Video: ImmuniWeb® AI Application Security Testing Platform Overview (Lokakuu 2024)
Jos yrityksesi luottaa verkkosivustoosi - kuten useimmat yritykset tekevät -, velkaa sen itsellesi varmistaaksesi, ettei se ole täynnä tietoturva-aukkoja. ImmuniWeb, High-Tech Bridge -koodinlukija, tarjoaa pienyrityksille perusteellisen haavoittuvuusarvioinnin paljastaakseen sivuston ongelmat edulliseen hintaan 639 dollaria (suora).
Sivustoihin kohdistamiseen on monia syitä. Tietoverkkorikolliset voivat yrittää vioittaa sivustosi haittaohjelmilla, jotka saastuttavat sivustosi kävijät ja varastavat heidän verkkopankkitiedot. Ehkä joku ei pidä yrityksestäsi ja haluaa loukkaa sivustoasi. Ehkä hyökkääjät seuraavat tietokantaan tallennettuja arvokkaita tietoja ja verkkosivusto on helppo tapa päästä sisään. Siitä huolimatta verkkosivustot ovat yhä uhattuna, ja yritysten on varmistettava, että avoimet tietoturvavirheet ja kokoonpanovirheet eivät tee helpoksi huonoille. kaverit kävellä oikealle sisään.
High-Tech Bridden arvioijat käyttävät ImmuniWeb-skanneria joko automatisoituun tai manuaaliseen tarkistukseen. He antavat kaikki tulokset kattavaan raporttiin ja suosituksia havaitsemiensa ongelmien korjaamiseksi. Raportit ovat helppolukuisia ja melko yksityiskohtaisia. Yrityksesi luonteesta riippuen ImmuniWebin loppuraportti saattaa tuntua hiukan osumalta, mutta yleensä lähtöarvioinnin saaminen on kivutonta ja hyödyllistä. Monet pienyritykset katsovat, että haavoittuvuuden arviointi on "isojen kaverien" huolestuttava asia, mutta ImmuniWeb osoittaa, että myös pienemmillä organisaatioilla on varaa ottaa turvallisuus vakavasti.
ImmuniWebin koko tarkoitus on tarkastella tuotantopaikkaa. Rypistämiseni yhdessä testisivustollani ei olisi todella järkevää, koska sivusto ei olisi riittävän vankka ja tulokset olisivat keinotekoisia. Otin yhteyttä kahteen pieneen - toisistaan hyvin erilaiseen - yritykseen, jotka suostuivat antamaan ImmuniWeb-arvioinnin edellyttäen, että he saivat mahdollisuuden nähdä tuloksena olevat raportit ja korjata ongelmat. Ensimmäisellä sivustolla käyttäjät voivat ostaa kirjoja, katsella videoita ja osallistua yhteisöfoorumiin. Toinen sivusto perustui WordPressiin ja esiteltiin artikkeleita, videoleikkeitä ja podcasteja.
ImmuniWeb-portaali
ImmuniWeb-portaali on kaiken arviointiryhmän kanssa käytävän viestinnän keskus. Tiliin tilin, määrittelin sivuston URL-osoitteen ja toimitin perustiedot. Vaikka oli osio edistyneille vaihtoehdoille (esimerkiksi sanoa, piilotettiinko sivuston osat kirjautumiskehotteen taakse), en häirinnyt mitään seuraavista: Vain yhteystietoni, maksutiedot ja päivämäärän valitseminen kalenterissa arvioinnin aloittamiseksi. Se on niin helppoa.
Kaiken kaikkiaan portaali näyttää hiukan vanhanaikaiselta eikä ole niin liukas kuin luulet Web-sovellusten olevan, mutta toisaalta se on helppo selata ja se tekee juuri sen työn, johon se on suunniteltu. Näin arvioinnin tilan ja sain hälytyksiä, kun ImmuniWeb-tiimi lähetti viestin. Pystyin ajoittamaan useita arviointeja ja seuraamaan kutakin niistä erikseen. Voin myös ladata raportit niiden valmistumisen jälkeen.
Oli yksi omituinen virkkaus, joka turmeli minut. Etuliite-pudotusvalikko, joka oli pakollinen kenttä, ei tarjonnut vaihtoehtoa Ms. Just Miss tai rouva. Joten katsauksen ajan olin "prof."
ImmuniWeb-arvio
Sain sähköpostitse ilmoituksen, kun testi aloitettiin, ja kun taas se suoritettiin. Minua varoitettiin myös siitä, että sivuston on sallittava kourallinen IP-osoitteita. Raportin laatiminen kesti päivän tai kaksi. Arvostin säännöllistä viestintää.
