Geekflare
[gtranslate]
Geekflare est soutenu par son public. Nous pouvons percevoir des commissions d'affiliation sur les liens d'achat présents sur ce site.
En Sécurité  |  Dernière mise à jour : 16 septembre 2023
Partager sur :
Invicti Web Application Security Scanner - la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Comment analyser son site web comme un hacker pour trouver des vulnérabilités ?

Par
extension de sécurité joomla

Un guide étape par étape pour trouver des failles de sécurité dans les applications web en utilisant l'analyseur de vulnérabilités de sécurité Detectify.

97% des applications testées par TrustWave était vulnérable à un ou plusieurs risques de sécurité.

Ce billet est publié en collaboration avec Detectify.

La vulnérabilité d'une application web peut entraîner entreprise et réputation perte pour l'entreprise s'il n'y est pas remédié à temps.

La triste vérité est que la plupart des sites web sont vulnérables la plupart du temps. Un intéressant rapport de White Hat Security indique le nombre moyen de jours nécessaires à la correction de la vulnérabilité par secteur d'activité.

Comment vous assurer que vous êtes conscient des vulnérabilités connues et inconnues dans vos applications web ?

Il existe de nombreux scanners de sécurité basés sur l'informatique dématérialisée pour vous aider. Dans cet article, je parlerai de l'une des plateformes SaaS les plus prometteuses - Detectify.

 

Detectify s'intègre à votre processus de développement pour déterminer le risque de sécurité à un stade donné. stade précoce (mise en scène/environnement hors production), afin de les atténuer avant la mise en service.

L'intégration du développement n'est qu'un des nombreux d'excellentes caractéristiques et facultatif si vous n'avez pas d'environnement d'essai.

Detectify utilise un crawler interne pour explorer votre site web et optimiser le test sur la base des éléments suivants les technologies utilisées dans les applications web.

Une fois parcouru, votre site web est testé pour plus de 500 vulnérabilités, y compris le top 10 de l'OWASP, et vous fournir un rapport exploitable sur chaque constatation.

Caractéristiques de Detectify

Voici quelques-unes des caractéristiques qui méritent d'être mentionnées :

Rapports - vous pouvez exporter les résultats de l'analyse sous la forme d'un résumé ou d'un rapport complet. Vous avez la possibilité d'exporter au format PDF, JSON ou Trello. Vous pouvez également consulter le rapport en Top 10 de l'OWASP; cela serait pratique si votre objectif est de ne corriger que les découvertes de l'OWASP.

Intégration - vous pouvez utiliser l'API de Detectify pour l'intégrer à vos applications ou à ce qui suit.

  • Slack, Pager Duty, Hipchat - recevez des notifications instantanées
  • JIRA - créer une question pour les résultats
  • Trello - obtenir les résultats dans le tableau Trello
  • Zapier - automatiser les flux de travail

Un grand nombre de tests - comme indiqué précédemment, il vérifie plus de 500 vulnérabilités, dont certaines :

  • Injection SQL/Blind/WPML/NoSQL
  • Scripts intersites (XSS)
  • Falsification des requêtes intersites (CSRF)
  • Inclusion de fichiers distants/locaux
  • Erreur SQL
  • Session de connexion non cryptée
  • Fuites d'informations
  • Usurpation d'adresse électronique
  • Enumération des courriels/utilisateurs
  • Session interrompue
  • XPATH
  • Logiciels malveillants

Ne pas tout faire seul - inviter votre équipe à se produire et à partager les résultats

Personnaliser les tests - chaque application est unique, donc si nécessaire vous pouvez mettre le cookie personnalisé/les agents utilisateurs/les en-têtes, changer le comportement du test, et à partir de différents appareils.

Mises à jour permanentes de la sécurité - L'outil est régulièrement mis à jour afin de garantir que toutes les dernières vulnérabilités sont couverts et testés. Par exemple, la semaine dernière, plus de dix nouveaux tests ont été mis à jour.

Sécurité de la CMS - Si vous gérez un blog, un site web d'information ou un site de commerce électronique, vous utiliserez très probablement CMS comme WordPress, Joomla, Drupal, Magento, et la bonne nouvelle est qu'ils sont couverts par le test de sécurité.

Detectify réalise CMS particulier test pour s'assurer que votre site web n'est pas exposé à des menaces en ligne. les menaces qui ont pu en découler.

Scanner page protégée - parcourir la page qui se trouve derrière le login.

Démarrer avec Detectify

Detectify offre 14 jours d'essai GRATUIT (aucune carte de crédit n'est requise). Ensuite, je créerai un compte d'essai et j'effectuerai le test de sécurité sur mon site web.

  • Vous recevrez un courriel de confirmation pour vérifier le compte.

  • Cliquez sur "Vérifier l'e-mail pour démarrer" et vous serez redirigé vers le tableau de bord avec un écran de bienvenue.

écran d'accueil

  • Il peut être intéressant pour vous de parcourir le guide étape par étape ou de regarder la vidéo, mais pour l'instant, je vais fermer la fenêtre.

Vous avez maintenant créé votre compte et vous êtes prêt à ajouter le site web pour lancer le scan. Sur le tableau de bord, vous verrez un menu "Lunettes de visée et ciblesCliquez sur ce lien.

detectify-dashboard

Il y a deux façons d'ajouter le champ d'application (URL).

  1. Manuellement - saisir l'URL manuellement
  2. Automatiquement - importer l'URL avec Google Analytics

Choisissez celui qui vous convient. Je vais procéder à l'importation par Google Analytics.

  • Cliquez sur "Utiliser Google Analytics" et authentifiez votre compte Google pour récupérer les informations de l'URL. Une fois ajouté, vous devriez voir les informations de l'URL.

url-added

Ceci conclut que vous avez ajouté l'URL à Detectify, et quand vous êtes prêt, vous pouvez lancer le scan à la demande ou calendrier pour l'exécuter quotidiennement, hebdomadairement ou mensuellement.

