دليل خطوة بخطوة للعثور على العيوب الأمنية داخل تطبيقات الويب باستخدام Detectify Securityضعف الماسح الضوئي.
97٪ من التطبيقات التي تم اختبارها بواسطة TrustWave كانت عرضة لمخاطر أمنية واحدة أو أكثر.
مشاركة المدونة هذه بالتعاون مع Detectify.
قد تسبب ثغرة تطبيق الويب اعمال و السمعة خسارة للشركة إذا لم يتم تصحيحها في الوقت المحدد.
الحقيقة المحزنة هي أن معظم مواقع الويب تكون ضعيفة في معظم الأوقات. An مثير للإعجاب تقرير القبعة البيضاء للأمن يُظهر متوسط الأيام لإصلاح الثغرة بحسب الصناعة.
كيف تضمن أنك واع من نقاط الضعف المعروفة وغير المعروفة في تطبيقات الويب الخاصة بك?
هناك العديد من الماسحات الضوئية الأمنية المستندة إلى السحابة لمساعدتك في ذلك. في هذه المقالة ، سأتحدث عن واحدة من أكثر منصات SaaS الواعدة – كشف.
كشف يتكامل مع عملية التطوير الخاصة بك للعثور على المخاطر الأمنية في المرحلة المبكرة (بيئة مرحلية / غير إنتاجية) ، لذا يمكنك تخفيفها قبل بدء البث المباشر.
التكامل الإنمائي هو مجرد واحد من العديد ميزات ممتازة واختيارية إذا لم يكن لديك بيئة مرحلية.
يستخدم Detectify زاحفًا مدمجًا داخليًا للزحف إلى موقعك على الويب وتحسين الاختبار بناءً على التقنيات المستخدمة في تطبيقات الويب.
بمجرد الزحف ، يتم اختبار موقع الويب الخاص بك لأكثر من 500 نقطة ضعف ، بما في ذلك OWASP أعلى 10, وتعطيك تقريرًا عمليًا لكل نتيجة.
كشف الميزات
بعض الميزات الجديرة بالذكر هي:
إعداد التقارير – يمكنك تصدير نتائج المسح كملخص أو تقرير كامل. لديك خيار للتصدير بتنسيق PDF أو JSON أو Trello. يمكنك أيضًا عرض التقرير بواسطة OWASP أعلى 10؛ سيكون هذا مفيدًا إذا كان هدفك هو الإصلاح فقط مع نتائج OWASP.
دمج – يمكنك استخدام Detectify API للتكامل مع تطبيقاتك أو ما يلي.
- سلاك ، بيجر ديوتي ، هيبشات – احصل على إخطار على الفور
- JIRA – إنشاء مشكلة للنتائج
- Trello – احصل على النتائج في لوحة Trello
- زابير – سير العمل الآلي
عدد كبير من الاختبارات – كما ذكرنا سابقًا ، فإنه يتحقق من وجود أكثر من 500 نقطة ضعف ، وبعضها:
- حقن SQL / Blind / WPML / NoSQL SQL
- البرمجة النصية عبر المواقع (XSS)
- تزييف الطلبات عبر المواقع (CSRF)
- تضمين الملف المحلي / البعيد
- خطأ SQL
- جلسة تسجيل دخول غير مشفرة
- تسرب المعلومات
- انتحال البريد الإلكتروني
- تعداد البريد الإلكتروني / المستخدم
- جلسة مكسورة
- XPATH
- البرامج الضارة
لا تفعل كل شيء بمفردك – دعوة فريقك لأداء ومشاركة النتائج
تخصيص الاختبارات – كل تطبيق فريد من نوعه ، لذلك إذا لزم الأمر يمكنك وضع ملفات تعريف الارتباط / وكلاء المستخدم / الرؤوس المخصصة ، وتغيير سلوك الاختبار ، ومن الأجهزة المختلفة.
تحديثات الأمان المستمرة – يتم تحديث الأداة بانتظام لضمان جميع أحدث نقاط الضعف يتم تغطيتها واختبارها. على سبيل المثال ، الأسبوع الماضي فقط, تم تحديث أكثر من عشرة اختبارات جديدة.
CMS Security – إذا كنت تقوم بتشغيل مدونة أو موقع ويب للمعلومات أو التجارة الإلكترونية ، فمن المرجح أنك ستستخدمها CMS مثل WordPress و Joomla و Drupal و Magento والأخبار الجيدة هي أنها مغطاة في اختبار الأمان.
كشف يؤدي CMS خاص اختبار لضمان عدم تعرض موقعك على الويب للتهديدات عبر الإنترنت التي قد تكون نشأت عنها.
مسح الصفحة المحمية – تصفح الصفحة التي وراء تسجيل الدخول.
الشروع في الكشف
كشف العروض تجربة مجانية لمدة 14 يومًا (بطاقة الإئتمان غير مطالب بها). بعد ذلك ، سوف أقوم بإنشاء حساب تجريبي وأجري اختبار الأمان على موقع الويب الخاص بي.
- املأ المعلومات الموجودة على صفحة إنشاء حساب تجريبي ثم انقر على متابعة.
- ستحصل على تأكيد عبر البريد الإلكتروني للتحقق من الحساب
- انقر على “التحقق من البريد الإلكتروني للبدء” ، وستتم إعادة توجيهك إلى لوحة التحكم مع شاشة جولة ترحيب.
- قد تكون مهتمًا بالتنقل خلال الدليل التفصيلي أو مشاهدة الفيديو ، ولكن في الوقت الحالي ، سأغلق النافذة.
