使用 Detectify 资产监控提高 Web 应用程序安全性

作者
Tweet
Share
Share
Pin
0 Shares

如何保障你的应用和基础架构安全无虞?

在当今的网络环境中,保护应用程序和基础设施免受安全威胁至关重要。Detectify 提供了一套全面的资产盘点和监控解决方案,其中包括漏洞扫描、主机发现和软件指纹识别等功能。 借助 Detectify,你可以有效避免一些不必要的麻烦,比如未知且存在安全漏洞的主机,或者容易被劫持的子域名。

很多因素都可能导致安全问题,并被攻击者利用。一些常见的安全隐患包括:

  • 开放了不必要的端口
  • 暴露了不安全的子域名、敏感文件和凭据
  • 允许访问 .git 目录
  • 存在 OWASP Top 10 漏洞,例如 XSS、SSRF、RCE 等

你可能会觉得可以手动运行端口扫描器,查找子域名并进行漏洞测试。虽然手动操作在偶尔的情况下是可行的,但它非常耗时且效率低下。而且,安全检查需要定期进行。

那么,有什么更好的解决方案呢?

不妨试试
Detectify 资产监控。它能持续监控你的 Web 应用程序资产,定期扫描上述提及的各种安全风险,以及许多其他检查项,从而确保你的在线业务安全无虞。

  • Detectify 拥有一个由道德黑客组成的私人社区,他们会众包漏洞研究,从而确保你可以从真实攻击者的角度收到警报。
  • 其他工具主要依赖签名和版本测试,这更像是合规性检查,而不是真正的安全措施。而 Detectify 的黑客们则提供了构建安全测试的实际有效载荷,提供了一套在市场上独一无二的测试。
  • 最终结果是:一种更加可靠的安全测试方法,它只提供你可以验证的真实结果。
  • 而且,修复安全漏洞会变得非常有趣!

在他们的
博客
中,他们提到资产监控测试的开发时间已缩短到从黑客发布到部署的惊人 25 分钟。

听起来不错,对吧?

让我们看看它是如何运作的。

要开始使用 Detectify 资产监控,第一步是验证你拥有要监控的域名,或者你有权进行安全扫描。这是 Detectify 采取的必要步骤,以确保其发现的敏感信息不会落入不法分子手中。

有多种方法可以进行域名验证:将特定的 .txt 文件上传到域名的根目录、使用 Google Analytics、通过 DNS 记录或使用网页上的元标记。如果没有自助服务方法适合你,还可以选择辅助验证。

创建扫描配置文件

设置 Detectify 的第二步是创建一个扫描配置文件,它可以与运行 HTTP 或 HTTPS 服务的任何域名、子域名或 IP 地址关联。

设置扫描配置文件后,你可以使用不同的选项进行配置。

例如,你可以创建两个与同一域名关联但具有不同凭据的配置文件。这样,你就可以在同一台服务器上执行两次不同的扫描并比较结果。

配置扫描配置文件后,你就可以开始扫描了,只需点击要使用的扫描配置文件旁边的“开始扫描”按钮即可。仪表板会更新,显示扫描正在进行中。

执行扫描所需的时间取决于网站的内容量。如果内容量很大,扫描可能需要数小时,并且你可能会注意到在扫描过程中网站性能略有下降。因此,建议在网站访问量较少的时候进行扫描。

扫描报告

当 Detectify 完成对你网站的扫描后,你会收到一封电子邮件,通知你扫描已完成。该电子邮件将告知你执行扫描所花费的时间、发现的问题数量(按严重程度分组)以及显示网站安全状况的总体威胁评分。

通过访问最新的扫描报告并点击信息发现列表中的“已抓取的 URL”项,你可以查看在扫描期间抓取了哪些 URL。详细信息部分会显示爬虫在扫描期间尝试访问的 URL 数量,以及其中有多少被识别为唯一的。

页面底部提供了一个超链接,你可以下载一个 CSV 文件,其中包含所有已抓取的 URL 以及每个 URL 的状态代码。你可以浏览此列表,确保网站的所有重要部分都已被访问过。

为了规划修复并获得更准确的未来扫描结果,Detectify 允许你将每个发现标记为“已修复”、“已接受风险”或“误报”。如果你将某个发现标记为“已修复”,扫描器将在以后的报告中使用相同的标记,因此你无需再次处理它进行补救。“可接受的风险”是指你不想在每次扫描时都收到报告的内容,而“误报”是指看起来像是漏洞但实际上不是的发现。

啊!有许多我从未想过需要修复的发现。

Detectify 提供了许多不同的页面和视图来查看扫描结果。“所有测试”视图允许你查看扫描发现的所有漏洞。如果你熟悉 OWASP 分类,你可以查看 OWASP 视图来了解你的网站在前 10 大漏洞方面的脆弱性。

为了微调未来的扫描,你可以使用 Detectify 的白/黑名单选项来添加网站的某些区域,这些区域可能因为没有链接指向而被隐藏。或者你可以禁止爬虫访问某些路径。

资产盘点

Detectify 的资产盘点页面会显示根资产列表,例如你添加的域名或 IP 地址,以及许多有助于保护你的 IT 投资的有用信息。每个资产旁边都有一个蓝色或灰色图标,指示该资产的监控功能是否已启用或禁用。

你可以点击清单中的任何资产以查看其概览。从那里,你可以检查子域名、扫描配置文件、指纹技术、资产监控结果和资产设置等信息。

资产监控结果

它会根据严重程度将发现的结果分为三类:高、中和低。

高级别发现主要反映的是敏感信息(例如,客户凭据或密码)被公开泄露或可能被利用的问题。

中级别发现则显示了一些信息被公开的情况。虽然这些暴露本身可能无害,但黑客可能会将其与其他信息结合起来加以利用。

最后,低级别发现则显示了一些可能被接管的子域名,需要检查以验证其所有权。

Detectify 提供了一个包含大量修复和补救技巧的知识库,可以帮助你处理扫描过程中遇到的问题。在采取措施修复问题后,你可以运行第二次扫描,以检查问题是否得到有效修复。导出选项允许你创建包含调查结果报告的 PDF、XML 或 JSON 文件,从而将它们发送给第三方或服务,例如 Trello 或 JIRA。

充分利用 Detectify

Detectify 的最佳实践指南建议添加一个不带子域名的域名,以便在网站规模不太大的情况下获得整个网站的概览。但是,整个扫描有 9 小时的时间限制,之后扫描器会跳转到流程的下一阶段。因此,将你的域名分解为更小的扫描配置文件可能是个好主意。

你的第一次扫描可能会告诉你,某些资产比其他资产存在更多漏洞。这是分解你的域名的另一个原因(除了扫描持续时间)。你应该确定最关键的子域名,并为每个子域名创建扫描配置文件。

注意“发现的主机”列表,因为它可能会显示一些意想不到的发现。例如,你可能并不知道自己拥有某些系统。此列表有助于识别最重要的应用程序,这些应用程序值得更深入的扫描,因此需要单独的扫描配置文件。

Detectify 建议最好为每个扫描配置文件定义更小的范围,因为这有助于获得更准确和一致的发现。通过在每个配置文件中将相似的技术或框架放在一起来分解范围也是个好主意。这样,扫描器就可以为每个扫描配置文件运行更多相关的测试。

结论

资产盘点和监控对于任何规模的网站都至关重要,包括电子商务、SaaS、零售、金融和市场等各个行业。不要让任何资产无人看管。现在就试试
试用2周
,了解它如何帮助你发现漏洞,从而提高 Web 应用程序的安全性。