Video: ImmuniWeb® AI Application Security Testing Platform Overview (Kasım 2024)
İşletmeniz web sitenize güvenirse - çoğu işletme gibi - güvenlik delikleriyle dolu olmadığından emin olmak için kendinize borçlusunuz. High-Tech Köprüsü'nden bir kod tarayıcı olan ImmuniWeb, küçük işletmelere 639 $ (doğrudan) uygun bir fiyatla site sorunlarını ortaya çıkarmak için kapsamlı bir güvenlik açığı değerlendirmesi sağlar.
Web sitelerini hedeflemenin birçok nedeni vardır. Siber suçlular, sitenizi ziyaretçilerinizi etkileyebilecek kötü amaçlı yazılımlarla bozmaya ve çevrimiçi bankacılık kimlik bilgilerini çalmaya çalışabilir. Belki birileri işinizi beğenmez ve sitenizi bozmak ister. Belki de saldırganlar veritabanınızda depolanan değerli verilerin peşindeler ve web sitesi kolay bir yoldur. Ne olursa olsun, web siteleri giderek daha fazla saldırı altındadır ve işletmelerin güvenliksiz güvenlik hatalarının ve yapılandırma hatalarının kötüler için kolay olmadığından emin olmaları gerekir. çocuklar içeri girecekler.
High-Tech Bridge'in değerlendiricileri, otomatik veya manuel bir tarama yapmak için ImmuniWeb tarayıcısını kullanıyorlar. Bulundukları sorunları nasıl çözeceklerine dair tavsiyelerin yanı sıra, tüm sonuçları kapsamlı bir raporda sunuyorlar. Raporların okunması kolaydır ve oldukça ayrıntılıdır. İşletmenizin niteliğine bağlı olarak, ImmuniWeb'in son raporu biraz çarptı ya da özlediğini hissedebilir, ancak genel olarak, başlangıç değerlendirmesini almak ağrısız ve yardımcı olur. Birçok küçük işletme, güvenlik açığı değerlendirmesinin "büyük adamlar" için endişelenecek bir şey olduğunu düşünüyor, ancak ImmuniWeb daha küçük kuruluşların da güvenliği ciddiye alabileceklerini gösteriyor.
ImmuniWeb'in tüm amacı bir üretim tesisine bakmak. Bir test alanını bir araya getirmek benim için pek mantıklı olmaz çünkü site yeterince sağlam olmaz ve sonuçlar yapay olur. Birbirinden çok farklı olan iki küçük işletmeye ulaştım, sonuçta elde edilen raporları görme ve sorunları çözme fırsatı bulmaları kaydıyla ImmuniWeb değerlendirmesi yapmayı kabul ettim. İlk sitede, kullanıcılar kitap alabilir, video izleyebilir ve bir topluluk forumuna katılabilir. İkinci site WordPress'e dayanıyor ve makale yayınları, video klipler ve podcast'ler içeriyordu.
ImmuniWeb Portalı
ImmuniWeb Portalı, değerlendirme ekibiyle yapılan tüm iletişimin merkezidir. Bir hesap için kaydoldum, sitenin URL’sini belirttim ve temel bilgileri sağladım. Gelişmiş seçenekler için bir bölüm varken (örneğin, sitenin bölümlerinin oturum açma isteminin arkasına gizlenip gizlenmediğini söylemek gibi), bunlardan hiçbirini rahatsız etmedim: Yalnızca iletişim bilgilerim, ödeme bilgileri ve bir tarih seçme Takvimde değerlendirmeye başlamak için. Bu kadar kolay.
Genel olarak, portal biraz eski görünüyor ve Web uygulamalarının olmasını beklediğiniz kadar kaygan değil, ancak diğer yandan, gezinmesi kolay ve tam olarak tasarlandığı işi yapıyor. Değerlendirmenin durumunu gördüm ve ImmuniWeb ekibi bir mesaj gönderdiğinde uyarılar aldım. Birden fazla değerlendirme planlayabilir ve her birini ayrı ayrı takip edebilirim. Raporları tamamlandıktan sonra da indirebilirim.
Beni sıkan tek bir tuhaflık vardı. Gerekli bir alan olan önek açılır menüsü "Bayan" için bir seçenek sağlamadı Sadece Bayan veya Bayan Yani, inceleme süresi boyunca "Profesör" oldum.
ImmuniWeb Değerlendirmesi
Test başladığında ve tekrar tamamlandığında bir e-posta bildirimi aldım. Ayrıca, sitenin bir avuç IP adresine erişim izni vermesi gerektiği konusunda uyarıldım. Raporun hazır olması bir iki gün sürdü. Düzenli iletişimi takdir ediyorum.
