როგორ გავაანალიზოთ თქვენი ვებ-გვერდი ჰაკერების მსგავსად, რომ იპოვოთ დაუცველები?

ნაბიჯ ნაბიჯ სახელმძღვანელო უსაფრთხოების ხარვეზების მოსაძებნად ვებსაიტებში პროგრამების გამოყენებით უსაფრთხოების დაუცველების დაუცველების სკანერის გამოყენებით.


97% TrustWave- ის მიერ გამოცდილი აპლიკაციების ჩატარება დაუცველი იყო ერთი ან მეტი უსაფრთხოების რისკისგან.

ამ ბლოგის პოსტი თანამშრომლობს დეტექტივთან.

შეიძლება გამოიწვიოს ვებ-პროგრამის დაუცველობამ ბიზნესი და რეპუტაციის კომპანიისთვის ზარალი, თუ დროულად არ გამოსწორდა.

სამწუხარო სიმართლე ისაა, რომ ვებსაიტებზე უმეტესობა დაუცველია. ან საინტერესოა მოხსენება თეთრი ქუდი დაცვა გვიჩვენებს საშუალო დღეები ინდუსტრიის მიერ დაუცველების დასადგენად.

როგორ უზრუნველყოფთ თქვენ იცის თქვენს ვებ – პროგრამებში ცნობილი და უცნობი სუსტი მხარეების შესახებ?

არსებობს უამრავი ღრუბელიანი უსაფრთხოების სკანერი, რომელიც დაგეხმარებათ ამაში. ამ სტატიაში ვისაუბრებ SaaS– ის ერთ – ერთ ყველაზე პერსპექტიულ პლატფორმაზე – ამოცნობა.

ამოცნობა ინტეგრირდება თქვენს განვითარების პროცესში, უსაფრთხოების რისკის პოვნის დროს ადრეული სტადია (დადგმა / არაპროდუქტიული გარემო), ასე რომ, მათ შეამსუბუქებთ ცხოვრებას.

განვითარების ინტეგრაცია მხოლოდ ერთ – ერთია შესანიშნავი თვისებები და სურვილისამებრ, თუ არ გაქვთ ინსცენირების გარემო.

Detectify იყენებს შინაგან აშენებულ crawler- ს თქვენი ვებ – გვერდის მოსაყვანად და ტესტის ოპტიმიზაციისთვის ვებ – პროგრამებში გამოყენებული ტექნოლოგიების საფუძველზე.

მას შემდეგ, რაც იმოძრავეთ, თქვენს ვებსაიტზე მეტი ტესტირება ხდება 500 დაუცველობა, მათ შორის OWASP ტოპ 10-ის ჩათვლით, და მოგცემთ თითოეული დასკვნის მოქმედების ანგარიშს.

თვისებების დადგენა

აღსანიშნავია ზოგიერთი მახასიათებელი:

ანგარიშგება – თქვენ შეგიძლიათ განახორციელოთ სკანირების შედეგების ექსპორტის შეჯამება ან სრული ანგარიშის სახით. თქვენ გაქვთ შესაძლებლობა ექსპორტზე, როგორც PDF, JSON ან Trello. თქვენ ასევე შეგიძლიათ ნახოთ ანგარიში OWASP ტოპ 10; ეს გამოსადეგი იქნება, თუ თქვენი მიზანია მხოლოდ OWASP- ის შედეგებით დაფიქსირება.

ინტეგრაცია – შეგიძლიათ გამოიყენოთ Detectify API თქვენს აპლიკაციებთან ინტეგრაციისთვის ან შემდეგში.

  • Slack, Pager Duty, Hipchat – დაუყოვნებლივ მიიღეთ ინფორმაცია
  • JIRA – შექმენით საკითხი დასკვნებისთვის
  • Trello – მიიღეთ შედეგები Trello ფორუმში
  • ზაპერი – ავტომატიზირებული სამუშაოების წარმოება

დიდი რაოდენობით ტესტები – როგორც უკვე აღვნიშნეთ, ის ამოწმებს 500-ზე მეტ დაუცველობას და ზოგი მათგანი:

  • SQL / Blind / WPML / NoSQL SQL ინექცია
  • ჯვარედინი სკრიპტირება (XSS)
  • საიტის მოთხოვნის გაყალბება (CSRF)
  • დისტანციური / ადგილობრივი ფაილის ჩართვა
  • SQL შეცდომა
  • დაშიფრული შესვლის სესიას
  • ინფორმაციის გაჟონვა
  • ელ.ფოსტის გაფუჭება
  • ელ.ფოსტა / მომხმარებლის დათვლა
  • გატეხილი სესია
  • XPATH
  • Malware

მარტო ნუ გააკეთებ ყველაფერს – მოიწვიე შენი გუნდი, რომ შეასრულოს და გააზიაროს შედეგები

ტესტების მორგება – ყველა პროგრამა უნიკალურია, ასე რომ, საჭიროების შემთხვევაში, შეგიძლიათ განათავსოთ პერსონალური ქუქი-ფაილის / მომხმარებლის აგენტები / ჰედერები, შეცვალოთ ტესტის ქცევა და სხვადასხვა მოწყობილობებიდან.

