如何像黑客一样分析您的网站以找到漏洞?
使用Detectify安全漏洞扫描器,逐步指南找到Web应用程序中的安全漏洞。
97%的受TrustWave测试的应用程序存在一个或多个安全风险。
这篇博文是与Detectify合作的。
如果不及时纠正,Web应用程序漏洞可能给公司带来商业和声誉损失。
悲伤的事实是,大多数网站大部分时间都是容易受攻击的。一份由White Hat Security发布的有趣报告显示了各行业修复漏洞所需的平均时间。
您如何确保您的Web应用程序中已知和未知的漏洞?
有许多链接可以帮助您。在本文中,我将介绍最有前途的SaaS平台之一 – Detectify。
Detectify与您的开发过程集成,早期(暂存/非生产环境)发现安全风险,因此您可以在上线之前对其进行识别。
如果您没有暂存环境,开发集成只是众多链接中的一个可选项。
Detectify使用内部构建的爬虫来爬取您的网站,并根据technologies used in the web applications优化测试。
一旦爬取完成,您的网站将被测试超过500个漏洞,包括OWASP前10名,并为每个发现提供行动报告。
Detectify功能
一些值得一提的功能包括:
报告 – 您可以将扫描结果导出为摘要或完整报告。您可以选择将其导出为PDF、JSON或Trello。您还可以按照OWASP前10名查看报告;如果您的目标只是修复OWASP发现,这将非常方便。
集成 – 您可以使用Detectify API与您的应用程序或以下应用程序集成。
- Slack、Pager Duty、Hipchat – 立即收到通知
- JIRA – 为结果创建问题
- Trello – 在Trello面板上获取结果
- Zapier – 自动化工作流程
大量测试 – 如前所述,它会检查500多个漏洞,其中一些包括:
- SQL/Blind/WPML/NoSQL SQL注入
- 跨站脚本攻击(XSS)
- 跨站请求伪造(CSRF)
- 远程/本地文件包含
- SQL错误
- 未加密的登录会话
- 信息泄露
- 电子邮件欺骗
- 电子邮件/用户枚举
- 会话中断
- XPATH
- 恶意软件
不要独自做所有事情 – 邀请您的团队进行测试并共享结果
自定义测试 – 每个应用程序都是独特的,因此如果需要,您可以设置自定义cookie/用户代理/头,更改测试行为,并使用不同的设备。
持续的安全更新 – 该工具定期更新,以确保覆盖和测试所有最新的漏洞。例如,就在上周,more than ten new tests were updated。
CMS安全 – 如果您运行博客、信息网站、电子商务网站,那么您可能会使用像WordPress、Joomla、Drupal、Magento之类的CMS,好消息是它们在安全测试中得到覆盖。
Detectify会执行特定于CMS的链接_8威胁以及可能因它们而产生的威胁。
扫描protected page – 浏览登录后的页面。
开始使用Detectify
Detectify提供14 days FREE trial(无需信用卡)。接下来,我将创建一个试用账号并对我的网站进行安全测试。
- 填写表单上的信息并点击“继续”。
- 您将收到一封电子邮件确认以验证该账户
- 点击“验证电子邮件以开始使用”,您将被重定向到带有欢迎导览屏幕的仪表盘。
- 您可能有兴趣浏览逐步指南或观看视频,但现在,我将关闭窗口。
到目前为止,您已经创建了账户并准备好添加网站以运行扫描。在仪表盘上,您将看到一个菜单“范围和目标”,点击它。
添加范围(URL)有两种方式。
- 手动 – 手动输入URL
- 自动 – 通过Google Analytics导入URL
选择您喜欢的方式。我将通过Google Analytics导入。
- 点击“使用Google Analytics”并验证您的Google账户以检索URL信息。添加后,您应该可以看到URL信息。
这样您就已经将URL添加到了Detectify,只要准备好,您可以按需运行扫描或定期安排每天、每周或每月运行扫描。
运行安全扫描
现在是一个有趣的时刻!
- 让我们转到仪表盘,点击您刚刚添加的URL。
- 点击右下角的“开始扫描”
它将根据以下七个步骤开始扫描,并且您应该能够看到每个步骤的状态。
- 开始
- 信息收集
- 爬取
- 指纹识别
- 信息分析
- 利用
- 完成
全面扫描需要一些时间(根据网站大小约3-4小时)。您可以关闭浏览器,扫描完成后将通过电子邮件得到通知。
对于Geek Flare,扫描大约需要3.5小时,我得到了以下结果。
您可以点击电子邮件或登录仪表盘查看报告。
探索Detectify报告
报告是网站所有者或安全分析师所期望的。这是必要的,因为您需要修复报告中的发现。
登录仪表盘后,您将看到您的网站列表。
您可以看到上次扫描的日期和时间、一些发现以及总体得分。
- 红色图标 – 高风险
- 黄色图标 – 中风险
- 蓝色图标 – 低风险
高级别风险是危险的,应该始终优先修复。
让我们来看看详细报告。从仪表盘中点击网站,将带您进入概览页面。
在“威胁评分”下,您有两个选项。您可以在线查看发现,也可以将它们导出为PDF。
我将我的报告导出为PDF,它有351页,非常详细。
在线发现的一个快速示例,您可以展开它们以查看详细信息。
每个结果都以清晰和可能的建议解释,因此如果您是安全分析师,报告应该提供足够的信息来修复问题。
OWASP十大报告 – 如果您只对OWASP top 10安全项报告感兴趣,可以在左侧导航栏的“报告”下查看。
所以继续查看报告,看看有什么需要修复的。修复发现后,您可以再次运行扫描以验证修复情况。
探索Detectify设置
根据需求,您可能希望调整一些有用的设置。
在设置 >> 基本 下
请求限制 – 如果您希望Detectify限制每秒向您的网站发送的请求数量,您可以在此处进行自定义设置。默认情况下,它是禁用的。
子域 – 您可以指示Detectify不要为扫描发现子域。默认情况下,它是启用的。
设置定期扫描 – 更改定期运行安全扫描的计划,可以选择每天、每周或每月。默认情况下,它配置为每周运行一次。
在设置 >> 高级
自定义Cookie和标头 – 提供您的自定义Cookie和标头以进行测试
从移动设备扫描 – 您可以使用不同的用户代理运行扫描。如果您想模拟移动用户、自定义客户端等进行测试,这非常有用。
禁用特定测试 – 不想测试某些特定的安全项目?您可以在这里禁用它。
交给您了…
如果您真的想从黑客的角度找到安全漏洞,那么不妨试试Detectify。您可以create a trial account来探索其功能。