Videó: ImmuniWeb® AI Application Security Testing Platform Overview (November 2024)
Ha vállalkozása a webhelyén támaszkodik - mint a legtöbb vállalkozás -, akkor magának tartoznia kell azzal, hogy megbizonyosodjon arról, hogy nem tartalmaz biztonsági lyukakat. Az ImmuniWeb, a High-Tech Bridge kódolvasója alapos biztonsági rést nyújt a kisvállalkozások számára a webhely problémáinak feltárására, 639 USD (közvetlen) megfizethető áron.
Számos oka van a webhelyek célzásának. A számítógépes bűnözők megkísérelhetik megrongálni az Ön webhelyét olyan rosszindulatú programokkal, amelyek megfertőzik a webhely látogatóit, és ellopják online banki adataikat. Lehet, hogy valakinek nem tetszik az Ön vállalkozása, és meg akarja sérteni a webhelyét. Lehet, hogy a támadók az adatbázisában tárolt értékes adatok után járnak, és a weboldal könnyű bejutni. Függetlenül attól, hogy a webhelyeket egyre inkább támadásnak vetik alá, és a vállalkozásoknak gondoskodniuk kell arról, hogy a kijavítatlan biztonsági hibák és a konfigurációs hibák ne tegyék megkönnyítve a rossz szereplőket. srácok, hogy menjenek be jobbra.
A High-Tech Bridge kiértékelői az ImmuniWeb szkennert használják akár automatikus, akár kézi letapogatásra. Ezek az eredmények egy átfogó jelentésben szerepelnek, és ajánlásokat tartalmaznak a felfedezett problémák kijavítására. A jelentések könnyen olvashatók és meglehetősen részletesek. Vállalkozásának jellegétől függően az ImmuniWeb végleges jelentése kissé meglehet, hogy hiányzik, de összességében az alapértékelés fájdalommentes és hasznos. Sok kisvállalkozás szerint a sebezhetőség felmérése a "nagy fiúk" számára aggódhat, ám az ImmuniWeb azt mutatja, hogy a kisebb szervezetek megengedhetik maguknak, hogy komolyan vegyék a biztonságot.
Az ImmuniWeb lényege, hogy egy gyártási helyet nézzen meg. A teszthelyet összekapcsolni nem lenne igazán értelmes, mert a hely nem lenne elég robusztus, és az eredmények mesterségesek lennének. Két, egymástól nagyon különbözõ kisvállalkozáshoz fordultam, akik beleegyeztek egy ImmuniWeb értékelésbe, feltéve, hogy lehetõséget kapnak arra, hogy megtekintsék az eredményül kapott jelentéseket és kijavítsák a kérdéseket. Az első oldalon a felhasználók könyveket vásárolhatnak, videókat nézhetnek, és részt vehetnek egy közösségi fórumon. A második webhely a WordPress-en alapult, és cikkcikkeket, videoklipeket és podcastokat mutatott fel.
ImmuniWeb portál
Az ImmuniWeb portál az értékelő csoporttal folytatott kommunikáció központja. Regisztráltam egy fiókot, megadtam a webhely URL-jét és megadtam az alapvető információkat. Míg volt egy szakasz a speciális lehetőségekről (például arról, hogy a webhely egyes részei el vannak-e rejtve a bejelentkezési prompt mögött), az egyiket nem zavarta: Csak a kapcsolattartó adataim, a fizetési információk és a dátum kiválasztása a naptárban az értékelés megkezdéséhez. Olyan egyszerű.
Összességében a portál kicsit keltezettnek tűnik, és nem olyan sima, mint amire számíthat a webes alkalmazások számára, viszont könnyű navigálni, és pontosan azt a munkát végzi, amelyre tervezte. Láttam az értékelés állapotát és riasztásokat kaptam, amikor az ImmuniWeb csapat üzenetet küldött. Tudtam ütemezni több értékelést, és nyomon követhetem ezeket külön-külön. Letölthetem a jelentéseket is, miután elkészítették őket.
Volt egy furcsa furcsa, ami megkeményített. Az előtag legördülő menü, amely egy kötelező mező volt, nem adott lehetőséget az "Ms." Csak kisasszony vagy Mrs. Tehát a felülvizsgálat ideje alatt "prof."
Az ImmuniWeb értékelés
Kaptam egy e-mail értesítést, amikor a teszt elindult, és újra, amikor befejeződött. Arra is figyelmeztettek, hogy a webhelynek maroknyi IP-címhez kell hozzáférnie. Egy-két napba telt a jelentés elkészítése. Nagyra értékeltem a rendszeres kommunikációt.
