Um guia passo a passo para encontrar falhas de segurança em aplicativos da Web usando o detector de vulnerabilidades de segurança Detectify.
97% dos aplicativos testados pela TrustWave estavam vulneráveis a um ou mais riscos de segurança.
Esta postagem no blog é em colaboração com detectar.
Web vulnerabilidade do aplicativo pode causar negócios e reputacional perda para a empresa se não for remediada a tempo.
A triste verdade é que a maioria dos sites são vulneráveis na maior parte do tempo. Um interessante reportado por Segurança de chapéu branco mostra a média de dias para corrigir a vulnerabilidade por setor.
Como você garante que está consciente de vulnerabilidades conhecidas e desconhecidas em seus aplicativos da web?
Existem muitos scanners de segurança baseados em nuvem para ajudá-lo com isso. Neste artigo, falarei sobre uma das plataformas SaaS mais promissoras – detectar.
detectar integra com seu processo de desenvolvimento para encontrar o risco de segurança em um estágio inicial (ambiente de preparo/sem produção), para mitigá-los antes de entrar em operação.
A integração do desenvolvimento é apenas uma das muitas excelentes características e opcional se você não tiver um ambiente de teste.
Detectify usa um rastreador construído internamente para rastrear seu site e otimizar o teste com base em tecnologias usadas nas aplicações web .
Depois de rastreado, seu site é testado por mais de 500 vulnerabilidades, incluindo OWASP top 10, e dar a você um relatório acionável de cada descoberta.
Detectar recursos
Alguns dos recursos que valem a pena mencionar são:
Comunicando – você pode exportar os resultados da verificação como um resumo ou um relatório completo. Você tem a opção de exportar como PDF, JSON ou Trello. Você também pode visualizar o relatório por OWASP top 10 ; isso seria útil se seu objetivo for corrigir apenas com as descobertas do OWASP.
Integração – você pode usar a API Detectify para integrar com seus aplicativos ou o seguinte.
- Slack, Pager Duty, Hipchat – seja notificado instantaneamente
- JIRA – criar um problema para as descobertas
- Trello – obtenha os resultados no quadro do Trello
- Zapier – automatize fluxos de trabalho
Um grande número de testes – como mencionado anteriormente, ele verifica mais de 500 vulnerabilidades, e algumas delas são:
- Injeção SQL/Blind/WPML/NoSQL SQL
- Script entre sites (XSS)
- Falsificação de solicitação entre sites (CSRF)
- Inclusão de arquivo remoto/local
- erro SQL
- Sessão de login não criptografada
- Vazamentos de informações
- Falsificação de e-mail
- Enumeração de e-mail/usuário
- Sessão interrompida
- XPATH
- Malware
Não faça tudo sozinho – convide sua equipe para realizar e compartilhar os resultados
Personalizar testes – cada aplicativo é único, portanto, se necessário, você pode colocar o cookie/agentes do usuário/cabeçalhos personalizados, alterar o comportamento do teste e de diferentes dispositivos.
Atualizações contínuas de segurança – A ferramenta é atualizada regularmente para garantir todos os últimas vulnerabilidades são cobertos e testados. Por exemplo, na semana passada, mais de dez novos testes foram atualizados .
Segurança do CMS – se você estiver executando um blog, site de informações, comércio eletrônico, provavelmente estará usando CMS como WordPress, Joomla, Drupal, Magento, e a boa notícia é que eles são cobertos no teste de segurança.
Detectify executa CMS específico teste para garantir que seu site não seja exposto a ameaças que deles possam ter surgido.
Varredura página protegida – navegue na página que está por trás do login.
Introdução ao Detectify
Detectar ofertas 14 dias de teste GRATUITO (sem necessidade de cartão de crédito). A seguir, criarei uma conta de avaliação e realizarei o teste de segurança em meu site.
- Preencha as informações no página de criação de conta de avaliação e clique em Continuar.
- Você receberá uma confirmação por e-mail para verificar a conta
- Clique em “Verifique o e-mail para começar” e você será redirecionado para o painel com uma tela de boas-vindas.
- Você pode estar interessado em navegar pelo guia passo a passo ou assistir ao vídeo, mas, por enquanto, fecharei a janela.
