Un guide étape par étape pour trouver les failles de sécurité dans les applications Web à l'aide du scanner de vulnérabilité de sécurité Detectify.
97 % des applications testées par TrustWave étaient vulnérables à un ou plusieurs risques de sécurité.
Cet article de blog est en collaboration avec Detectify.
La vulnérabilité des applications Web peut entraîner d'affaires et réputation perte pour l'entreprise si elle n'a pas été corrigée à temps.
La triste vérité est que la plupart des sites Web sont vulnérables la plupart du temps. Une intéressant rapport par Sécurité du chapeau blanc indique les jours moyens pour corriger la vulnérabilité par secteur.
Comment vous assurez-vous d'être conscients de vulnérabilités connues et inconnues dans vos applications Web?
Il y a beaucoup de scanners de sécurité basés sur le cloud pour vous aider avec ça. Dans cet article, je parlerai de l'une des plateformes SaaS les plus prometteuses - Detectify.
Detectify s'intègre à votre processus de développement pour trouver le risque de sécurité à un stade précoce (environnement de préparation / de non-production), vous les atténuez donc avant la mise en service.
L'intégration du développement n'est que l'un des nombreux excellentes caractéristiques et facultatif si vous ne disposez pas d'un environnement de préparation.
Detectify utilise un robot d'exploration interne pour explorer votre site Web et optimiser le test en fonction de technologies utilisées dans les applications web.
Une fois exploré, votre site Web est testé pendant plus de 500 vulnérabilités, dont le top 10 OWASP, et vous donner un rapport exploitable de chaque découverte.
Detectify Features
Certaines des caractéristiques à mentionner sont:
Rapports - vous pouvez exporter les résultats de l'analyse sous forme de résumé ou de rapport complet. Vous avez la possibilité d'exporter au format PDF, JSON ou Trello. Vous pouvez également consulter le rapport par Top 10 de l'OWASP; ce serait pratique si votre objectif est de résoudre uniquement avec les résultats de l'OWASP.
Intégration - vous pouvez utiliser l'API Detectify pour intégrer vos applications ou ce qui suit.
- Slack, Pager Duty, Hipchat - soyez instantanément notifié
- JIRA – créer un problème pour les résultats
- Trello - Obtenez les résultats dans le tableau Trello
- Zapier – automatiser workflows
Un grand nombre de tests - comme mentionné précédemment, il recherche plus de 500 vulnérabilités, dont certaines sont:
- Injection SQL / Blind / WPML / NoSQL SQL
- Scripts intersites (XSS)
- Falsification de demande intersite (CSRF)
- Inclusion de fichiers distants / locaux
- erreur SQL
- Session de connexion non chiffrée
- Fuites d'informations
- Usurpation d'e-mail
- Énumération des e-mails / utilisateurs
- Session interrompue
- XPATH
- Malware
Ne fais pas tout seul - invitez votre équipe à se produire et à partager les résultats
Personnaliser les tests - chaque application est unique, donc si nécessaire, vous pouvez mettre le cookie personnalisé / agents utilisateurs / en-têtes, modifier le comportement de test et à partir de différents appareils.
Mises à jour de sécurité continues - L'outil est mis à jour régulièrement pour assurer toutes les dernières vulnérabilités sont couverts et testés. Par exemple, la semaine dernière, plus de dix nouveaux tests ont été mis à jour.
Sécurité CMS - si vous exécutez un blog, un site Web d'information, un commerce électronique, vous utiliserez probablement CMS comme WordPress, Joomla, Drupal, Magento, et la bonne nouvelle est qu'ils sont couverts dans le test de sécurité.
Detectify effectue CMS particulier test pour s'assurer que votre site Web n'est pas exposé en ligne menaces qui peuvent en découler.
Scanner page protégée - parcourez la page qui se trouve derrière la connexion.
Getting Started with Detectify
Détecter les offres 14 jours d'essai GRATUIT (Pas de carte de crédit nécessaire). Ensuite, je vais créer un compte d'essai et effectuer le test de sécurité sur mon site Web.
- Remplissez les informations sur le page de création de compte d'essai et cliquez sur Continuer.
- Vous recevrez un e-mail de confirmation pour vérifier le compte
- Cliquez sur "Vérifier l'e-mail pour le démarrer" et vous serez redirigé vers le tableau de bord avec un écran de visite de bienvenue.
- Vous voudrez peut-être naviguer dans le guide étape par étape ou regarder la vidéo, mais pour l'instant, je vais fermer la fenêtre.
À présent, votre compte est créé et prêt à ajouter le site Web pour exécuter l'analyse. Sur le tableau de bord, vous verrez un menu "Portées et cibles», Cliquez dessus.
