如何像黑客一样分析您的网站以找到漏洞?

使用Detectify安全漏洞扫描器,逐步指南找到Web应用程序中的安全漏洞。

97%的受TrustWave测试的应用程序存在一个或多个安全风险。

这篇博文是与Detectify合作的。

如果不及时纠正,Web应用程序漏洞可能给公司带来商业声誉损失。

悲伤的事实是,大多数网站大部分时间都是容易受攻击的。一份由White Hat Security发布的有趣报告显示了各行业修复漏洞所需的平均时间。

您如何确保您的Web应用程序中已知和未知的漏洞?

有许多链接可以帮助您。在本文中,我将介绍最有前途的SaaS平台之一 – Detectify

 

Detectify与您的开发过程集成,早期(暂存/非生产环境)发现安全风险,因此您可以在上线之前对其进行识别。

如果您没有暂存环境,开发集成只是众多链接中的一个可选项。

Detectify使用内部构建的爬虫来爬取您的网站,并根据technologies used in the web applications优化测试。

一旦爬取完成,您的网站将被测试超过500个漏洞,包括OWASP前10名,并为每个发现提供行动报告。

Detectify功能

一些值得一提的功能包括:

报告 – 您可以将扫描结果导出为摘要或完整报告。您可以选择将其导出为PDF、JSON或Trello。您还可以按照OWASP前10名查看报告;如果您的目标只是修复OWASP发现,这将非常方便。

集成 – 您可以使用Detectify API与您的应用程序或以下应用程序集成。

  • Slack、Pager Duty、Hipchat – 立即收到通知
  • JIRA – 为结果创建问题
  • Trello – 在Trello面板上获取结果
  • Zapier – 自动化工作流程

大量测试 – 如前所述,它会检查500多个漏洞,其中一些包括:

  • SQL/Blind/WPML/NoSQL SQL注入
  • 跨站脚本攻击(XSS)
  • 跨站请求伪造(CSRF)
  • 远程/本地文件包含
  • SQL错误
  • 未加密的登录会话
  • 信息泄露
  • 电子邮件欺骗
  • 电子邮件/用户枚举
  • 会话中断
  • XPATH
  • 恶意软件

不要独自做所有事情 – 邀请您的团队进行测试并共享结果

自定义测试 – 每个应用程序都是独特的,因此如果需要,您可以设置自定义cookie/用户代理/头,更改测试行为,并使用不同的设备。

持续的安全更新 – 该工具定期更新,以确保覆盖和测试所有最新的漏洞。例如,就在上周,more than ten new tests were updated

CMS安全 – 如果您运行博客、信息网站、电子商务网站,那么您可能会使用像WordPress、Joomla、Drupal、Magento之类的CMS,好消息是它们在安全测试中得到覆盖。

Detectify会执行特定于CMS的链接_8威胁以及可能因它们而产生的威胁。

扫描protected page – 浏览登录后的页面。

开始使用Detectify

Detectify提供14 days FREE trial(无需信用卡)。接下来,我将创建一个试用账号并对我的网站进行安全测试。

  • 填写表单上的信息并点击“继续”。

  • 您将收到一封电子邮件确认以验证该账户

  • 点击“验证电子邮件以开始使用”,您将被重定向到带有欢迎导览屏幕的仪表盘。

  • 您可能有兴趣浏览逐步指南或观看视频,但现在,我将关闭窗口。

到目前为止,您已经创建了账户并准备好添加网站以运行扫描。在仪表盘上,您将看到一个菜单“范围和目标”,点击它。

添加范围(URL)有两种方式。

  1. 手动 – 手动输入URL
  2. 自动 – 通过Google Analytics导入URL

选择您喜欢的方式。我将通过Google Analytics导入。

  • 点击“使用Google Analytics”并验证您的Google账户以检索URL信息。添加后,您应该可以看到URL信息。

这样您就已经将URL添加到了Detectify,只要准备好,您可以按需运行扫描或定期安排每天、每周或每月运行扫描。

运行安全扫描

现在是一个有趣的时刻!

  • 让我们转到仪表盘,点击您刚刚添加的URL。
  • 点击右下角的“开始扫描

它将根据以下七个步骤开始扫描,并且您应该能够看到每个步骤的状态。

  • 开始
  • 信息收集
  • 爬取
  • 指纹识别
  • 信息分析
  • 利用
  • 完成

全面扫描需要一些时间(根据网站大小约3-4小时)。您可以关闭浏览器,扫描完成后将通过电子邮件得到通知

对于Geek Flare,扫描大约需要3.5小时,我得到了以下结果。

您可以点击电子邮件或登录仪表盘查看报告

探索Detectify报告

报告是网站所有者或安全分析师所期望的。这是必要的,因为您需要修复报告中的发现。

登录仪表盘后,您将看到您的网站列表。

您可以看到上次扫描的日期和时间、一些发现以及总体得分。

  • 红色图标 – 高风险
  • 黄色图标 – 中风险
  • 蓝色图标 – 低风险

高级别风险是危险的,应该始终优先修复。

让我们来看看详细报告。从仪表盘中点击网站,将带您进入概览页面。

在“威胁评分”下,您有两个选项。您可以在线查看发现,也可以将它们导出为PDF。

我将我的报告导出为PDF,它有351页,非常详细

在线发现的一个快速示例,您可以展开它们以查看详细信息。

每个结果都以清晰和可能的建议解释,因此如果您是安全分析师,报告应该提供足够的信息来修复问题。

OWASP十大报告 – 如果您只对OWASP top 10安全项报告感兴趣,可以在左侧导航栏的“报告”下查看。

所以继续查看报告,看看有什么需要修复的。修复发现后,您可以再次运行扫描以验证修复情况。

探索Detectify设置

根据需求,您可能希望调整一些有用的设置。

在设置 >> 基本

请求限制 – 如果您希望Detectify限制每秒向您的网站发送的请求数量,您可以在此处进行自定义设置。默认情况下,它是禁用的。

子域 – 您可以指示Detectify不要为扫描发现子域。默认情况下,它是启用的。

设置定期扫描 – 更改定期运行安全扫描的计划,可以选择每天、每周或每月。默认情况下,它配置为每周运行一次。

在设置 >> 高级

自定义Cookie和标头 – 提供您的自定义Cookie和标头以进行测试

从移动设备扫描 – 您可以使用不同的用户代理运行扫描。如果您想模拟移动用户、自定义客户端等进行测试,这非常有用。

禁用特定测试 – 不想测试某些特定的安全项目?您可以在这里禁用它。

交给您了…

如果您真的想从黑客的角度找到安全漏洞,那么不妨试试Detectify。您可以create a trial account来探索其功能。

类似文章