Exécution d'une analyse de sécurité

Il s'agit d'un amusant temps maintenant !

  • Allons dans le tableau de bord et cliquons sur l'URL que vous venez d'ajouter.
  • Cliquez "Démarrer l'analyse"en bas à droite

démarrer le balayage

Il commencera l'analyse dans sept étapes comme suit et vous devriez voir l'état de chaque

  • Démarrage
  • Collecte d'informations
  • Ramper
  • Prise d'empreintes digitales
  • Analyse de l'information
  • Exploitation
  • Finalisation

scan-running (analyse en cours d'exécution)

L'analyse complète prendra un certain temps (environ 3 à 4 heures en fonction de la taille du site web). Vous pouvez fermer le navigateur et vous obtiendrez notification par courrier électronique une fois l'analyse terminée.

Il a fallu environ 3,5 heures pour compléter l'analyse de Geek Flareet j'ai obtenu ceci.

scan-finished

Vous pouvez soit cliquer sur l'e-mail, soit vous connecter à un tableau de bord pour afficher les informations suivantes rapport.

Exploration du rapport Detectify

Le rapport est ce qu'un propriétaire de site web ou un analyste de la sécurité recherche. C'est essentiel car vous devrez corriger les résultats que vous voyez dans le rapport.

Lorsque vous vous connectez au tableau de bord, vous verrez la liste de vos sites web.

tableau de bord-après-scan

Vous pouvez voir la date et l'heure de la dernière analyse, certains résultats et le score global.

  • Icône rouge - élevé
  • Icône jaune - moyenne
  • Icône bleue - faible

La gravité élevée est dangereuxet il devrait toujours être le premier à être réglé dans votre liste de priorités.

Jetons un coup d'œil au rapport détaillé. Cliquez sur le site web dans le tableau de bord, et vous accéderez à la page d'aperçu.

Deux options s'offrent à vous sous la rubrique "Score de menace". Vous pouvez soit consulter le résultat en ligne ou les exporter vers PDF (EN ANGLAIS).

note globale

J'ai exporté mon rapport en PDF, et il faisait 351 pages, c'est-à-dire en profondeur.

Un exemple rapide de résultats en ligne, vous pouvez les développer pour voir les informations détaillées.

voir-trouver-en-ligne

Chaque résultat est expliqué de manière claire et possible. recommandations Ainsi, si vous êtes un analyste de la sécurité, un rapport devrait vous fournir suffisamment d'informations pour y remédier.

Rapport OWASP top 10 - si vous n'êtes intéressé que par Top 10 de l'OWASP le rapport sur les éléments de sécurité, vous pouvez alors les consulter sous "Rapports"dans la barre de navigation de gauche.

owasp-top10-findings

Allez donc de l'avant et consultez le rapport pour voir ce que vous devez réparer. Une fois le problème résolu, vous pouvez relancer l'analyse pour le vérifier.

Exploration des paramètres de Detectify

Il existe quelques paramètres utiles avec lesquels vous pouvez jouer en fonction de vos besoins.

Sous Paramètres >> de base

Limite de la demande - si vous souhaitez que Detectify limite le nombre de requêtes qu'il effectue par seconde sur votre site web, vous pouvez le personnaliser ici. Par défaut, il est désactivé.

limite de demande

Sous-domaine - vous pouvez demander à Detectify de ne pas découvrir le sous-domaine pour l'analyse. Cette option est activée par défaut.

sous-domaines

Mise en place de numérisations récurrentes - modifier la programmation pour que l'analyse de sécurité soit exécutée quotidiennement, hebdomadairement ou mensuellement. Par défaut, il est configuré pour s'exécuter chaque semaine.

Sous Paramètres >> Avancés

Cookie et en-tête personnalisés - fournir votre cookie personnalisé et votre en-tête pour le test

Numérisation à partir d'un téléphone portable - vous pouvez lancer l'analyse à partir de différents user-agent. Utile si vous voulez tester comme un utilisateur mobile, un client personnalisé, etc.

scanner-appareil

Désactiver un test spécifique - Vous ne souhaitez pas tester certains éléments de sécurité spécifiques ? Vous pouvez les désactiver ici.

test actif

A vous de jouer...

Si vous voulez vraiment trouver des failles de sécurité à partir de le point de vue des pirates informatiquesAlors, essayez Detectify. Vous pouvez créer un compte d'essai pour explorer les fonctionnalités.

  • Chandan Kumar
    Auteur
    Chandan Kumar est le fondateur de Geekflare. Il a aidé des millions de personnes à exceller dans le domaine numérique. Passionné de technologie, il s'est donné pour mission d'explorer le monde et d'amplifier la croissance des professionnels et des entreprises.
Merci à nos sponsors
Autres lectures sur la sécurité
Alimentez votre entreprise
Quelques outils et services pour aider votre entreprise à se développer.
  • Invicti
    Invicti utilise le Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Brightdata
    Web scraping, proxy résidentiel, proxy manager, web unlocker, search engine crawler, et tout ce dont vous avez besoin pour collecter des données web.
    Essayez Brightdata
  • Lundi.com
    Monday.com est un système d'exploitation tout-en-un qui vous aide à gérer vos projets, vos tâches, votre travail, vos ventes, votre CRM, vos opérations, vos flux de travail et bien plus encore.
    Essayez le lundi
  • Intrus
    Intruder est un scanner de vulnérabilité en ligne qui détecte les faiblesses de votre infrastructure en matière de cybersécurité, afin d'éviter des violations de données coûteuses.
    Essayer l'intrus