अपनी वेबसाईट का विश्लेषण कैसे करें जैसे हैकर को कमजोरियों का पता लगाना?

सुरक्षा भेद्यता स्कैनर का उपयोग करके वेब अनुप्रयोगों के भीतर सुरक्षा खामियों को खोजने के लिए एक कदम-दर-चरण मार्गदर्शिका.


97% TrustWave द्वारा परीक्षण किए गए आवेदनों में से एक या अधिक सुरक्षा जोखिम के लिए असुरक्षित था.

यह ब्लॉग पोस्ट Detectify के सहयोग से है.

वेब एप्लिकेशन भेद्यता का कारण हो सकता है व्यापार तथा प्रतिष्ठा यदि समय पर उपचार नहीं किया गया तो कंपनी को नुकसान.

दुखद सच यह है कि ज्यादातर वेबसाइटें ज्यादातर समय असुरक्षित होती हैं। एक दिलचस्प के जरिए सूचना सफेद टोपी सुरक्षा उद्योग द्वारा भेद्यता को ठीक करने के लिए औसत दिन दिखाता है.

आप यह कैसे सुनिश्चित करते हैं कि आप हैं अवगत आपके वेब अनुप्रयोगों में ज्ञात और अज्ञात भेद्यता?

आपकी मदद करने के लिए कई क्लाउड-आधारित सुरक्षा स्कैनर हैं। इस लेख में, मैं सबसे होनहार सास मंच में से एक के बारे में बात करूंगा – Detectify.

Detectify आपकी विकास प्रक्रिया के साथ सुरक्षा जोखिम को खोजने के लिए एकीकृत करता है प्राथमिक अवस्था (मंचन / गैर-उत्पादन वातावरण), इसलिए आप उन्हें गो-लाइव से पहले कम करें.

विकास एकीकरण कई में से एक है उत्कृष्ट विशेषताएं और वैकल्पिक यदि आपके पास मंचन का वातावरण नहीं है.

पता लगाएँ कि आपकी वेबसाइट को क्रॉल करने के लिए आंतरिक रूप से निर्मित क्रॉलर का उपयोग करता है और वेब एप्लिकेशन में उपयोग की जाने वाली तकनीकों के आधार पर परीक्षण का अनुकूलन करता है.

एक बार क्रॉल करने के बाद, आपकी वेबसाइट से अधिक के लिए परीक्षण किया जाता है 500 कमजोरियां, जिनमें ओडब्ल्यूएएसपी शीर्ष 10 शामिल हैं, और आपको प्रत्येक खोज की एक कार्रवाई योग्य रिपोर्ट दें.

विशेषताएँ पहचानें

ध्यान देने योग्य सुविधाओं में से कुछ हैं:

रिपोर्टिंग – आप एक सारांश या पूरी रिपोर्ट के रूप में स्कैन के परिणाम निर्यात कर सकते हैं। आपके पास PDF, JSON, या Trello के रूप में निर्यात करने का विकल्प है। आप रिपोर्ट भी देख सकते हैं OWASP शीर्ष 10; यह आसान होगा यदि आपका लक्ष्य केवल OWASP निष्कर्षों के साथ तय करना है.

एकीकरण – आप अपने अनुप्रयोगों या निम्नलिखित के साथ एकीकृत करने के लिए डिटेक्टीफाई एपीआई का उपयोग कर सकते हैं.

  • सुस्त, पेजर ड्यूटी, हिपचैट – तुरंत सूचित करें
  • JIRA – निष्कर्षों के लिए एक मुद्दा बनाएं
  • ट्रेलो – ट्रेलो बोर्ड में परिणाम प्राप्त करते हैं
  • जैपियर – स्वचालित वर्कफ़्लोज़

बड़ी संख्या में परीक्षण – जैसा कि पहले उल्लेख किया गया है, यह 500 से अधिक कमजोरियों की जांच करता है, और उनमें से कुछ हैं:

  • SQL / ब्लाइंड / WPML / NoSQL SQL इंजेक्शन
  • क्रॉस-साइट स्क्रिप्टिंग (XSS)
  • क्रॉस-साइट अनुरोध जालसाजी (CSRF)
  • दूरस्थ / स्थानीय फ़ाइल समावेशन
  • SQL त्रुटि
  • अनएन्क्रिप्टेड लॉगिन सत्र
  • सूचना का रिसाव
  • ईमेल स्पूफिंग
  • ईमेल / उपयोगकर्ता गणना
  • टूटा हुआ सत्र
  • XPATH
  • मैलवेयर

अकेले सब कुछ मत करो – अपनी टीम को प्रदर्शन करने और परिणाम साझा करने के लिए आमंत्रित करें

परीक्षण अनुकूलित करें – प्रत्येक एप्लिकेशन अद्वितीय है, इसलिए यदि आवश्यक हो तो आप कस्टम कुकी / उपयोगकर्ता एजेंट / हेडर, परीक्षण व्यवहार बदल सकते हैं और विभिन्न उपकरणों से डाल सकते हैं.