Até agora, você tem sua conta criada e pronta para adicionar o site para executar a verificação. No painel, você verá um menu “Escopos e Metas “, clique nele.
Existem duas maneiras de adicionar o escopo (URL).
- manualmente – insira o URL manualmente
- Automaticamente – importar o URL com o Google Analytics
Escolha o que você gosta. Vou prosseguir importando através Google Analytics.
- Clique em “Usar Google Analytics” e autentique sua conta do Google para recuperar as informações do URL. Uma vez adicionado, você deve ver as informações do URL.
Isso conclui que você adicionou o URL ao Detectify e, sempre que estiver pronto, poderá executar a varredura sob demanda ou agendar para executá-lo diariamente, semanalmente ou mensalmente.
Executando uma varredura de segurança
É um diversão hora agora!
- Vamos para o painel e clique no URL que você acabou de adicionar.
- Clique em “Inicia escaneamento ” no canto inferior direito
Ele iniciará a varredura em sete passos da seguinte forma e você deve ver o status de cada
- Iniciando
- Coleta de informações
- Rastejando
- impressão digital
- análise de informações
- Exploração
- Finalização
Levará algum tempo (aprox. 3-4 horas com base no tamanho do site) para executar a verificação completa. Você pode fechar o navegador e obterá notificação por e-mail assim que a digitalização for concluída.
Levou cerca de 3,5 horas para concluir a verificação do Geek Flaree eu tenho isso.
Você pode clicar no e-mail ou fazer login em um painel para visualizar o relatório.
Explorando o Relatório Detectify
Relatórios é o que um proprietário de site ou analista de segurança estaria procurando. Isso é essencial pois você precisará corrigir as descobertas que vê no relatório.
Ao fazer login no Painel, você verá sua lista de sites.
Você pode ver a data e o horário da última varredura, algumas descobertas e a pontuação geral.
- Ícone vermelho – alto
- Ícone amarelo – médio
- Ícone azul – baixo
Alta gravidade é perigoso e deve ser sempre o primeiro a ser corrigido em sua lista de prioridades.
Vamos dar uma olhada no relatório detalhado. Clique no site no painel e ele o levará à página de visão geral.
Aqui você tem duas opções em “Pontuação de ameaças”. Ou você pode ver a descoberta on-line ou exportá-los para PDF.
Exportei meu relatório em PDF e tinha 351 páginas, isso é profundo.
Um exemplo rápido de descobertas online, você pode expandi-las para ver as informações detalhadas.
Cada resultado é explicado de forma clara e possível recomendações portanto, se você for um analista de segurança; um relatório deve fornecer informações suficientes para corrigi-los.
Os 10 principais relatórios do OWASP – se você está apenas interessado em OWASP top 10 relatório de itens de segurança, então você pode visualizá-los em “Relatórios ” na barra de navegação à esquerda.
Portanto, vá em frente e examine o relatório para ver o que você precisa corrigir. Depois de reparar a descoberta, você pode executar a verificação novamente para verificá-la.
Explorando as configurações de detecção
Existem algumas configurações úteis que você pode querer testar com base no requisito.
Em Configurações >> básico
Solicitar limite – se você deseja que o Detectify limite o número de solicitações feitas por segundo ao seu site, você pode personalizar aqui. Por padrão, está desabilitado.
Subdomínio – você pode instruir o Detectify a não descobrir o subdomínio para a verificação. Está habilitado por padrão.
Configurar varreduras recorrentes – altere a programação para executar a varredura de segurança diariamente, semanalmente ou mensalmente. Por padrão, ele é configurado para ser executado semanalmente.
Em Configurações >> Avançado
Cookie e cabeçalho personalizados – forneça seu cookie personalizado e cabeçalho para o teste
Escanear do celular – você pode executar a verificação de diferentes agentes de usuário. Útil se você quiser testar como um usuário móvel, cliente personalizado, etc.
Desativar teste específico – não quer testar alguns itens de segurança específicos? Você pode desativá-lo aqui.
Para você…
Se você leva a sério a descoberta de vulnerabilidades de segurança em a perspectiva do hacker, então tente detectar. Você pode criar uma conta de teste para explorar os recursos.
