Geekflare
English English French French Spanish Spanish German German
Geekflare est soutenu par notre public. Nous pouvons gagner des commissions d'affiliation en achetant des liens sur ce site.
By Chandan Kumar in Sécurité  |  Dernière mise à jour : 6 septembre 2022
Partager sur:

Comment analyser votre site Web comme un hacker pour trouver des vulnérabilités?

extension de sécurité joomla
Scanner de sécurité des applications Web Invicti – la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Un guide étape par étape pour trouver les failles de sécurité dans les applications Web à l'aide du scanner de vulnérabilité de sécurité Detectify.

97 % des applications testées par TrustWave étaient vulnérables à un ou plusieurs risques de sécurité.

Cet article de blog est en collaboration avec Detectify.

La vulnérabilité des applications Web peut entraîner d'affaires et réputation perte pour l'entreprise si elle n'a pas été corrigée à temps.

La triste vérité est que la plupart des sites Web sont vulnérables la plupart du temps. Une intéressant rapport par Sécurité du chapeau blanc indique les jours moyens pour corriger la vulnérabilité par secteur.

Comment vous assurez-vous d'être conscients de vulnérabilités connues et inconnues dans vos applications Web?

Il y a beaucoup de scanners de sécurité basés sur le cloud pour vous aider avec ça. Dans cet article, je parlerai de l'une des plateformes SaaS les plus prometteuses - Detectify.

 

Detectify s'intègre à votre processus de développement pour trouver le risque de sécurité à un stade précoce (environnement de préparation / de non-production), vous les atténuez donc avant la mise en service.

L'intégration du développement n'est que l'un des nombreux excellentes caractéristiques et facultatif si vous ne disposez pas d'un environnement de préparation.

Detectify utilise un robot d'exploration interne pour explorer votre site Web et optimiser le test en fonction de technologies utilisées dans les applications web.

Une fois exploré, votre site Web est testé pendant plus de 500 vulnérabilités, dont le top 10 OWASP, et vous donner un rapport exploitable de chaque découverte.

Detectify Features

Certaines des caractéristiques à mentionner sont:

Rapports - vous pouvez exporter les résultats de l'analyse sous forme de résumé ou de rapport complet. Vous avez la possibilité d'exporter au format PDF, JSON ou Trello. Vous pouvez également consulter le rapport par Top 10 de l'OWASP; ce serait pratique si votre objectif est de résoudre uniquement avec les résultats de l'OWASP.

Intégration - vous pouvez utiliser l'API Detectify pour intégrer vos applications ou ce qui suit.

  • Slack, Pager Duty, Hipchat - soyez instantanément notifié
  • JIRA – créer un problème pour les résultats
  • Trello - Obtenez les résultats dans le tableau Trello
  • Zapier – automatiser workflows

Un grand nombre de tests - comme mentionné précédemment, il recherche plus de 500 vulnérabilités, dont certaines sont:

  • Injection SQL / Blind / WPML / NoSQL SQL
  • Scripts intersites (XSS)
  • Falsification de demande intersite (CSRF)
  • Inclusion de fichiers distants / locaux
  • erreur SQL
  • Session de connexion non chiffrée
  • Fuites d'informations
  • Usurpation d'e-mail
  • Énumération des e-mails / utilisateurs
  • Session interrompue
  • XPATH
  • Malware

Ne fais pas tout seul - invitez votre équipe à se produire et à partager les résultats

Personnaliser les tests - chaque application est unique, donc si nécessaire, vous pouvez mettre le cookie personnalisé / agents utilisateurs / en-têtes, modifier le comportement de test et à partir de différents appareils.

Mises à jour de sécurité continues - L'outil est mis à jour régulièrement pour assurer toutes les dernières vulnérabilités sont couverts et testés. Par exemple, la semaine dernière, plus de dix nouveaux tests ont été mis à jour.

Sécurité CMS - si vous exécutez un blog, un site Web d'information, un commerce électronique, vous utiliserez probablement CMS comme WordPress, Joomla, Drupal, Magento, et la bonne nouvelle est qu'ils sont couverts dans le test de sécurité.

Detectify effectue CMS particulier test pour s'assurer que votre site Web n'est pas exposé en ligne menaces qui peuvent en découler.

Scanner page protégée - parcourez la page qui se trouve derrière la connexion.

Getting Started with Detectify

Détecter les offres 14 jours d'essai GRATUIT (Pas de carte de crédit nécessaire). Ensuite, je vais créer un compte d'essai et effectuer le test de sécurité sur mon site Web.

  • Vous recevrez un e-mail de confirmation pour vérifier le compte

  • Cliquez sur "Vérifier l'e-mail pour le démarrer" et vous serez redirigé vers le tableau de bord avec un écran de visite de bienvenue.

Ecran d'accueil

  • Vous voudrez peut-être naviguer dans le guide étape par étape ou regarder la vidéo, mais pour l'instant, je vais fermer la fenêtre.

À présent, votre compte est créé et prêt à ajouter le site Web pour exécuter l'analyse. Sur le tableau de bord, vous verrez un menu "Portées et cibles», Cliquez dessus.

détecter-tableau de bord

Il existe deux façons d'ajouter le portée (URL).