निरंतर सुरक्षा अद्यतन – सभी को सुनिश्चित करने के लिए उपकरण को नियमित रूप से अपडेट किया जाता है नवीनतम भेद्यता कवर और परीक्षण किया गया। पूर्व के लिए, बस पिछले हफ्ते, दस से अधिक नए परीक्षण अपडेट किए गए.

सीएमएस सुरक्षा – यदि आप एक ब्लॉग, सूचना वेबसाइट, ईकामर्स चला रहे हैं तो सबसे अधिक संभावना है कि आप इसका उपयोग करेंगे सीएमएस वर्डप्रेस, जूमला, ड्रुपल, मैगेंटो, और अच्छी खबर यह है कि वे सुरक्षा परीक्षण में शामिल हैं.

प्रदर्शन का पता लगाता है सीएमएस विशेष यह सुनिश्चित करने के लिए कि आपकी वेबसाइट ऑनलाइन खतरों के संपर्क में नहीं है, जो उनसे उत्पन्न हो सकती है.

संरक्षित पृष्ठ स्कैन करें – जो पेज लॉगइन के पीछे है, उसे ब्राउज करें.

डिटेक्टिफाई के साथ शुरुआत करना

ऑफर का पता लगाएं 14 दिन नि: शुल्क परीक्षण (किसी क्रेडिट कार्ड की आवश्यकता नहीं)। निम्नलिखित, मैं एक परीक्षण खाता बनाऊंगा और अपनी वेबसाइट पर सुरक्षा परीक्षण करूंगा.

  • खाता सत्यापित करने के लिए आपको एक ईमेल पुष्टिकरण मिलेगा

  • “ईमेल को शुरू करने के लिए सत्यापित करें” पर क्लिक करें, और आपको एक स्वागत योग्य दौरे स्क्रीन के साथ डैशबोर्ड पर पुनर्निर्देशित किया जाएगा.

  • आपको चरण-दर-चरण मार्गदर्शिका या वीडियो देखने के माध्यम से नेविगेट करने में रुचि हो सकती है, लेकिन अभी के लिए, मैं खिड़की बंद कर दूंगा.

अब तक, आप अपना खाता बना चुके हैं और स्कैन को चलाने के लिए वेबसाइट को जोड़ने के लिए तैयार हैं। डैशबोर्ड पर, आपको एक मेनू दिखाई देगा “कार्यक्षेत्र & लक्ष्य,“उस पर क्लिक करें.

जोड़ने के दो तरीके हैं क्षेत्र (यूआरएल).

  1. मैन्युअल – मैन्युअल रूप से URL दर्ज करें
  2. खुद ब खुद – Google Analytics के साथ URL आयात करें

आपको जो पसंद है उसे चुनें। के माध्यम से आयात करके आगे बढ़ूंगा गूगल विश्लेषिकी.

  • “Google Analytics का उपयोग करें” पर क्लिक करें और URL जानकारी को पुनः प्राप्त करने के लिए अपने Google खाते को प्रमाणित करें। एक बार जोड़ने के बाद, आपको URL की जानकारी देखनी चाहिए.

यह निष्कर्ष निकालता है कि आपने पता लगाने के लिए URL जोड़ा है, और जब भी तैयार हो, आप स्कैन-ऑन-डिमांड या चला सकते हैं अनुसूची इसे दैनिक, साप्ताहिक या मासिक रूप से चलाने के लिए.

एक सुरक्षा स्कैन चल रहा है

यह है आनंद अब समय!

  • चलो डैशबोर्ड पर जाएं और आपके द्वारा जोड़े गए URL पर क्लिक करें.
  • “पर क्लिक करेंस्कैन शुरू करें“दाहिने तल पर

इसमें स्कैन शुरू हो जाएगा सात कदम जैसा कि निम्नलिखित है और आपको प्रत्येक की स्थिति देखनी चाहिए

  • शुरुआत
  • सूचनाएं एकत्र करना
  • क्रॉलिंग
  • फिंगरप्रिंटिंग
  • सूचना विश्लेषण
  • शोषण
  • अंतिम रूप

पूर्ण स्कैन को चलाने में कुछ समय (लगभग वेबसाइट आकार के आधार पर 3-4 घंटे) लगेगा। आप ब्राउज़र को बंद कर सकते हैं, और आपको मिलेगा ईमेल द्वारा सूचना एक बार स्कैन समाप्त हो गया है.

Geek Flare के स्कैन को पूरा करने में लगभग 3.5 घंटे का समय लगा और मुझे यह मिल गया.

