Een stapsgewijze handleiding voor het opsporen van beveiligingsfouten in webapplicaties met behulp van Detectify security vulnerability scanner.
97% van de door TrustWave geteste applicaties was kwetsbaar voor een of meer beveiligingsrisico’s.
Deze blogpost is in samenwerking met Detectify.
Een kwetsbaarheid voor webapplicaties kan dit veroorzaken bedrijf en reputatie verlies voor het bedrijf indien niet tijdig hersteld.
De trieste waarheid is dat de meeste websites meestal kwetsbaar zijn. Een interessant rapporteren door White Hat-beveiliging toont gemiddelde dagen om de kwetsbaarheid per bedrijfstak op te lossen.
Hoe zorg je ervoor dat je dat bent bewust bekende en onbekende kwetsbaarheden in uw webapplicaties?
Er zijn veel cloudgebaseerde beveiligingsscanners om u daarbij te helpen. In dit artikel zal ik het hebben over een van de meest veelbelovende SaaS-platforms – Detecteer.
Detecteer integreert met uw ontwikkelingsproces om het veiligheidsrisico op een vroeg stadium (staging / niet-productieomgeving), dus u verzacht ze voordat u live gaat.
Ontwikkelingsintegratie is slechts een van de vele uitstekende eigenschappen en optioneel als je geen staging-omgeving hebt.
Detectify gebruikt een intern gebouwde crawler om uw website te crawlen en de test te optimaliseren op basis van technologieën die in de webapplicaties worden gebruikt.
Eenmaal gecrawld, wordt uw website voor meer dan getest 500 kwetsbaarheden, waaronder OWASP top 10, en geef je een bruikbaar rapport van elke bevinding.
Contents
Detecteer functies
Enkele van de noemenswaardige functies zijn:
Rapportage – u kunt de scanresultaten exporteren als een samenvatting of een volledig rapport. Je hebt een optie om te exporteren als PDF, JSON of Trello. U kunt het rapport ook bekijken op OWASP top 10; dit zou handig zijn als het uw doel is om alleen te repareren met OWASP-bevindingen.
Integratie – u kunt Detectify API gebruiken om te integreren met uw applicaties of het volgende.
- Slack, Pager Duty, Hipchat – ontvang direct een melding
- JIRA – maak een probleem voor de bevindingen
- Trello – krijg de resultaten in het Trello-bord
- Zapier – automatiseer workflows
Een groot aantal tests – zoals eerder vermeld, controleert het op meer dan 500 kwetsbaarheden, waaronder enkele:
- SQL / Blind / WPML / NoSQL SQL-injectie
- Cross-site scripting (XSS)
- Cross-site aanvraagvervalsing (CSRF)
- Externe / lokale bestandsopname
- SQL-fout
- Onversleutelde inlogsessie
- Informatielekken
- E-mailspoofing
- Opsomming van e-mail / gebruiker
- Gebroken sessie
- XPATH
- Malware
Doe niet alles alleen – nodig uw team uit om de resultaten uit te voeren en te delen
Pas tests aan – elke applicatie is uniek, dus indien nodig kunt u de aangepaste cookie / user agents / headers plaatsen, testgedrag wijzigen en van verschillende apparaten.
Continue beveiligingsupdates – De tool wordt regelmatig bijgewerkt om ervoor te zorgen dat alle nieuwste kwetsbaarheden zijn gedekt en getest. Bijvoorbeeld vorige week, meer dan tien nieuwe tests zijn bijgewerkt.
CMS-beveiliging – als u een blog, informatiewebsite, eCommerce runt, zult u hoogstwaarschijnlijk gebruiken CMS zoals WordPress, Joomla, Drupal, Magento, en het goede nieuws is dat ze worden behandeld in de beveiligingstest.
Detectify presteert Bijzonder CMS test om ervoor te zorgen dat uw website niet wordt blootgesteld aan online bedreigingen die daaruit kunnen zijn voortgekomen.
Scan beveiligde pagina – blader door de pagina achter de login.
Aan de slag met Detectify
Detecteer aanbiedingen 14 dagen GRATIS proefperiode (geen kredietkaart nodig). Vervolgens maak ik een proefaccount aan en voer ik de beveiligingstest uit op mijn website.
- Vul de informatie op de proefaccount aanmaken pagina en klik op Doorgaan.
- U ontvangt een e-mailbevestiging om het account te verifiëren
- Klik op “Verifieer de e-mail om hem op gang te krijgen” en u wordt doorgestuurd naar het dashboard met een welkomsttourscherm.
- Mogelijk bent u geïnteresseerd in het navigeren door de stapsgewijze handleiding of het bekijken van de video, maar voorlopig sluit ik het venster.
