使用Detectify资产监控提升Web应用程序安全
你如何确保你的应用程序和基础设施免受安全漏洞的威胁?
Detectify提供了一套完整的资产清单和监控解决方案,包括漏洞扫描、主机发现和软件指纹识别。它的使用可以帮助避免令人不快的意外,比如存在漏洞的未知主机或容易被劫持的子域名。
很多问题可能会出现,攻击者可以利用它们。一些常见的问题包括:
- 保持不必要的端口开放
- 公开不安全的子域名、敏感文件和凭证
- 保持.git文件可访问
- 潜在的OWASP顶级漏洞,如XSS、SSRF、RCE
你可以辩称我可以手动运行port scanner、find sub-domain、test for vulnerabilities等等。如果你只需要偶尔运行一次,这是可以的,但是如果你需要频繁运行,这将是耗时且不划算的。
那么解决方案是什么呢?
选择Detectify Asset Monitoring,它监控你的Web应用程序资产,并定期扫描上述所有讨论中的内容以及许多其他检查,以保证你的在线业务安全🛡️。
- Detectify拥有自己的伦理黑客社区,用于众包漏洞研究,因此给出的警报是从真正攻击者的角度来的。
- 其他工具依赖签名和版本测试,更像是合规性而不是实际安全。Detectify黑客提供了用于构建安全测试的实际有效载荷,提供了一套在市场上其他产品中看不到的独特测试。
- 结果呢?一种更可靠的安全测试方式,只给出可以验证的结果。
- 真正值得修复的安全发现!
在他们的blog中,他们提到资产监控测试的开发时间从黑客发布到25分钟。
听起来有趣吗?
让我们看看它是如何工作的。
开始使用Detectify资产监控的第一步是验证你拥有要监控的域名,或者你被授权执行安全扫描。这是Detectify采取的必要步骤,以确保它揭示的敏感信息不会落入错误的人手中。
我们可以通过多种方式进行域名验证:通过上传特定的.txt
文件到你的域名根目录,通过Google Analytics,通过DNS记录,或者通过网页上的元标签。如果自助服务方法都不适用于你,还有协助验证的选项。
创建扫描配置文件
设置Detectify的第二步是创建一个扫描配置文件,可以将其与站点上运行HTTP或HTTPS服务的任何域、子域或IP地址相关联。
设置扫描配置文件后,你可以使用不同的选项进行配置。
例如,你可以有两个与同一域关联但具有不同凭据的配置文件。这样,你可以对同一服务器执行两个不同的扫描并比较结果。
一旦配置好了扫描配置文件,你就可以通过按下想要使用的扫描配置文件旁边的开始扫描按钮进行扫描。仪表板将显示正在进行扫描。
执行扫描的时间取决于站点内容的数量。如果数量相当大,扫描可能需要几个小时,而在扫描进行中,你可能会注意到站点性能稍有下降。所以我的建议是在你的站点不太繁忙的时候进行扫描。
扫描报告
当Detectify完成对您的网站的扫描后,您将收到一封电子邮件来告知您。在该电子邮件中,它将告知您执行扫描所花费的时间,按其严重程度分组的问题数量,以及显示网站在安全方面好坏的整体威胁评分。
您可以通过查看最新的扫描报告并在信息发现列表中点击“已爬取的URL”项目来查看扫描期间爬取的URL。详细信息部分显示了爬虫在扫描期间尝试访问的URL数量以及其中识别为唯一的URL数量。
页面底部有一个超链接,可下载一个包含所有已爬取URL和每个URL状态代码的CSV文件。您可以查看此列表,以确保您网站的所有重要部分都已被访问。
为了制定纠正计划并在将来的扫描中获得更准确的结果,Detectify允许您将每个发现标记为“已解决”,“接受风险”或“误报”。如果您将一个发现标记为“已解决”,扫描器将在以后的报告中使用相同的标记,因此您无需再进行纠正。接受风险是指您不希望在每次扫描时报告的内容,而误报是指可能类似于漏洞但实际上不是漏洞的发现。
啊!有很多要解决的问题,我从未考虑过。
Detectify提供多种不同的页面和视图来查看扫描结果。 “所有测试”视图允许您查看扫描发现的所有漏洞。如果您熟悉OWASP分类,您可以查看OWASP视图,了解您的网站对排名前10的漏洞的脆弱性。
为了调整未来的扫描,您可以使用Detectify的白名单/黑名单选项添加您希望隐藏的网站区域,因为没有链接指向它们。或者您可以禁止不希望爬虫进入的路径。
资产清单
Detectify的资产清单页面显示了一系列根资产-例如添加的域名或IP地址-以及许多有用的信息,这些信息将帮助您保护您的IT投资。在每个资产旁边,蓝色或灰色的图标表示该资产的资产监视是否打开或关闭。
您可以点击清单中的任何资产以获取概览。从那里,您可以检查子域名,扫描配置文件,指纹识别技术,资产监视结果,资产设置等等。
资产监视结果
它根据其严重程度将发现结果分为三个类别:高、中和低。
高级发现主要反映出敏感信息(例如客户凭据或密码)被公开或有潜在利用的问题。
中级发现显示一些信息。尽管这种暴露本身可能并无害处,但黑客可以利用它与其他信息结合使用。
最后,低级发现显示可能会被接管的子域名,应该检查以验证其所有权。
Detectify提供了一个知识库,其中包含许多修复和纠正建议,以帮助您处理扫描期间遇到的问题。一旦您采取措施纠正问题,您可以运行第二次扫描以检查问题是否已被有效纠正。导出选项允许您创建包含结果报告的PDF,XML或JSON文件,以将其发送给第三方或服务,如Trello或JIRA。
最大限度地利用Detectify
Detectify的最佳实践指南建议,如果网站不太大,可以添加一个没有子域的域名,以获取整个网站的概述。但是整个扫描的时间限制为9小时,之后扫描器会跳转到下一个阶段。因此,将您的域名拆分成较小的扫描配置文件可能是一个好主意。
您的第一次扫描可能会显示某些资产比其他资产更容易受到攻击。这是拆分域名的另一个原因 – 除了扫描持续时间之外。您应该识别出最关键的子域,并为每个子域创建一个扫描配置文件。
请注意“发现的主机”列表,因为它可能会显示一些意外的发现。例如,您不知道自己拥有的系统。该列表对于识别值得进行更深入扫描和因此值得单独扫描配置文件的最关键的应用程序非常有用。
Detectify建议为每个扫描配置文件定义较小的范围,因为这样可以获得更准确和一致的结果。同时,将类似的技术或框架放在每个配置文件中以保持在一起也是一个好主意。这样,扫描器将能够针对每个扫描配置文件运行更相关的测试。
结论
Asset inventory and monitoring对于任何规模和网站都至关重要,包括电子商务、SaaS、零售、金融和市场。不要让任何资产无人看管;尝试使用trial for 2 weeks,看看它如何帮助您找到漏洞以改进Web应用程序安全性。