Ensimmäistä arviointia varten kyseinen sivusto (kirjakauppasivusto) isännöi Amazon EC2: ta, eikä ImmuniWeb-skanneri pystynyt näkemään sitä. Tähän voi olla useita syitä, kuten tunkeutumisen tunnistusjärjestelmä, joka estää pääsyn, tai jokin muu järjestelmä, joka rajoittaa automaattista tarkistusta. Joukkue siirtyi manuaaliseen arviointiin ja päättyi ilman minun tarvitsee tehdä mitään. Skannerilla ei ollut vaikeuksia nähdä toinen sivusto (WordPress-blogi), myös pilvialustalla.
Sivuston ylläpitäjät sanoivat, että arvioinnin aikana ei ollut häiriöitä tai ongelmia sivuston suorituskykyyn. Tämä on erittäin hyvä asia, koska viimeinen asia, jonka yritys haluaa, on käsitellä seisokkeja.
Raportin tulokset
Kun raportit olivat valmiita, latasin ne nähdäksesi kuinka sivustot menestyivät. Kummassakaan sivustossa ei ollut kriittisiä virheitä, mikä oli helpotus, mutta molemmilla oli keskipitkällä ja matalan prioriteetin asioita. Joillakin alueilla arviointi tuntui hiukan liian korkealta tasolta, koska raportti ei sisältänyt mitään syvällisempää analyysiä, kuten haavoittuvuus ryöstövoimiin. Kaiken kaikkiaan raportti kattoi paljon perusteita, mutta jotkut yksittäisistä kirjoituksista tunsivat organisaatiolta olevan vähän tylsää ja osumaa tai puuttuvaa. Oli asioita, jotka oli merkitty asioiksi, joita ei selvästikään otettu huomioon yrityksen tai sivuston arkkitehtuurin yhteydessä.
Esimerkiksi kirjakauppasivustolla oli sekä verkkokauppaa että wiki-elementtejä, ja raportti siirsi sivustoa toistuvasti siitä, että kuka tahansa voi luoda sivun - wikin perusteellisin ominaisuus. Olisi hienoa, jos tietyn aseman määritteleminen olisi jätetty pois raportista, etenkin koska sivusto oli skannattu manuaalisesti. Sen sijaan ImmuniWeb valitsi yhden koon kaikille ja ei ottanut huomioon, että sivun luominen oli tässä tapauksessa ominaisuus, ei ongelma. Pelkään, että pienillä yrityksillä ei olisi kärsivällisyyttä seuloa raporttia etsimään todellisia ongelmia, jos he kohtaavat merkintöjä, jotka eivät vastaa niiden käyttötapausta.
Toinen "ongelma" oli se, että molemmat skannatut sivustot näyttivät sivuillaan joitain sähköpostiosoitteita, kuten markkinointiryhmä, myynti ja jopa toimitusjohtaja. Skanneri ei eronnut yleisen sähköpostiosoitteen, joka asiakkaiden on otettava yhteyttä yritykseen, ja mahdollisen tietoongelman välillä. Automaatiojärjestelmältä on jälleen paljon kysyttävää, mutta raportti on täynnä.
Toisaalta WordPress-sivuston osalta ImmuniWeb tunnisti WordPressiin perustuvan sivuston olevan korkean tason SQL-injektiohaavoittuvuus. Useimmat haavoittuvuuden arviointiympäristöt tarjoavat CVE-tunnisteen (Common haavoittuvuudet ja näkymät) ja linkin ongelman kuvaukseen, ja jättävät sivuston järjestelmänvalvojan päättää, missä ongelma on ja kuinka korjata. Ei ImmuniWeb. Raportti antoi WordPress-järjestelmänvalvojalle erittäin selkeät ohjeet: päivitä AdRotate-laajennus. Tämä on täsmälleen sellainen korjaus yksityiskohta, jota muut kuin tekniset järjestelmänvalvojat tarvitsevat, ja ImmuniWeb pystyi toimittamaan nämä tiedot.
Raporteissa on myös tietoa sivuston SSL-kokoonpanosta ja siitä, hallitsivatko kyykkyt samankaltaisten ääniverkkotunnusten hallintaa. Joillekin yrityksille jälkimmäinen yksityiskohta on hyödyllinen tiedossa.
Hyvä askel eteenpäin
Useimmille yrityksille ImmuniWeb on hyvä alku. Jos sinulla ei ole aavistustakaan miltä turvatietosi näyttää, se on syytä saada tämä arvio - etenkin erittäin kohtuuhintaan 639 dollaria. Vaikka joudut vielä arvioimaan, mitkä raportin osat ovat merkityksellisiä yrityksellesi, toimitetut tiedot ovat helposti luettavissa ja ymmärrettäviä, joita muut kuin tekniset järjestelmänvalvojat arvostavat.
