geekflare
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
By chandan kumar in La Seguridad  |  Última actualización: 6 de septiembre de 2022
Comparte en:

¿Cómo analizar su sitio web como un hacker para encontrar vulnerabilidades?

extensión de seguridad joomla
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Una guía paso a paso para encontrar fallas de seguridad dentro de las aplicaciones web usando el escáner Detectify Security Vulnerability.

97 % de las aplicaciones probadas por TrustWave era vulnerable a uno o más riesgos de seguridad.

Esta publicación de blog está en colaboración con Detectificar.

La vulnerabilidad de la aplicación web puede causar la administración de empresas. y reputacional pérdida para la empresa si no se remedia a tiempo.

La triste verdad es que la mayoría de los sitios web son vulnerables la mayor parte del tiempo. Un interesante informe por Seguridad de sombrero blanco muestra los días promedio para corregir la vulnerabilidad por industria.

¿Cómo te aseguras de estar conscientes de vulnerabilidades conocidas y desconocidas en sus aplicaciones web?

Hay muchas escáneres de seguridad basados ​​en la nube para ayudarte con eso. En este artículo, hablaré sobre una de las plataformas SaaS más prometedoras: Detectificar.

 

Detectificar se integra con su proceso de desarrollo para encontrar el riesgo de seguridad en un Etapa temprana (entorno de ensayo / no producción), por lo que los mitiga antes de la puesta en funcionamiento.

La integración del desarrollo es solo una de las muchas excelentes características y opcional si no tiene un entorno de prueba.

Detectify utiliza un rastreador interno para rastrear su sitio web y optimizar la prueba en función de tecnologías utilizadas en las aplicaciones web.

Una vez rastreado, su sitio web se prueba durante más de 500 vulnerabilidades, incluidas las 10 principales de OWASP, y darle un informe procesable de cada hallazgo.

Detectify Features

Algunas de las características dignas de mención son:

Informes - puede exportar los resultados del análisis como un resumen o un informe completo. Tiene la opción de exportar como PDF, JSON o Trello. También puede ver el informe Top 10 de OWASP; esto sería útil si su objetivo es arreglar solo con los hallazgos de OWASP.

moderna - puede utilizar Detectify API para integrarse con sus aplicaciones o lo siguiente.

  • Slack, Pager Duty, Hipchat: recibe una notificación al instante
  • JIRA – crear un problema para los hallazgos
  • Trello: obtenga los resultados en el tablero de Trello
  • Zapier – automatizar workflows

Una gran cantidad de pruebas - como se mencionó anteriormente, busca más de 500 vulnerabilidades, y algunas de ellas son:

  • Inyección SQL / Blind / WPML / NoSQL SQL
  • Secuencias de comandos entre sitios (XSS)
  • Falsificación de solicitudes entre sitios (CSRF)
  • Inclusión de archivos remotos / locales
  • error de SQL
  • Sesión de inicio de sesión no cifrada
  • Fugas de información
  • Correo electrónico spoofing
  • Enumeración de correo electrónico / usuario
  • Sesión rota
  • XPATH
  • el malware

No hagas todo solo - invite a su equipo a actuar y compartir los resultados

Personalizar pruebas - cada aplicación es única, por lo que, si es necesario, puede colocar cookies / agentes de usuario / encabezados personalizados, cambiar el comportamiento de la prueba y desde diferentes dispositivos.

Actualizaciones de seguridad continuas - La herramienta se actualiza periódicamente para garantizar que todos los últimas vulnerabilidades están cubiertos y probados. Por ejemplo, la semana pasada se actualizaron más de diez nuevas pruebas.

Seguridad CMS - si tiene un blog, un sitio web de información, un comercio electrónico, lo más probable es que utilice CMS como WordPress, Joomla, Drupal, Magento, y la buena noticia es que están cubiertos en la prueba de seguridad.

Detectar realiza CMS en particular prueba para asegurarse de que su sitio web no esté expuesto a amenazas que de ellos se hayan podido derivar.

Escanear página protegida - navegar por la página que está detrás del inicio de sesión.

Getting Started with Detectify

Detectar ofertas 14 días de prueba GRATIS (No se requiere tarjeta de crédito). A continuación, crearé una cuenta de prueba y realizaré la prueba de seguridad en mi sitio web.

  • Recibirás una confirmación por correo electrónico para verificar la cuenta.

  • Haga clic en "Verificar el correo electrónico para comenzar" y será redirigido al tablero con una pantalla de bienvenida.

pantalla de bienvenida

  • Es posible que le interese navegar a través de la guía paso a paso o ver el video, pero por ahora, cerraré la ventana.