Az első értékeléshez a kérdéses webhelyet (a könyvesboltot) az Amazon EC2-en tárolják, és az ImmuniWeb szkenner nem látta. Ennek több oka lehet, például egy behatolás-érzékelő rendszer, amely blokkolja a hozzáférést, vagy más, az automatikus szkennelést korlátozó rendszer. A csapat átvált egy kézi értékelésre és úgy fejezte be, hogy nem kellett volna semmit tennem. A lapolvasónak nem volt gondja a második webhely (a WordPress blog) megjelenítésével, egy felhőplatformon is.
A helyszín adminisztrátorok szerint az értékelés során nem jelentek meg problémák a webhely teljesítményével kapcsolatban. Ez nagyon jó dolog, mert az üzleti vállalkozás utolsó dolga az, hogy foglalkoztasson leállásokkal.
A jelentés eredményei
Amikor a jelentések elkészültek, letöltöttem őket, hogy megnézhessem a webhelyek működését. Egyik oldalon sem volt kritikus hiba, ami megkönnyebbülés volt, ám mindkettőnek volt néhány közép- és alacsony prioritással bíró kérdése. Egyes területeken az értékelés kissé túl magas szintűnek tűnt, mivel a jelentés nem tartalmazott mélyebb elemzést, például a sebezhetőségi erőszakos támadásokat. Összességében a jelentés sok alapot lefedt, ám az egyes részvételi jelentések némileg meglepőnek és hihetetlennek bizonyultak a szervezet számára. Voltak olyan dolgok, amelyeket olyan kérdésekként jelöltek meg, amelyek egyértelműen nem voltak figyelembe véve az üzleti vagy a webhely architektúrájának összefüggésében.
Például a könyvesbolt webhelyén mind az e-kereskedelem, mind a wiki elemek szerepeltek, és a jelentés többször felhívta a figyelmet arra a tényre, hogy bárki létrehozhat egy oldalt - a wiki legalapvetőbb tulajdonsága. Jó lett volna, ha volt mód arra, hogy bizonyos dolgokat pontosan meghatározhasson, és ezeket a jelentést el kell hagyni, különösen mivel a webhelyet kézzel ellenőrizték. Ehelyett az ImmuniWeb mindenki számára egységes megközelítést alkalmazott, és nem vette figyelembe, hogy ebben az esetben az oldal létrehozása képesség, nem pedig probléma. Attól tartok, hogy a kisvállalkozásoknak nincs türelme, hogy átgondolják a jelentést, amikor tényleges problémákat keresnek, ha olyan bejegyzésekkel szembesülnek, amelyek nem felelnek meg a használati esettől.
Egy másik probléma az volt, hogy mindkét szkennelt oldal megjelenített néhány e-mail címet az oldalain, például a marketing csapat, az értékesítés és még az ügyvezető igazgató számára is. A szkenner nem tett különbséget egy általános e-mail cím között, amelyre az ügyfeleknek kapcsolatba kell lépniük a vállalkozással, és a lehetséges adatkérdések között. Megint nagyon sokat kell kérni egy automatizált rendszertől, de ez zsúfolt jelentést tesz szükségessé.
Másrészről, a WordPress webhelynél az ImmuniWeb azonosította a WordPress alapú webhelyet, amely magas szintű SQL-injektálási biztonsági rést szenvedett. A legtöbb sebezhetőségi felmérési platform biztosítja a CVE (Common Sérneramissions and Exposures) azonosítót és egy linket a probléma leírásához, és a webhely rendszergazdájának bízza meg, hogy kiderítse, hol van a probléma, és hogyan lehet azt megjavítani. Nem az ImmuniWeb. A jelentés nagyon világos utasításokat adott a WordPress rendszergazda számára: frissítse az AdRotate beépülő modult. Pontosan erre a javításra van szükség a nem technikai adminisztrátoroknak, és az ImmuniWeb képes volt ezeket az információkat biztosítani.
A jelentések információkat tartalmaznak a webhely SSL-konfigurációjáról, valamint arról, hogy a guggolók irányították-e a hasonló hangzású tartományokat. Néhány vállalkozás számára az utóbbi részlet hasznos tudni.
Jó lépés előre
A legtöbb vállalkozás számára az ImmuniWeb jó kezdete. Ha fogalma sincs arról, hogy néz ki a biztonsági kép, akkor érdemes megszerezni ezt az értékelést - különösen a kiemelkedően megfizethető 639 USD áron. Még akkor is meg kell határoznia néhány vélemény felhívását, hogy a jelentés mely részei relevánsak-e vállalkozása szempontjából, a megadott információk könnyen olvashatók és érthetők, amelyeket a nem műszaki adminisztrátorok értékelni fognak.