İlk değerlendirme için, söz konusu site (kitapçı sitesi) Amazon EC2'de barındırıldı ve ImmuniWeb Tarayıcı bunu göremedi. Bunun izinsiz giriş tespit sistemi engelleyen bir giriş veya otomatik taramayı kısıtlayan başka bir sistem gibi birçok nedeni olabilir. Takım manuel bir değerlendirmeye geçti ve hiçbir şey yapmak zorunda kalmadan bitirdi. Tarayıcı ikinci siteyi (WordPress blog'u) ve aynı zamanda bir bulut platformunu görmekte zorlanmadı.
Site yöneticileri, değerlendirme sürecinde saha performansıyla ilgili herhangi bir engel veya sorun olmadığını söyledi. Bu çok iyi bir şey çünkü bir işin istediği son şey aksama süresi ile uğraşmak.
Rapor Sonuçları
Raporlar hazır olunca, sitelerin nasıl çalıştığını görmek için onları indirdim. Her iki alanda da bir rahatlama olan kritik kusurlar yoktu, ancak her ikisinin de orta ve düşük öncelikli sorunları vardı. Bazı alanlarda, raporda kırılganlığa karşı yapılan saldırılara karşı güvenlik açığı gibi daha derin bir analiz bulunmadığı için değerlendirme çok yüksek bir seviyeye ulaştı. Genel olarak, rapor bir çok temel konu içeriyordu, ancak bireysel kayıtların bazıları kuruluş için biraz nitpicky ve bir hasara ya da özlem hissetti. İşletme veya site mimarisi bağlamında düşünülmediğinde açıkça anlaşılmayan sorunlar olarak işaretlenmiş şeyler vardı.
Örneğin, kitapçıda sitenin hem e-ticaret hem de wiki öğeleri vardı ve raporda, bir wiki'nin en temel özelliği olan herkesin bir sayfa oluşturabileceği gerçeği nedeniyle site tekrar tekrar belirlendi. Özellikle site elle tarandığından belirli şeylerin rapordan çıkarılması gerektiğini belirtmenin bir yolu olsaydı iyi olurdu. Bunun yerine, ImmuniWeb tek beden uyan herkese uyan bir yaklaşım benimsedi ve bu sayfa için bir sayfa yaratabilmenin bir sorun değil, bir özellik olduğunu göz önüne almadı. Küçük işletmelerin, kullanım durumlarıyla uyuşmayan girdilerle karşı karşıya kaldıklarında, gerçek sorunları aradıkları raporda elinden gelme konusunda sabrı kalmayacaklarından endişe ediyorum.
Diğer bir "sorun" da taranan her iki sitenin de pazarlama ekibi, satış ve hatta CEO gibi bazı e-posta adreslerini sayfalarında göstermesiydi. Tarayıcı, müşterilerin işle iletişim kurması gereken genel bir e-posta adresiyle olası bir veri sorunu arasında ayrım yapmadı. Yine, otomatik bir sistemden isteyebileceğiniz çok şey var, ancak kalabalık bir rapor oluşturuyor.
Öte yandan, WordPress sitesi için ImmuniWeb, WordPress'e dayalı sitenin yüksek düzeyde bir SQL enjeksiyon güvenlik açığı olduğunu tespit etti. Güvenlik açığı değerlendirme platformlarının çoğu, CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) tanımlayıcısı ve sorunun açıklamasına bir bağlantı sağlar ve sorunun nerede olduğunu ve nasıl düzeltileceğini bulmak için site yöneticisine bırakın. ImmuniWeb değil. Rapor, WordPress yöneticisi için çok net talimatlar verdi: AdRotate eklentisini güncelleyin. Bu tam olarak teknik olmayan yöneticilerin ihtiyaç duyduğu çözüm detayıdır ve ImmuniWeb bu bilgiyi sağlayabildi.
Raporlar ayrıca, sitenin SSL yapılandırması hakkında ve squatter'ların benzer sondaj alanlarını kontrol edip etmediği konusunda da bilgi sahibidir. Bazı işletmeler için bu detayın bilinmesi yararlıdır.
İleriye Doğru İyi Bir Adım
Çoğu işletme için ImmuniWeb iyi bir başlangıçtır. Güvenlik resminizin nasıl göründüğü hakkında hiçbir fikriniz yoksa, bu değerlendirmeyi almaya değer - özellikle de 639 dolar değerinde makul bir fiyata. Raporun hangi bölümlerinin işletmenizle ilgili olduğu konusunda hala bazı karar çağrıları yapmanız gerekecek olsa da, sağlanan bilgilerin okunması ve anlaşılması kolaydır, teknik olmayan yöneticilerin takdir edeceği.