უწყვეტი უსაფრთხოების განახლებები – ინსტრუმენტი რეგულარულად განახლდება, რომ უზრუნველყოს ყველა უახლესი დაუცველობები დაფარულია და ტესტირება. ყოფილი, მხოლოდ გასულ კვირას, ათზე მეტი ახალი ტესტი განახლდა.

CMS უსაფრთხოება – თუ ბლოგს, ინფორმაციულ ვებსაიტს, ელექტრონული კომერციას აწარმოებთ, მაშინ, სავარაუდოდ, გამოიყენებთ CMS WordPress, Joomla, Drupal, Magento და კარგი ამბავი ის არის, რომ ისინი უსაფრთხოების ტესტშია გაშუქებული.

ასრულებს შესრულებას განსაკუთრებით CMS ტესტი, რომ თქვენი ვებ – გვერდი არ ექვემდებარება ონლაინ საფრთხეებს, რომლებიც შეიძლება წარმოიშვას მათგან.

დაცული გვერდის სკანირება – დაათვალიერეთ გვერდი, რომელიც შესვლის უკან არის.

დაწყება ამოცნობით

შეამოწმეთ შეთავაზებები 14 დღე უფასო საცდელი (საკრედიტო ბარათის საჭიროება არ არის საჭირო). შემდეგ, მე შევქმნი საცდელი ანგარიშს და ვასრულებ უსაფრთხოების ტესტს ჩემს ვებსაიტზე.

  • თქვენ მიიღებთ ელ.ფოსტის დადასტურებას ანგარიშის გადამოწმებისთვის

  • დააჭირეთ ღილაკს “გადაამოწმეთ ელ.წერილი, რომ დაიწყოთ”, და თქვენ გადამისამართდებით დაფაზე მისასალმებელი ტურის ეკრანით.

  • თქვენ შეიძლება დაგაინტერესოთ ნაბიჯ ნაბიჯ სახელმძღვანელოს ნავიგაცია ან ვიდეოს ყურება, მაგრამ ახლა, ფანჯარას დავხურავ.

ამ დროისთვის თქვენ შექმენით თქვენი ანგარიში და მზად ხართ დაამატოთ ვებგვერდი სკანირების შესასრულებლად. დაფაზე, ნახავთ მენიუს ”სფეროები & მიზნები,”დააჭირეთ მას.

დამატების ორი გზა არსებობს მასშტაბები (URL).

  1. Ხელით – შეიყვანეთ URL ხელით
  2. ავტომატურად – URL იმპორტის Google Analytics– ით

აირჩიე ის, რაც შენ მოგწონს. გავაგრძელებ იმპორტირებას Google Analytics.

  • დააჭირეთ ღილაკს “გამოიყენეთ Google Analytics” და გადაამოწმეთ თქვენი Google ანგარიში, რომ მიიღოთ URL ინფორმაცია. დამატების შემდეგ, თქვენ უნდა ნახოთ URL ინფორმაცია.

ეს ასკვნის, რომ თქვენ დაამატეთ URL, რათა დაფიქსირდეს და, როდესაც ის მზად არის, შეგიძლიათ აწარმოოთ სკანერის მოთხოვნა ან გრაფიკი ყოველდღიურად, ყოველკვირეულად ან ყოველთვიურად.

უსაფრთხოების სკანირების ჩატარება

Ეს არის მხიარული ახლა ახლა!

  • მოდით, გადავიდეთ Dashboard- ში და დააჭიროთ თქვენს მიერ დამატებულ URL- ს.
  • დააჭირეთ ღილაკსდაიწყეთ სკანირება”მარჯვენა ბოლოში

ის დაიწყებს სკანირებას შვიდი ნაბიჯი როგორც შემდეგ და თქვენ უნდა ნახოთ თითოეული მათგანის სტატუსი

  • დაწყებული
  • Ინფორმაციის მოძიება
  • Მცოცავი
  • თითის ანაბეჭდი
  • ინფორმაციის ანალიზი
  • ექსპლუატაცია
  • ფინალიზაცია

სრული სკანირების შესასრულებლად გარკვეული დრო დასჭირდება (ვებსაიტის ზომაზე დაყრდნობით, დაახლოებით 3-4 საათი). თქვენ შეგიძლიათ დახუროთ ბრაუზერი და მიიღებთ შეტყობინება ელ.ფოსტით სკანირების დასრულების შემდეგ.

Geek Flare– ს სკანირების დასრულებას დაახლოებით 3,5 საათი დასჭირდა, მე კი ეს მივიღე.

