您如何确保您的应用程序和基础架构免受安全漏洞的影响?
Detectify 提供一套完整的资产清单和监控解决方案,包括漏洞扫描、主机发现和软件指纹识别。 它的使用可以帮助避免令人不快的意外,例如存在漏洞的未知主机或容易被劫持的子域。
许多事情都可能出错,攻击者可以利用它。 一些常见的是:
- 保持不必要的端口打开
- 暴露不安全的子域、敏感文件、凭据
- 保持 .git 可访问
- 潜在的 OWASP 顶级漏洞,例如 XSS、SSRF、RCE
你可以辩论我可以手动运行端口扫描器,查找子域,测试漏洞等。如果你做一次或偶尔做一次,这很好,但它会耗时且不划算。你必须经常这样做。
那么解决方案是什么?
去做 检测资产监控,它监控您的 Web 应用程序的资产,并定期扫描上述所有讨论的内容和许多其他检查,以确保您的在线业务安全🛡️。
- Detectify 拥有自己的道德黑客私人社区,以众包漏洞研究,因此它会从真正的攻击者的角度向您发出警报。
- 其他工具依赖签名和版本测试,这更像是合规性而非实际安全性。 Detectify 黑客提供了用于构建安全测试的实际有效载荷,提供了一套独特的测试,这在市场上的其他产品中是看不到的。
- 结果? 一种更可靠的安全测试方法,只为您提供可以验证的结果
- 修复起来实际上很有趣的安全发现!
在他们的 博客,他们提到资产监控测试开发时间已缩短到从黑客发布到发布的最快 25 分钟。
听起来不错?
让我们看看它是如何工作的。
要开始使用 Detectify 资产监控,第一步是验证您拥有要监控的域,或者您有权执行安全扫描。 这是 Detectify 采取的必要步骤,以确保它揭示的敏感信息不会落入坏人之手。
我们可以通过多种方式进行域验证:将特定的 .txt 文件上传到域的根目录、使用 Google Analytics、通过 DNS 记录或使用网页上的元标记。 如果没有一种自助服务方法适合您,还可以选择辅助验证。
目录
创建扫描配置文件
设置 Detectify 的第二步是创建一个扫描配置文件,它可以与您站点中运行 HTTP 或 HTTPS 服务的任何域、子域或 IP 地址相关联。
设置扫描配置文件后,您可以使用不同的选项对其进行配置。
例如,您可以有两个配置文件与同一个域关联但具有不同的凭据。 这样,您就可以在同一台服务器上执行两次不同的扫描并比较结果。
配置扫描配置文件后,您就可以开始扫描了,只需按要使用的扫描配置文件旁边的“开始扫描”按钮即可。 仪表板将更改以显示扫描正在进行中。
执行扫描的时间取决于站点内容量。 如果卷相当大,扫描可能需要数小时,并且您可能会注意到在扫描过程中站点的性能略有下降。 所以我的建议是在您的站点不那么繁忙时执行扫描。
扫描报告
当 Detectify 完成扫描您的站点时,您将收到一封电子邮件,告知您已完成。 在该电子邮件中,它将告知您执行扫描所花费的时间、发现的问题数量(按严重程度分组)以及显示该站点在安全性方面好坏的总体威胁评分。
通过转到最新的扫描报告并单击信息发现列表中的“已抓取的 URL”项,您可以查看在扫描期间抓取了哪些 URL。 详细信息部分显示爬虫在扫描期间尝试访问的 URL 数量,以及其中有多少被识别为唯一的。
页面底部有一个超链接,用于下载一个 CSV 文件,其中包含所有已抓取的 URL 和每个 URL 的状态代码。 您可以浏览此列表以确保您网站的所有重要部分都已被访问过。
为了计划修复并在未来的扫描中获得更准确的结果,Detectify 允许您将每个发现标记为“已修复”、“已接受风险”或“误报”。 如果您将发现标记为“已修复”,扫描器将在以后的报告中使用相同的标记,因此您无需再次处理它以进行补救。 “可接受的风险”是您不希望在每次扫描时都得到报告的东西,而“误报”是一种可能类似于漏洞的发现,尽管它不是。
啊! 许多我从未想过要修复的发现。
Detectify 提供了许多不同的页面和视图来查看扫描结果。 “所有测试”视图允许您查看扫描发现的所有漏洞。 如果您熟悉 OWASP 分类,则可以查看 OWASP 视图以查看您的站点对前 10 个漏洞的脆弱程度。
为了微调未来的扫描,您可以使用 Detectify 的白/黑名单选项来添加您的站点区域,这些区域可能会被隐藏,因为没有链接指向它们。 或者您可以禁止不希望爬虫进入的路径。
资产盘点
Detectify 的资产清单页面显示了根资产列表——例如添加的域或 IP 地址——以及许多有助于保护 IT 投资的有用信息。 在每个资产旁边,一个蓝色或灰色图标指示资产监控是否已为其打开或关闭。
您可以单击清单中的任何资产以获取它的概览。 从那里,您可以检查子域、扫描配置文件、指纹技术、资产监控结果、资产设置等等。
资产监测结果
它根据严重程度将发现结果分为三类:高、中和低。
高级调查结果主要反映了敏感信息(例如,客户凭据或密码)正在向公众公开或可能被利用的问题。
中级调查结果显示了它公开某些信息的情况。 尽管这种暴露本身可能无害,但黑客可以通过将其与其他信息结合来利用它。
最后,低级别的调查结果显示了可能被接管的子域,应该对其进行检查以验证其所有权。
Detectify 提供了一个包含大量修复和补救技巧的知识库,可帮助您处理扫描过程中遇到的问题。 采取措施修复问题后,您可以运行第二次扫描以检查问题是否已得到有效修复。 导出选项让您可以创建包含调查结果报告的 PDF、XML 或 JSON 文件,以将它们发送给第三方或服务,例如 Trello 或 JIRA。
充分利用 Detectify
Detectify 的最佳实践指南建议添加一个不带子域的域名,以便在您的网站不太大的情况下获得整个网站的概览。 但是整个扫描有 9 小时的时间限制,之后扫描仪会跳转到流程的下一阶段。 出于这个原因,将您的域分解为更小的扫描配置文件可能是个好主意。
您的第一次扫描可能会告诉您某些资产比其他资产具有更多漏洞。 这是另一个原因 – 除了扫描持续时间 – 开始分解您的域。 您应该确定最关键的子域并为每个子域创建一个扫描配置文件。
注意“发现的主机”列表,因为它可以显示一些意想不到的发现。 例如,您不知道自己拥有的系统。 此列表有助于识别最重要的应用程序,这些应用程序值得更深入的扫描,因此需要单独的扫描配置文件。
Detectify 建议最好为每个扫描配置文件定义更小的范围,因为它可以获得更准确和一致的发现。 通过在每个配置文件中将相似的技术或框架放在一起来分解范围也是一个好主意。 这样,扫描仪将能够为每个扫描配置文件运行更多相关测试。
结论
资产库存和监控对于任何规模和网站都至关重要,包括电子商务、SaaS、零售、金融和市场。 不要让任何资产无人看管; 试试 试用2周 了解它如何帮助您找到漏洞以提高 Web 应用程序的安全性。