देखने के लिए आप या तो ईमेल पर क्लिक कर सकते हैं या डैशबोर्ड पर लॉगिन कर सकते हैं रिपोर्ट good.

अन्वेषण रिपोर्ट का पता लगाना

रिपोर्टिंग वह है जो एक वेबसाइट के मालिक या सुरक्षा विश्लेषक की तलाश में होगी। आईटी इस आवश्यक जैसा कि आपको रिपोर्ट में देखे गए निष्कर्षों को ठीक करने की आवश्यकता होगी.

जब आप डैशबोर्ड में लॉग इन करते हैं, तो आप अपनी वेबसाइट सूची देखेंगे.

आप अंतिम स्कैन तिथि देख सकते हैं & समय, कुछ निष्कर्ष और समग्र स्कोर.

  • लाल आइकन – उच्च
  • पीला आइकन – मध्यम
  • ब्लू आइकन – कम

उच्च गंभीरता है खतरनाक, और यह हमेशा आपकी प्राथमिकता सूची में सबसे पहले होना चाहिए.

आइए विस्तृत रिपोर्ट पर एक नज़र डालें। डैशबोर्ड से वेबसाइट पर क्लिक करें, और यह आपको अवलोकन पृष्ठ पर ले जाएगा.

यहां आपके पास “खतरा स्कोर” के तहत दो विकल्प हैं। या तो आप खोज देख सकते हैं ऑनलाइन या उन्हें निर्यात करें पीडीएफ.

मैंने अपनी रिपोर्ट पीडीएफ में निर्यात की थी, और यह 351 पृष्ठों की थी में गहराई.

ऑनलाइन निष्कर्षों का एक त्वरित उदाहरण, आप विस्तृत जानकारी देखने के लिए उनका विस्तार कर सकते हैं.

प्रत्येक परिणाम स्पष्ट और संभव में समझाया गया है सिफारिशें इसलिए यदि आप एक सुरक्षा विश्लेषक हैं; एक रिपोर्ट आपको उन्हें ठीक करने के लिए पर्याप्त जानकारी देनी चाहिए.

OWASP शीर्ष 10 रिपोर्टिंग – अगर आप बस में रुचि रखते हैं OWASP शीर्ष 10 सुरक्षा आइटम रिपोर्ट तो आप उन्हें “के तहत देख सकते हैंरिपोर्ट“बाईं नेविगेशन पट्टी पर.

इसलिए आगे बढ़ें और रिपोर्ट देखें कि आपको क्या ठीक करना है। एक बार जब आप खोज की मरम्मत कर लेते हैं, तो आप इसे सत्यापित करने के लिए स्कैन को फिर से चला सकते हैं.

खोज सेटिंग्स का पता लगाना

कुछ उपयोगी सेटिंग्स हैं जिन्हें आप आवश्यकता के आधार पर इसके साथ खेलना चाहते हैं.

सेटिंग्स के तहत >> बुनियादी

अनुरोध सीमा – यदि आप चाहते हैं कि आपकी वेबसाइट पर प्रति सेकंड किए जाने वाले अनुरोधों की संख्या को सीमित करने के लिए Detectify करें तो आप यहां कस्टमाइज़ कर सकते हैं। डिफ़ॉल्ट रूप से, यह अक्षम है.

उपडोमेन – आप स्कैन के लिए उपडोमेन की खोज नहीं करने का पता लगाने का निर्देश दे सकते हैं। यह डिफ़ॉल्ट रूप से सक्षम है.

सेटअप आवर्ती स्कैन – सुरक्षा स्कैन को दैनिक, साप्ताहिक या मासिक चलाने के लिए शेड्यूल बदलें। डिफ़ॉल्ट रूप से, इसे साप्ताहिक चलाने के लिए कॉन्फ़िगर किया गया है.

सेटिंग्स के तहत >> उन्नत

कस्टम कुकी & हैडर – परीक्षण के लिए अपने कस्टम कुकी और हेडर की आपूर्ति करें

मोबाइल से स्कैन करें – आप विभिन्न उपयोगकर्ता-एजेंट से स्कैन चला सकते हैं। उपयोगी है अगर आप एक मोबाइल उपयोगकर्ता, कस्टम क्लाइंट, आदि की तरह परीक्षण करना चाहते हैं.

विशिष्ट परीक्षण अक्षम करें – कुछ विशिष्ट सुरक्षा वस्तुओं का परीक्षण नहीं करना चाहते हैं? आप इसे यहाँ से डिसेबल कर सकते हैं.

आप के लिए खत्म है…

यदि आप सुरक्षा कमजोरियों को खोजने के लिए गंभीर हैं हैकर परिप्रेक्ष्य, तब पता लगाने का प्रयास करें। आप ऐसा कर सकते हैं एक परीक्षण खाता बनाएँ सुविधाओं का पता लगाने के लिए.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map