თქვენ შეგიძლიათ დააჭიროთ ელ.წერილს, ან გადახვიდეთ დაფაზე, რომ ნახოთ მოხსენება.

დეტექტივის ანგარიშის შესწავლა

ანგარიშგება არის ის, რასაც ეძებენ ვებგვერდის მფლობელი ან უსაფრთხოების ანალიტიკოსი. ეს არის არსებითი რადგან თქვენ დაგჭირდებათ დასკვნის დასადგენად, რაც იხილეთ ანგარიშში.

Dashboard- ში შესვლისას ნახავთ თქვენი ვებ – გვერდების სიას.

თქვენ შეგიძლიათ ნახოთ ბოლო სკანირების თარიღი & დრო, ზოგიერთი აღმოჩენა და საერთო ქულა.

  • წითელი ხატი – მაღალი
  • ყვითელი ხატი – საშუალო
  • ცისფერი ხატი – დაბალი

მაღალი სიმძიმეა საშიში, და ის ყოველთვის უნდა იყოს პირველი, ვინც გაითვალისწინებს თქვენს პრიორიტეტულ სიას.

მოდით გადახედოთ დეტალურ მოხსენებას. დააწკაპუნეთ ვებგვერდზე დაფადან და გადაგიყვანთ მიმოხილვის გვერდზე.

აქ ორი ვარიანტია “საფრთხის ქულის” მიხედვით. ან შეგიძლიათ ნახოთ ინტერნეტით ან მათ ექსპორტზე PDF.

მე გამოვაწერე ჩემი მოხსენება PDF და ეს იყო 351 გვერდი სიღრმისეული.

ონლაინ აღმოჩენების სწრაფი მაგალითია, შეგიძლიათ გააფართოვოთ დეტალური ინფორმაცია დეტალური ინფორმაციის სანახავად.

თითოეული შედეგი ნათელია და შესაძლებელი რეკომენდაციები ასე რომ, თუ უსაფრთხოების ანალიტიკოსი ხართ; ანგარიში უნდა მოგაწოდოთ საკმარისი ინფორმაცია მათი გამოსწორების მიზნით.

OWASP ტოპ 10 ანგარიში – თუ უბრალოდ გაინტერესებთ OWASP ტოპ 10 უსაფრთხოების ელემენტების შესახებ მოხსენება, შემდეგ შეგიძლიათ ნახოთ “ცნობები”მარცხენა სანავიგაციო ზოლში.

ასე რომ, წადით წინ და დაათვალიერეთ ანგარიში, რომ ნახოთ რა გამოსწორების მიზნით. მოძიების შეკეთების შემდეგ, თქვენ შეგიძლიათ კვლავ დააწყოთ სკანირება, რომ დაადასტუროთ იგი.

პარამეტრების განსაზღვრა

არსებობს რამდენიმე სასარგებლო პარამეტრი, რომელთა შესრულებაც გსურთ, მოთხოვნიდან გამომდინარე.

პარამეტრების ქვეშ >> ძირითადი

მოითხოვეთ ლიმიტი – თუ გსურთ Detectify შეზღუდოს მოთხოვნის რაოდენობა, რომელიც წამით აკეთებს წამს თქვენს ვებსაიტზე, შეგიძლიათ აქ აიყვანოთ. სტანდარტულად, ის გამორთულია.

ქვემდებარე – შეგიძლიათ დაავალოთ დაადგინოთ, რომ არ დაადგინოთ ქვემო დონის სკანირება. ეს ჩართულია ნაგულისხმევი.

განმეორებადი სკანირების დაყენება – შეცვალეთ გრაფიკი უსაფრთხოების სკანირების გასაშვებად ყოველდღიურად, ყოველკვირეულად ან ყოველთვიურად. სტანდარტულად, კონფიგურებულია ყოველკვირეული გაშვება.

პარამეტრების ქვეშ >> Მოწინავე

პერსონალური ფუნთუშა & თავსართი – მიაწოდეთ თქვენი საკუთარი ფუნთუშა და თავსართი ტესტირებისთვის

სკანირება მობილურიდან – შეგიძლიათ სკანირება განახორციელოთ სხვადასხვა მომხმარებლის აგენტისგან. გამოსადეგია, თუ გსურთ შეამოწმოთ როგორც მობილური მომხმარებელი, საკუთარი კლიენტი და ა.შ..

გამორთეთ კონკრეტული ტესტი – არ გსურთ უსაფრთხოების კონკრეტული ელემენტების ტესტირება? შეგიძლიათ აქ გამორთოთ.

შენზე მეტი…

თუ სერიოზულად უყურებთ უსაფრთხოების დაუცველობას ჰაკერების პერსპექტივა, შემდეგ სცადეთ დეტექტივის დადგენა. Შენ შეგიძლია შექმენით საცდელი ანგარიში შეისწავლონ მახასიათებლები.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map