A estas alturas, ya tiene su cuenta creada y lista para agregar el sitio web para ejecutar el análisis. En el panel, verá un menú "Alcances y objetivos, ”Haga clic en eso.

panel de detección

Hay dos formas de agregar el alcance (URL).

  1. A mano - ingrese la URL manualmente
  2. Automáticamente - importar la URL con Google Analytics

Elige el que más te guste. Procederé importando a través de Google Analytics.

  • Haga clic en "Usar Google Analytics" y autentique su cuenta de Google para recuperar la información de la URL. Una vez agregado, debería ver la información de la URL.

URL agregada

Esto concluye que ha agregado la URL a Detectify y, cuando esté listo, puede ejecutar el escaneo a pedido o programe para ejecutarlo diariamente, semanalmente o mensualmente.

Running a Security Scan

Se trata de un diversión ¡Ahora!

  • Vayamos al panel de control y hagamos clic en la URL que acaba de agregar.
  • Haz click en "Iniciar escaneado"En la parte inferior derecha

iniciar escaneo

Comenzará el escaneo en siete pasos de la siguiente manera y debería ver el estado de cada

  • Comience a
  • Recopilación de información
  • Crawling
  • Huellas Digitales
  • Análisis de la información
  • Explotación
  • Finalizacion

exploración en ejecución

Tomará algún tiempo (aproximadamente 3-4 horas según el tamaño del sitio web) para ejecutar el análisis completo. Puede cerrar el navegador y obtendrá notificación por correo electrónico una vez finalizado el escaneo.

Tomó alrededor de 3.5 horas para completar el escaneo de Geek Flare, y tengo esto.

escaneo terminado

Puede hacer clic en el correo electrónico o iniciar sesión en un panel para ver el los encuestados.

Exploring Detectify Report

Informar es lo que el propietario de un sitio web o un analista de seguridad estaría buscando. Sus essential ya que deberá corregir los resultados que ve en el informe.

Cuando inicie sesión en el Panel de control, verá la lista de su sitio web.

tablero después del escaneo

Puede ver la fecha y el momento del último análisis, algunos hallazgos y la puntuación general.

  • Icono rojo - alto
  • Icono amarillo - mediano
  • Icono azul - bajo

La gravedad alta es mas peligroso, y siempre debe ser el primero en corregirlo en su lista de prioridades.

Echemos un vistazo al informe detallado. Haga clic en el sitio web desde el panel y lo llevará a la página de descripción general.

Aquí tiene dos opciones en "Puntaje de amenaza". O puedes ver el hallazgo en linea o exportarlos a (PDF).

puntaje general

Exporté mi informe en PDF y tenía 351 páginas, eso es a fondo.

Un ejemplo rápido de hallazgos en línea, puede expandirlos para ver la información detallada.

ver-encontrar-online

Cada resultado se explica de forma clara y posible recomendaciones así que si eres un analista de seguridad; un informe debería proporcionarle suficiente información para corregirlos.

Los 10 principales informes de OWASP - si solo está interesado en Top 10 de OWASP informe de elementos de seguridad, puede verlos en "Informes”En la barra de navegación izquierda.

owasp-top10-hallazgos

Así que adelante, revise el informe para ver qué tiene que arreglar. Una vez que repare el hallazgo, puede ejecutar el escaneo nuevamente para verificarlo.

Exploring Detectify Settings

Hay algunas configuraciones útiles con las que es posible que desee jugar según los requisitos.

En Configuración >> básico

Límite de solicitud - Si desea que Detectify limite el número de solicitudes que realiza por segundo a su sitio web, puede personalizarlo aquí. De forma predeterminada, está deshabilitado.

límite de solicitud

Subdominio - puede indicar a Detectify que no descubra el subdominio para el escaneo. Está habilitado de forma predeterminada.

subdominios

Configurar escaneos recurrentes - cambie la programación para ejecutar el análisis de seguridad diariamente, semanalmente o mensualmente. De forma predeterminada, está configurado para ejecutarse semanalmente.

En Configuración >> Avanzado

Cookie y encabezado personalizados - proporcione su cookie y encabezado personalizados para la prueba

Escanear desde el móvil - puede ejecutar el análisis desde diferentes agentes de usuario. Útil si desea probar como un usuario móvil, cliente personalizado, etc.

dispositivo de escaneo

Deshabilitar prueba específica - ¿No quieres probar algunos elementos de seguridad específicos? Puedes desactivarlo desde aquí.

prueba activa

A ti…

Si se toma en serio la búsqueda de vulnerabilidades de seguridad en la perspectiva del hacker, luego intente Detectify. Usted puede crear una cuenta de prueba para explorar las características.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • invicti
    Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Datos brillantes
    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush
    Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder