Видео: ImmuniWeb® AI Application Security Testing Platform Overview (Септември 2024)
Ако вашият бизнес разчита на вашия уебсайт - както повечето бизнеси - вие го дължите на себе си, за да сте сигурни, че той не е пълен с дупки в сигурността. ImmuniWeb, кодов скенер от High-Tech Bridge, предоставя на малките предприятия задълбочена оценка на уязвимостта, за да разкрие проблемите на сайта за достъпна цена от 639 долара (директно).
Има много причини за насочване към уебсайтове. Киберпрестъпниците могат да се опитат да покварят вашия сайт със злонамерен софтуер, който да зарази посетителите на вашия сайт и да открадне техните банкови данни за онлайн банкиране. Може би някой не харесва вашия бизнес и иска да дезактивира вашия сайт. Може би нападателите са след ценните данни, съхранявани във вашата база данни, а уебсайтът е лесен начин. Независимо от това, уебсайтовете са все по-често атакувани и бизнесът трябва да се увери, че неизпълнените пропуски в сигурността и грешките в конфигурацията не улесняват лошото момчета да влязат право.
Анализаторите на High-Tech Bridge използват скенера ImmuniWeb за извършване на автоматизирано или ръчно сканиране. Те предоставят всички резултати в изчерпателен доклад, заедно с препоръки как да коригирате откритите от тях проблеми. Докладите са лесни за четене и доста подробни. В зависимост от естеството на вашия бизнес, окончателният доклад на ImmuniWeb може да се почувства леко ударен или пропуснат, но като цяло получаването на тази базова оценка е безболезнено и полезно. Много малки фирми смятат, че оценката на уязвимостта е нещо, за което "големите момчета" трябва да се притесняват, но ImmuniWeb показва, че и по-малките организации могат да си позволят да вземат сериозно сигурността.
Целият смисъл на ImmuniWeb е да разгледате производствен сайт. Моята съвместна работа на тестов сайт всъщност не би имала смисъл, защото сайтът няма да е достатъчно здрав и резултатите ще бъдат изкуствени. Посетих два малки фирми - много различни един от друг - които се съгласиха да направят оценка на ImmuniWeb, при условие че имат възможност да видят получените доклади и да отстранят проблемите. На първия сайт потребителите могат да купуват книги, да гледат видеоклипове и да участват във форум на общността. Вторият сайт е базиран на WordPress и включва публикации в статии, видеоклипове и подкасти.
Порталът на ImmuniWeb
Порталът ImmuniWeb е център на всички комуникации с екипа за оценка. Регистрирах се за акаунт, посочих URL адреса на сайта и предоставих основна информация. Въпреки че имаше раздел за разширени опции (като например да кажа дали части от сайта са скрити или не подкана за влизане), аз не се притеснявах с нищо от това: Просто моите данни за контакт, информация за плащането и избор на дата в календара, за да започне оценяването. Това е толкова лесно.
Като цяло порталът изглежда малко датиран и не е толкова гладък, колкото очаквате уеб приложения, но, от друга страна, е лесен за навигиране и върши точно работата, за която е предназначен. Видях състоянието на оценката и получих сигнали, когато екипът на ImmuniWeb изпрати съобщение. Бих могъл да планирам множество оценки и да проследя всяка поотделно. Бих могъл също да изтегля докладите, след като бъдат завършени.
Имаше една странна странност, която ме дразни. Пенсионното меню с префикс, което беше задължително поле, не предоставя опция за „Госпожа“. Просто госпожица или госпожа И така, по време на прегледа бях „проф.“
Оценката на ImmuniWeb
Получих известие по имейл, когато тестът започна и отново, когато приключи. Освен това ме предупредиха, че сайтът ще трябва да разреши достъп за шепа IP адреси. Отне ден или два, за да бъде готов докладът. Оценявах редовното общуване.
За първа оценка въпросният сайт (сайтът за книжарници) беше хостван на Amazon EC2 и скенерът ImmuniWeb не можа да го види. За това може да има множество причини, като например система за откриване на проникване, блокираща достъпа, или някаква друга система, ограничаваща автоматичното сканиране. Екипът премина на ръчна оценка и приключи, без да се налага да правя нищо. Скенерът нямаше проблеми да види втория сайт (блогът на WordPress), също в облачна платформа.
Администраторите на сайта заявиха, че няма пропуски или проблеми с работата на сайта по време на оценката. Това е много добро нещо, защото последното нещо, което бизнес иска, е да се справи с престоите.
Резултатите на отчета
Когато отчетите бяха готови, ги изтеглих, за да видя как се справят сайтовете. Нито един сайт не е имал критични недостатъци, което е облекчение, но и двата са имали някои проблеми със среден и нисък приоритет. В някои области оценката се усещаше твърде високо, тъй като докладът не съдържаше по-задълбочен анализ, като например уязвимостта на атаките със сила. Като цяло, докладът обхвана много от основните положения, но някои от отделните участия се почувстваха леко неудобни и неуспешни за организацията. Имаше неща, които бяха отбелязани като проблеми, които очевидно не са били разглеждани в контекста на бизнеса или архитектурата на сайта.
Например сайтът на книжарницата има елементи както за електронна търговия, така и за wiki, а докладът многократно омазва сайта за факта, че всеки може да създаде страница - най-основната характеристика на wiki. Би било хубаво, ако има начин да се уточнят определени неща, трябва да се остави извън доклада, особено след като сайтът е сканиран ръчно. Вместо това ImmuniWeb взе подход с един размер за всички и не взе предвид, че възможността да се създаде страница е функция, а не проблем в този случай. Притеснявам се, че малките предприятия няма да имат търпението да пресеят доклада, търсейки реални проблеми, ако са изправени пред записи, които не съответстват на техния случай на използване.
Друг „проблем“ беше фактът, че и двата сканирани сайта показват някои имейл адреси на техните страници, като например за маркетинговия екип, продажбите и дори изпълнителния директор. Скенерът не направи разлика между общ имейл адрес, който клиентите трябва да се свържат с бизнеса, и потенциален проблем с данни. Отново, много е да поискате от автоматизирана система, но все пак правите пренаселен доклад.
От друга страна, за сайта WordPress, ImmuniWeb идентифицира сайта, базиран на WordPress, има уязвимост на SQL инжектиране на високо ниво. Повечето платформи за оценка на уязвимостта предоставят идентификатора CVE (общи уязвимости и експозиции) и връзка към описание на проблема и го оставят на администратора на сайта, за да разбере къде е проблемът и как да го отстрани. Не е ImmuniWeb. Докладът даде много ясни инструкции за администратора на WordPress: актуализирайте приставката AdRotate. Това е точно този вид подробности за коригиране, от които се нуждаят нетехническите администратори, и ImmuniWeb успя да предостави тази информация.
Отчетите също имат информация за SSL конфигурацията на сайта, както и дали клековете контролират подобни звучащи домейни. За някои бизнеси е полезно да се знае последната подробност.
Добра стъпка напред
За повечето фирми ImmuniWeb е добро начало. Ако нямате представа как изглежда вашата снимка за сигурност, струва си да получите тази оценка - особено на изключително достъпната цена от 639 долара. Въпреки че все още ще трябва да правите някои преценки относно това кои части от доклада са от значение за вашия бизнес, предоставената информация е лесна за четене и разбиране, която нетехническите администратори ще оценят.
