使用Detectify安全漏洞扫描程序在Web应用程序中查找安全漏洞的分步指南.
97% TrustWave测试的应用程序中有一个或多个安全风险易受攻击.
这篇博客文章与Detectify合作.
Web应用程序漏洞可能导致 商业 和 名声 如果不及时补救会给公司造成损失.
可悲的事实是,大多数网站在大多数时间都是脆弱的。一个 有趣 报告人 白帽安全 显示按行业修复漏洞的平均天数.
你如何确保自己 知道的 Web应用程序中已知和未知的漏洞?
有许多基于云的安全扫描程序可以帮助您。在本文中,我将讨论最有前途的SaaS平台之一- 侦查.
侦查 与您的开发流程集成,以发现安全隐患 早期 (分段/非生产环境),因此您可以在上线之前缓解它们.
开发集成只是众多集成中的一种 出色的功能 如果没有暂存环境,则为可选.
Detectify使用内置的搜寻器来爬行您的网站,并根据Web应用程序中使用的技术优化测试.
抓取后,您的网站已进行了超过 500个漏洞,其中包括OWASP的前10个漏洞, 并为您提供每个发现的可行报告.
检测功能
一些值得一提的功能是:
报告中 –您可以将扫描结果导出为摘要或完整报告。您可以选择导出为PDF,JSON或Trello。您还可以通过以下方式查看报告 OWASP前10名;如果您的目标是仅使用OWASP结果进行修复,这将非常方便.
积分 –您可以使用Detectify API与您的应用程序或以下应用程序集成.
- Slack,Pager Duty,Hipchat –立即收到通知
- JIRA –为调查结果创建问题
- Trello –在Trello板中获得结果
- Zapier –自动化工作流程
大量测试 –如前所述,它检查了500多个漏洞,其中一些是:
- SQL / Blind / WPML / NoSQL SQL注入
- 跨站点脚本(XSS)
- 跨站点伪造请求(CSRF)
- 远程/本地文件包含
- SQL错误
- 未加密的登录会话
- 信息泄漏
- 电子邮件欺骗
- 电子邮件/用户枚举
- 会话中断
- XPATH
- 恶意软件
不要一个人做 –邀请您的团队执行并分享结果
定制测试 –每个应用程序都是唯一的,因此如有必要,您可以放置自定义Cookie /用户代理/标题,更改测试行为以及来自其他设备.
持续的安全更新 –该工具会定期更新,以确保所有 最新漏洞 被覆盖和测试。前一个礼拜, 更新了十多个新测试.
CMS安全 –如果您正在运行博客,信息网站,电子商务,那么很可能会使用 内容管理系统 像WordPress,Joomla,Drupal,Magento一样,好消息是安全测试中涵盖了它们.
检测执行 CMS特别 进行测试以确保您的网站不会受到在线威胁的威胁.
扫描受保护的页面 –浏览登录背后的页面.
Detectify入门
检测报价 14天免费试用 (无需信用卡)。接下来,我将创建一个试用帐户并在我的网站上执行安全测试.
- 填写信息 试用帐户创建页面 然后点击继续.
- 您会收到一封电子邮件确认,以验证该帐户
- 单击“验证电子邮件以开始使用”,然后您将被重定向到带有欢迎浏览屏幕的仪表板.
- 您可能有兴趣浏览分步指南或观看视频,但现在,我将关闭窗口.
至此,您已经创建了帐户,并准备添加网站以运行扫描。在信息中心上,您会看到一个菜单“范围 & 目标,”点击那个.
有两种方法可以添加 范围 (网址).
- 手动地 –手动输入网址
- 自动地 –使用Google Analytics(分析)导入URL
选择一个你喜欢的。我将通过导入 谷歌分析.
- 点击“使用Google Analytics(分析)”并验证您的Google帐户以检索URL信息。添加后,您应该会看到网址信息.
这说明您已将URL添加到Detectify,并且只要准备好,就可以运行按需扫描或 时间表 每天,每周或每月运行.
运行安全扫描
它是 好玩 是时候了!
- 让我们转到信息中心,然后点击刚刚添加的网址.
- 点击“开始扫描右下角的
它将开始扫描 七个步骤 如下所示,您应该看到每个状态
- 开始
- 信息收集
- 爬行
- 指纹识别
- 信息分析
- 开发
- 定案
运行完整扫描将需要一些时间(根据网站大小,大约需要3-4个小时)。您可以关闭浏览器,然后您将获得 通过电子邮件通知 一旦扫描完成.
花了大约3.5个小时来完成对Geek Flare的扫描,我知道了.
您可以单击电子邮件或登录到仪表板以查看 报告.
探索检测报告
网站所有者或安全分析师将需要报告。它的 必要 因为您将需要修正在报告中看到的发现.
登录到信息中心后,您将看到您的网站列表.
您可以看到最后一次扫描日期 & 时间,一些发现和总体得分.
- 红色图标–高
- 黄色图标–中
- 蓝色图标–低
高严重性是 危险的, 并且应该始终是您优先列表中第一个修复的.
让我们看一下详细的报告。从仪表板上单击网站,它将带您到概述页面.
在这里,“威胁评分”下有两个选项。您可以查看调查结果 线上 或将它们导出到 PDF格式.
我以PDF格式导出了报告,共351页, 深入地.
一个在线发现的快速示例,您可以展开它们以查看详细信息.
每个结果都清楚明确地说明了 建议 因此,如果您是安全分析师;报告应为您提供足够的信息来修复它们.
OWASP十大报告 –如果您只是感兴趣 OWASP前10名 安全项目报告,然后您可以在“报告书”在左侧导航栏中.
因此,继续研究该报告,以了解需要解决的问题。修复发现后,您可以再次运行扫描以对其进行验证.
探索检测设置
根据要求,您可能需要一些有用的设置.
在设置下 >> 基本的
要求限制 –如果要让Detectify限制每秒对网站发出的请求数,则可以在此处自定义。默认情况下,它是禁用的.
子域名 –您可以指示“检测”不要发现该扫描的子域。默认情况下启用.
设置定期扫描 –更改计划以每天,每周或每月运行安全扫描。默认情况下,它配置为每周运行.
在设置下 >> 高级
自订Cookie & 标头 –提供测试的自定义Cookie和标头
从手机扫描 –您可以从其他用户代理运行扫描。如果您想像移动用户,自定义客户端等进行测试,则很有用.
禁用特定测试 –不想测试某些特定的安全项目?您可以从这里禁用它.
交给你…
如果您真的想从中查找安全漏洞 黑客的观点, 然后尝试“检测”。您可以 创建一个试用帐户 探索功能.