Il existe deux façons d'ajouter le portée (URL).
- Manuellement - entrez l'URL manuellement
- automatiquement - importer l'URL avec Google Analytics
Choisissez celui que vous aimez. Je vais procéder en important via Google Analytics.
- Cliquez sur "Utiliser Google Analytics" et authentifiez votre compte Google pour récupérer les informations d'URL. Une fois ajouté, vous devriez voir les informations URL.
Cela conclut que vous avez ajouté l'URL à Detectify, et chaque fois que vous êtes prêt, vous pouvez exécuter l'analyse à la demande ou calendrier pour l'exécuter quotidiennement, hebdomadairement ou mensuellement.
Running a Security Scan
Il s'agit d'un amusement c'est l'heure!
- Allons au tableau de bord et cliquons sur l'URL que vous venez d'ajouter.
- Cliquez sur "Start scan"En bas à droite
Il lancera l'analyse dans sept étapes comme suit et vous devriez voir le statut de chaque
- Commencez
- La collecte d'informations
- Rampant
- Empreintes digitales
- Analyse des informations
- Exploitation
- La finalisation
Il faudra un certain temps (environ 3 à 4 heures en fonction de la taille du site Web) pour exécuter l'analyse complète. Vous pouvez fermer le navigateur et vous obtiendrez notification par email une fois l'analyse terminée.
Ça a pris environ 3.5 heures pour terminer l'analyse de Geek Flare, et je l'ai.
Vous pouvez soit cliquer sur e-mail, soit vous connecter à un tableau de bord pour afficher le rapport.
Exploring Detectify Report
Le reporting est ce que recherche un propriétaire de site Web ou un analyste de sécurité. Ses essential car vous devrez corriger les résultats que vous voyez dans le rapport.
Lorsque vous vous connectez au tableau de bord, vous verrez votre liste de sites Web.
Vous pouvez voir la date et le moment de la dernière analyse, certains résultats et le score global.
- Icône rouge - haute
- Icône jaune - moyen
- Icône bleue - faible
La gravité élevée est dangereux, et il devrait toujours être le premier à corriger dans votre liste de priorités.
Jetons un coup d'œil au rapport détaillé. Cliquez sur le site Web dans le tableau de bord, et cela vous mènera à la page de présentation.
Ici, vous avez deux options sous "Score de menace". Soit vous pouvez voir le résultat en ligne ou les exporter vers PDF.
J'ai exporté mon rapport au format PDF, et il faisait 351 pages, c'est en profondeur.
Un exemple rapide de résultats en ligne, vous pouvez les développer pour voir les informations détaillées.
Chaque résultat est expliqué de manière claire et possible recommandations donc si vous êtes un analyste de sécurité; un rapport devrait vous donner suffisamment d'informations pour les corriger.
Top 10 des rapports OWASP - si vous êtes simplement intéressé par Top 10 de l'OWASP rapport sur les éléments de sécurité, vous pouvez les consulter sous "Rapports»Dans la barre de navigation de gauche.
Alors allez-y et examinez le rapport pour voir ce que vous devez corriger. Une fois que vous avez réparé la découverte, vous pouvez réexécuter l'analyse pour la vérifier.
Exploring Detectify Settings
Il y a quelques paramètres utiles que vous voudrez peut-être jouer avec lui en fonction de l'exigence.
Sous Paramètres >> de base
Limite de demande - si vous souhaitez que Detectify limite le nombre de requêtes qu'il effectue par seconde sur votre site Web, vous pouvez le personnaliser ici. Par défaut, il est désactivé.
Sous-domaine - vous pouvez demander à Detectify de ne pas découvrir le sous-domaine pour l'analyse. Il est activé par défaut.
Configurer des analyses récurrentes - modifiez la planification pour exécuter l'analyse de sécurité tous les jours, toutes les semaines ou tous les mois. Par défaut, il est configuré pour s'exécuter chaque semaine.
Sous Paramètres >> Avancé
Cookie et en-tête personnalisés - fournissez votre cookie personnalisé et votre en-tête pour le test
Numériser depuis un mobile - vous pouvez exécuter l'analyse à partir de différents agents utilisateurs. Utile si vous souhaitez tester comme un utilisateur mobile, un client personnalisé, etc.
Désactiver le test spécifique - vous ne voulez pas tester certains éléments de sécurité spécifiques? Vous pouvez le désactiver à partir d'ici.
À vous ...
Si vous souhaitez vraiment trouver des failles de sécurité le point de vue des hackers, puis essayez de détecter. Vous pouvez créer un compte d'essai pour explorer les fonctionnalités.