Je hebt nu je account gemaakt en klaar om de website toe te voegen om de scan uit te voeren. Op het dashboard ziet u een menu “Bereik & Doelen,”Klik daarop.
Er zijn twee manieren om de bereik (URL).
- Handmatig – voer de URL handmatig in
- Automatisch – importeer de URL met Google Analytics
Kies degene die je leuk vindt. Ik ga door met importeren via Google Analytics.
- Klik op “Google Analytics gebruiken” en verifieer uw Google-account om de URL-informatie op te halen. Eenmaal toegevoegd, zou u de URL-informatie moeten zien.
Dit concludeert dat u de URL voor Detectify hebt toegevoegd en wanneer u klaar bent, kunt u de scan-on-demand of uitvoeren schema om het dagelijks, wekelijks of maandelijks uit te voeren.
Een beveiligingsscan uitvoeren
Het is een pret tijd nu!
- Laten we naar het dashboard gaan en op de URL klikken die je zojuist hebt toegevoegd.
- Klik “Start scan‘Rechtsonder
Het zal de scan starten zeven stappen als volgt en je zou de status van elk moeten zien
- Beginnend
- Informatie verzamelen
- Kruipen
- Vingerafdrukken
- Informatieanalyse
- Exploitatie
- Afronding
Het duurt even (ongeveer 3-4 uur op basis van de grootte van de website) om de volledige scan uit te voeren. U kunt de browser sluiten en u krijgt melding per e-mail zodra de scan is voltooid.
Het duurde ongeveer 3,5 uur om de scan voor Geek Flare te voltooien, en ik kreeg dit.
U kunt op e-mail klikken of inloggen op een dashboard om het te bekijken verslag doen van.
Onderzoek Detectify Report
Rapportage is waar een website-eigenaar of beveiligingsanalist naar op zoek is. Haar essentieel omdat u de bevindingen die u in het rapport ziet, moet corrigeren.
Wanneer u inlogt op het Dashboard, ziet u uw lijst met websites.
U kunt de laatste scandatum zien & timing, enkele bevindingen en algemene score.
- Rood pictogram – hoog
- Geel pictogram – medium
- Blauw pictogram – laag
Hoge ernst is gevaarlijk, en het zou altijd de eerste moeten zijn die in je prioriteitenlijst staat.
Laten we eens kijken naar het gedetailleerde rapport. Klik op de website vanuit het dashboard en u komt op de overzichtspagina.
Hier heb je twee opties onder “Bedreigingsscore”. Of je kunt de bevinding bekijken online of exporteer ze naar PDF.
Ik heb mijn rapport als pdf geëxporteerd en dat waren 351 pagina’s diepgaand.
Een snel voorbeeld van online bevindingen, u kunt ze uitbreiden om gedetailleerde informatie te zien.
Elk resultaat wordt duidelijk en mogelijk uitgelegd aanbevelingen dus als u een beveiligingsanalist bent; een rapport zou u voldoende informatie moeten geven om ze op te lossen.
OWASP top 10 rapportage – als je gewoon geïnteresseerd bent OWASP top 10 beveiligingsitems rapporteren dan kunt u ze bekijken onder “Rapporten”Aan de linker navigatiebalk.
Dus ga je gang en bekijk het rapport om te zien wat je moet oplossen. Nadat u de bevinding heeft hersteld, kunt u de scan opnieuw uitvoeren om deze te verifiëren.
Verkenning Detectify-instellingen
Er zijn enkele handige instellingen die u misschien wilt spelen met de vereiste.
Onder Instellingen >> eenvoudig
Verzoeklimiet – als u wilt dat Detectify het aantal verzoeken dat het per seconde doet naar uw website beperkt, kunt u dit hier aanpassen. Standaard is het uitgeschakeld.
Subdomein – u kunt Detectify opdracht geven om het subdomein voor de scan niet te ontdekken. Het is standaard ingeschakeld.
Stel terugkerende scans in – wijzig het schema om de beveiligingsscan dagelijks, wekelijks of maandelijks uit te voeren. Standaard is het geconfigureerd om wekelijks te worden uitgevoerd.
Onder Instellingen >> Geavanceerd
Aangepaste cookie & koptekst – geef uw aangepaste cookie en header op voor de test
Scannen vanaf mobiel – u kunt de scan uitvoeren vanaf verschillende user-agents. Handig als u wilt testen als een mobiele gebruiker, een aangepaste client, enz.
Schakel specifieke test uit – wil je bepaalde specifieke beveiligingsitems niet testen? Je kunt het vanaf hier uitschakelen.
Terug naar jou…
Als je serieus bent over het vinden van beveiligingslekken van het perspectief van hackers, probeer dan Detectify. Jij kan maak een proefaccount aan om de functies te verkennen.