الآن ، لقد قمت بإنشاء حسابك وجاهز لإضافة موقع الويب لتشغيل الفحص. على لوحة القيادة ، سترى قائمة “نطاقات & الأهداف,انقر على ذلك.
هناك طريقتان لإضافة نطاق (URL).
- يدويًا – أدخل عنوان URL يدويًا
- تلقائيا – استيراد عنوان URL باستخدام Google Analytics
اختر الشخص الذي يعجبك. سأواصل بالاستيراد من خلال تحليلات كوكل.
- انقر فوق “استخدام Google Analytics” والمصادقة على حساب Google الخاص بك لاسترداد معلومات URL. بمجرد الإضافة ، يجب أن تشاهد معلومات URL.
يستنتج هذا أنك أضفت عنوان URL إلى Detectify ، وكلما كنت جاهزًا ، يمكنك تشغيل المسح عند الطلب أو جدول لتشغيله يوميًا أو أسبوعيًا أو شهريًا.
تشغيل فحص الأمان
انه مرح الوقت الآن!
- دعنا نذهب إلى لوحة التحكم وانقر على عنوان URL الذي أضفته للتو.
- انقر “ابدأ المسح“في أسفل اليمين
سيبدأ الفحص سبع خطوات على النحو التالي وسترى حالة كل منها
- بدء
- جمع المعلومات
- زحف
- البصمات
- تحليل المعلومات
- استغلال
- إنهاء
سيستغرق الأمر بعض الوقت (حوالي 3-4 ساعات بناءً على حجم الموقع) لتشغيل الفحص الكامل. يمكنك إغلاق المتصفح ، وسوف تحصل عليه الإخطار عن طريق البريد الإلكتروني بمجرد الانتهاء من الفحص.
استغرق الأمر حوالي 3.5 ساعة لإكمال الفحص لـ Geek Flare ، وحصلت على هذا.
يمكنك النقر على البريد الإلكتروني أو تسجيل الدخول إلى لوحة القيادة لعرض نقل.
استكشاف تقرير كشف
إعداد التقارير هو ما يبحث عنه مالك موقع الويب أو محلل الأمان. انها أساسى كما ستحتاج إلى إصلاح النتائج التي تراها في التقرير.
عند تسجيل الدخول إلى لوحة التحكم ، سترى قائمة موقع الويب الخاص بك.
يمكنك مشاهدة تاريخ الفحص الأخير & التوقيت وبعض النتائج والنتيجة الإجمالية.
- أيقونة حمراء – عالية
- رمز أصفر – متوسط
- الرمز الأزرق – منخفض
شدة عالية خطير, ويجب أن يكون دائمًا أول من يصلح في قائمة أولوياتك.
دعنا نلقي نظرة على التقرير التفصيلي. انقر على الموقع الإلكتروني من لوحة القيادة ، وسوف يأخذك إلى صفحة النظرة العامة.
هنا لديك خياران تحت عنوان “درجة التهديد”. إما يمكنك عرض النتيجة عبر الانترنت أو تصديرها إلى بي دي إف.
لقد صدّرت تقريري بتنسيق PDF ، وكان عدد صفحاته 351 صفحة في الصميم.
مثال سريع على النتائج عبر الإنترنت ، يمكنك توسيعها لرؤية المعلومات التفصيلية.
يتم شرح كل نتيجة بشكل واضح وممكن التوصيات لذلك إذا كنت محلل أمن ؛ يجب أن يمنحك التقرير معلومات كافية لإصلاحها.
أعلى 10 تقارير OWASP – إذا كنت مهتمًا فقط OWASP أعلى 10 تقرير عناصر الأمان ثم يمكنك عرضها ضمن “التقارير“في شريط التنقل الأيسر.
لذا ، تفضل وانظر في التقرير لمعرفة ما عليك إصلاحه. بمجرد إصلاح النتيجة ، يمكنك تشغيل الفحص مرة أخرى للتحقق منها.
استكشاف كشف الإعدادات
هناك بعض الإعدادات المفيدة التي قد ترغب في اللعب بها بناءً على المتطلبات.
ضمن الإعدادات >> الأساسي
حد الطلب – إذا كنت ترغب في أن يقوم Detectify بتحديد عدد الطلبات التي يقوم بها في الثانية لموقعك على الويب ، فيمكنك تخصيصها هنا. بشكل افتراضي ، يتم تعطيله.
النطاق الفرعي – يمكنك توجيه Detectify بعدم اكتشاف نطاق فرعي لإجراء الفحص. يتم تمكينه افتراضيًا.
قم بإعداد عمليات المسح المتكررة – تغيير الجدول الزمني لتشغيل الفحص الأمني يوميًا أو أسبوعيًا أو شهريًا. بشكل افتراضي ، تمت تهيئته للعمل أسبوعيًا.
ضمن الإعدادات >> المتقدمة
ملف تعريف ارتباط مخصص & العنوان – قم بتوفير ملف تعريف الارتباط المخصص والرأس الخاص بك للاختبار
المسح الضوئي من الهاتف المحمول – يمكنك تشغيل الفحص من وكيل مستخدم مختلف. مفيد إذا كنت تريد اختبار مثل مستخدم الهاتف المحمول ، العميل المخصص ، وما إلى ذلك.
تعطيل اختبار محدد – ألا تريد اختبار بعض عناصر الأمان المحددة؟ يمكنك تعطيله من هنا.
أنتقل إليك …
إذا كنت جادًا بشأن العثور على ثغرات أمنية من منظور القراصنة, ثم حاول الكشف. تستطيع إنشاء حساب تجريبي لاستكشاف الميزات.