  1. Manuellement - entrez l'URL manuellement
  2. automatiquement - importer l'URL avec Google Analytics

Choisissez celui que vous aimez. Je vais procéder en important via Google Analytics.

  • Cliquez sur "Utiliser Google Analytics" et authentifiez votre compte Google pour récupérer les informations d'URL. Une fois ajouté, vous devriez voir les informations URL.

URL ajoutée

Cela conclut que vous avez ajouté l'URL à Detectify, et chaque fois que vous êtes prêt, vous pouvez exécuter l'analyse à la demande ou calendrier pour l'exécuter quotidiennement, hebdomadairement ou mensuellement.

Running a Security Scan

Il s'agit d'un amusement c'est l'heure!

  • Allons au tableau de bord et cliquons sur l'URL que vous venez d'ajouter.
  • Cliquez sur "Start scan"En bas à droite

start-scan

Il lancera l'analyse dans sept étapes comme suit et vous devriez voir le statut de chaque

  • Commencez
  • La collecte d'informations
  • Rampant
  • Empreintes digitales
  • Analyse des informations
  • Exploitation
  • La finalisation

analyse en cours

Il faudra un certain temps (environ 3 à 4 heures en fonction de la taille du site Web) pour exécuter l'analyse complète. Vous pouvez fermer le navigateur et vous obtiendrez notification par email une fois l'analyse terminée.

Ça a pris environ 3.5 heures pour terminer l'analyse de Geek Flare, et je l'ai.

numérisation terminée

Vous pouvez soit cliquer sur e-mail, soit vous connecter à un tableau de bord pour afficher le rapport.

Exploring Detectify Report

Le reporting est ce que recherche un propriétaire de site Web ou un analyste de sécurité. Ses essential car vous devrez corriger les résultats que vous voyez dans le rapport.

Lorsque vous vous connectez au tableau de bord, vous verrez votre liste de sites Web.

tableau de bord après analyse

Vous pouvez voir la date et le moment de la dernière analyse, certains résultats et le score global.

  • Icône rouge - haute
  • Icône jaune - moyen
  • Icône bleue - faible

La gravité élevée est dangereux, et il devrait toujours être le premier à corriger dans votre liste de priorités.

Jetons un coup d'œil au rapport détaillé. Cliquez sur le site Web dans le tableau de bord, et cela vous mènera à la page de présentation.

Ici, vous avez deux options sous "Score de menace". Soit vous pouvez voir le résultat en ligne ou les exporter vers PDF.

score global

J'ai exporté mon rapport au format PDF, et il faisait 351 pages, c'est en profondeur.

Un exemple rapide de résultats en ligne, vous pouvez les développer pour voir les informations détaillées.

recherche-de-vue-en-ligne

Chaque résultat est expliqué de manière claire et possible recommandations donc si vous êtes un analyste de sécurité; un rapport devrait vous donner suffisamment d'informations pour les corriger.

Top 10 des rapports OWASP - si vous êtes simplement intéressé par Top 10 de l'OWASP rapport sur les éléments de sécurité, vous pouvez les consulter sous "Rapports»Dans la barre de navigation de gauche.

owasp-top10-résultats

Alors allez-y et examinez le rapport pour voir ce que vous devez corriger. Une fois que vous avez réparé la découverte, vous pouvez réexécuter l'analyse pour la vérifier.

Exploring Detectify Settings

Il y a quelques paramètres utiles que vous voudrez peut-être jouer avec lui en fonction de l'exigence.

Sous Paramètres >> de base

Limite de demande - si vous souhaitez que Detectify limite le nombre de requêtes qu'il effectue par seconde sur votre site Web, vous pouvez le personnaliser ici. Par défaut, il est désactivé.

limite de demande

Sous-domaine - vous pouvez demander à Detectify de ne pas découvrir le sous-domaine pour l'analyse. Il est activé par défaut.

sous-domaines

Configurer des analyses récurrentes - modifiez la planification pour exécuter l'analyse de sécurité tous les jours, toutes les semaines ou tous les mois. Par défaut, il est configuré pour s'exécuter chaque semaine.

Sous Paramètres >> Avancé

Cookie et en-tête personnalisés - fournissez votre cookie personnalisé et votre en-tête pour le test

Numériser depuis un mobile - vous pouvez exécuter l'analyse à partir de différents agents utilisateurs. Utile si vous souhaitez tester comme un utilisateur mobile, un client personnalisé, etc.

scan-dispositif

Désactiver le test spécifique - vous ne voulez pas tester certains éléments de sécurité spécifiques? Vous pouvez le désactiver à partir d'ici.

test actif

À vous ...

Si vous souhaitez vraiment trouver des failles de sécurité le point de vue des hackers, puis essayez de détecter. Vous pouvez créer un compte d'essai pour explorer les fonctionnalités.

Merci à nos commanditaires
Plus de bonnes lectures sur la sécurité
Alimentez votre entreprise
Certains des outils et services pour aider votre entreprise à se développer.
  • invicti
    Invicti utilise Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Données lumineuses
    Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.
    Essayez Brightdata
  • Semrush
    Semrush est une solution de marketing numérique tout-en-un avec plus de 50 outils de référencement, de médias sociaux et de marketing de contenu.
    Essayez Semrush
  • Intruder
    Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.
    Essayez Intruder