելու համար ՝ վեբ ծրագրերում օգտագործված տեխնոլոգիաների հիման վրա.

Սայթաքելուց հետո ձեր կայքը փորձարկվում է ավելին քան 500 խոցելիություն, ներառյալ OWASP լավագույն 10-ը, և ձեզ տալիս է յուրաքանչյուր բացահայտման գործուն զեկույց.

Որոշել հատկությունները

Հատկանշական են որոշ առանձնահատկություններ.

Հաղորդում – Դուք կարող եք արտահանել սկանավորման արդյունքները `որպես ամփոփ կամ ամբողջական զեկույց: Արտահանման տարբերակ ունեք որպես PDF, JSON կամ Trello: Կարող եք դիտել զեկույցը նաև OWASP լավագույն 10-ը; սա օգտակար կլինի, եթե ձեր նպատակը միայն OWASP- ի գտածոների ամրագրումն է.

Ինտեգրում – Դուք կարող եք օգտագործել Detectify API- ը `ձեր ծրագրերին կամ հետևյալներին ինտեգրվելու համար.

  • Slack, Pager Duty, Hipchat – անմիջապես տեղեկացեք
  • IRԻՐԱ – ստեղծել արդյունքների համար արդյունքների համար
  • Trello – ստացեք արդյունքները Trello տախտակում
  • Zapier – ավտոմատացնել աշխատանքային հոսքերը

Մեծ թվով թեստեր – ինչպես արդեն նշվել է ավելի վաղ, այն ստուգում է ավելի քան 500 խոցելիություն, և դրանցից մի քանիսը.

  • SQL / Blind / WPML / NoSQL SQL ներարկում
  • Խաչմերուկների գրություններ (XSS)
  • Խաչմերուկների հարցման կեղծիք (CSRF)
  • Հեռավոր / Տեղական ֆայլերի ընդգրկում
  • SQL սխալ
  • Չգրանցված մուտքի նստաշրջան
  • Տեղեկատվության արտահոսքեր
  • Էլ.փոստի փչացում
  • Էլ.փոստի / օգտագործողի թվարկում
  • Կոտրված նիստ
  • XPATH
  • Չարամիտ

Մի արա ամեն ինչ մենակ – հրավիրեք ձեր թիմին կատարել և կիսել արդյունքները

Անհատականացրեք թեստերը – յուրաքանչյուր ծրագիր յուրահատուկ է, այնպես որ անհրաժեշտության դեպքում կարող եք տեղադրել սովորական cookie / օգտագործողի գործակալներ / վերնագրեր, փոխել փորձարկման պահվածքը և տարբեր սարքերից.

Անընդհատ անվտանգության թարմացումներ – Գործիքը պարբերաբար թարմացվում է `բոլորը ապահովելու համար վերջին խոցելիությունները ծածկված և փորձարկված են: Նախկինում, պարզապես անցած շաբաթ, թարմացվել են ավելի քան տասը նոր թեստեր.

CMS անվտանգություն – եթե բլոգ, տեղեկատվական կայք, էլեկտրոնային առևտուր եք վարում, ապա, ամենայն հավանականությամբ, դուք կօգտագործեք CMS ինչպես WordPress- ը, Joomla- ն, Drupal- ը, Magento- ն, և լավ նորությունն այն է, որ դրանք ընդգրկված են անվտանգության թեստում.

Հայտնաբերել կատարում է CMS մասնավորապես փորձարկում ՝ ձեր վեբ կայքը չի ենթարկվում առցանց սպառնալիքների, որոնք կարող են առաջացել դրանցից.

Պաշտպանեք պաշտպանված էջ – թերթեք մուտքի հետևում գտնվող էջը.

Սկսում ենք հայտնաբերել

Հայտնաբերեք առաջարկները 14 օր ԱՆՎԱՐ փորձություն (կրեդիտ քարտ չի պահանջվում): Հետևելով ՝ ես կստեղծեմ փորձարկման հաշիվ և կկատարեմ անվտանգության ստուգում իմ կայքում.

  • Հաշիվը հաստատելու համար կստանաք էլփոստի հաստատում

  • Կտտացրեք «Ստուգեք էլ. Փոստը, որպեսզի այն սկսեք»: Դուք կուղղորդվեք դեպի վահանակ ՝ ողջունվող շրջայցի էկրանով.

  • Ձեզ կարող է հետաքրքրել քայլ առ քայլ ուղեցույցով նավարկելը կամ տեսանյութը դիտելը, բայց առայժմ ես կփակեմ պատուհանը.

Այս պահի դրությամբ ձեր հաշիվը ստեղծվել է և պատրաստ է ավելացնել կայքը `սկան գործարկման համար: Վահանակի վրա կտեսնեք «Շրջանակներ & Նպատակներ,«Սեղմեք այդ վրա.

Այն ավելացնելու երկու եղանակ կա շրջանակը (URL).

  1. Ձեռքով – ձեռքով մուտքագրեք URL- ն
  2. Ինքնաբերաբար – URL- ն ներմուծեք Google Analytics- ի միջոցով

Ընտրեք մեկը, որը ձեզ դուր է գալիս: Ես կշարունակեմ ներմուծել Google Analytics.

  • Կտտացրեք «Օգտագործեք Google Analytics» և հաստատեք ձեր Google հաշիվը ՝ URL- ի տեղեկությունները ստանալու համար: Ավելացվելուց հետո դուք պետք է տեսնեք URL- ի տեղեկատվությունը.

Սա եզրակացնում է, որ դուք ավելացրել եք URL հայտնաբերելու համար, և երբ պատրաստ է, կարող եք գործարկել ըստ պահանջարկի սկան կամ ժամանակացույց այն գործարկել ամեն օր, շաբաթական կամ ամսական.

Անվտանգության սկան վարելը

Դա ա զվարճալի ժամանակն է հիմա!

  • Եկեք գնանք դեպի վահանակ և կտտացրեք ձեր ավելացրած URL- ին.
  • Սեղմել “Սկսեք սկան«Աջ ներքևում

Այն կսկսի սկան ներխուժել յոթ քայլ որպես հետևյալ, և դուք պետք է տեսնեք յուրաքանչյուրի կարգավիճակը

  • Սկսելով
  • Տեղեկատվական հավաքույթ
  • Սողացող
  • Մատնահետքեր
  • Տեղեկատվության վերլուծություն
  • Շահագործում
  • Վերջնականացում

Ամբողջ սկանն աշխատելու համար կպահանջվի որոշ ժամանակ (մոտավորապես 3-4 ժամ `ելնելով կայքի չափից): Կարող եք փակել զննարկիչը, և կստանաք ծանուցում էլ. փոստով սկանն ավարտելուց հետո.

Geek Flare- ի սկանավորումն ավարտելու համար պահանջվեց շուրջ 3,5 ժամ, և ես ստացա դա.

Դիտելու համար կարող եք կամ սեղմել էլ.փոստով կամ մուտք գործել վահանակ զեկուցել.

Հայտնաբերելով Detectify զեկույցը

Հաղորդագրությունն այն է, ինչ փնտրում է կայքի սեփականատերը կամ անվտանգության վերլուծաբանը: Դա է էական քանի որ դուք պետք է շտկեք այն արդյունքները, որոնք տեսնում եք զեկույցում.

Երբ դուք մուտք եք գործում Dashboard- ում, կտեսնեք ձեր վեբ կայքի ցանկը.

Դուք կարող եք տեսնել վերջին սկան ամսաթիվը & ժամանակացույցը, որոշ բացահայտումներ և ընդհանուր գնահատականը.

  • Կարմիր պատկերակ – բարձր
  • Դեղին պատկերակ `միջին
  • Կապույտ պատկերակը – ցածր

Բարձր խստությունն է վտանգավոր, և այն միշտ պետք է առաջինը դնի ձեր առաջնահերթությունների ցանկում.

Եկեք դիտարկենք մանրամասն զեկույցը: Կտտացրեք վեբ կայքից, և այն կտանի ձեզ նկարագրության էջ.

Այստեղ դուք ունեք երկու տարբերակ ՝ «Սպառնալիքների միավոր»: Կամ դուք կարող եք դիտել գտածոը առցանց կամ արտահանել դրանք PDF.

Ես զեկույցս արտահանել եմ PDF- ով, և դա 351 էջ էր, դա է խորքային.

Առցանց բացահայտումների արագ օրինակ, դուք կարող եք ընդլայնել դրանք `մանրամասն տեղեկություններ ստանալու համար.

Յուրաքանչյուր արդյունք բացատրվում է պարզ և հնարավոր առաջարկություններ այնպես որ, եթե դուք անվտանգության վերլուծաբան եք. հաշվետվությունը պետք է ձեզ բավարար տեղեկատվություն տա դրանք շտկելու համար.

OWASP լավագույն 10 հաշվետվությունները – եթե ձեզ պարզապես հետաքրքրում է OWASP լավագույն 10-ը անվտանգության իրերը զեկուցում են, ապա դրանք կարող եք դիտել «Զեկույցներ»Նավիգացիայի ձախ բարում.

Ուստի անցեք և դիտեք զեկույցը `տեսնելու, թե ինչ եք ստացել շտկելու համար: Հայտնաբերությունը վերականգնելուց հետո դուք կարող եք կրկին գործարկել սկան `այն հաստատելու համար.

Հետազոտել հայտնաբերելու պարամետրերը

Կան մի քանի օգտակար պարամետրեր, որոնք դուք կարող եք ցանկանալ դրանց հիման վրա խաղալ.

Պարամետրերի տակ >> հիմնական

Հայցման սահմանը – եթե ցանկանում եք, որ Detectify- ը սահմանափակի ձեր կայքին ամեն վայրկյան կատարվող հարցումների քանակը, կարող եք հարմարեցնել այստեղ: Լռելյայն, այն անջատված է.

Ենթադոմեյն – Դուք կարող եք հրահանգել Detectify- ին չպարզել ենթադոմեյնը սկանավորման համար: Դա միացված է լռելյայն.

Կրկնվող սկանավորումների կարգավորում – փոխել անվտանգության սկանն ամեն օր, շաբաթական կամ ամսական փոխելու ժամանակացույցը: Լռելյայն, կազմաձևված է գործարկել ամեն շաբաթ.

Պարամետրերի տակ >> Առաջադեմ

Պատվերով թխվածքաբլիթ & վերնագիր – մատակարարեք ձեր սովորական cookie- ն և վերնագիրը քննության համար

Սկանել բջջայինից – Դուք կարող եք գործարկել սկան տարբեր օգտագործողի գործակալներից: Օգտակար է, եթե ցանկանում եք փորձարկել ինչպես բջջային օգտագործողը, հաճախորդի հաճախորդը և այլն.

Անջատեք հատուկ քննությունը – չե՞ք ուզում ստուգել անվտանգության որոշակի առանձնահատկություններ: Դուք կարող եք այն անջատել այստեղից.

Ձեզնից ավելի…

Եթե ​​դուք լրջորեն եք վերաբերվում անվտանգության խոցելի թերություններին հակերների հեռանկարը, ապա փորձեք հայտնաբերել: Դու կարող ես ստեղծել դատական ​​հաշիվ ուսումնասիրել առանձնահատկությունները.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map