Video: ImmuniWeb® AI Application Security Testing Platform Overview (Október 2024)
Ak sa vaša firma spolieha na vaše webové stránky - tak ako väčšina firiem - dlhujete si to sami, aby ste sa ubezpečili, že nie sú preliate bezpečnostnými dierami. ImmuniWeb, skener kódu z High-Tech Bridge, poskytuje malým podnikom dôkladné posúdenie zraniteľnosti, aby odhalil problémy so serverom za dostupnú cenu 639 dolárov (priamy).
Existuje veľa dôvodov na zacielenie na webové stránky. Počítačoví zločinci sa môžu pokúsiť poškodiť vaše stránky škodlivým softvérom, ktorý by infikoval vašich návštevníkov a ukradol ich poverenia v oblasti online bankovníctva. Možno sa vám niekto nepáči vaše podnikanie a chce vaše stránky znehodnotiť. Možno, že útočníci sú po cenných údajoch uložených vo vašej databáze a web je ľahký spôsob. Bez ohľadu na to sú webové stránky stále viac pod útokom a podniky musia zabezpečiť, aby neodstránené bezpečnostné chyby a chyby konfigurácie neuľahčovali zlé chlapci, ktorí sa práve prechádzajú.
Hodnotitelia High-Tech Bridge používajú skener ImmuniWeb na vykonanie automatizovaného alebo manuálneho skenovania. Všetky výsledky sú obsiahnuté v komplexnej správe spolu s odporúčaniami, ako vyriešiť problémy, ktoré objavia. Tieto správy sú ľahko čitateľné a dosť podrobné. V závislosti od charakteru vášho podnikania môže byť záverečná správa ImmuniWebu trocha zasiahnutá alebo zmeškaná, ale celkové hodnotenie je celkovo bezbolestné a užitočné. Mnoho malých podnikov zisťuje, že hodnotenie zraniteľnosti je niečo, čo si „veľkí chlapci“ musia robiť starosti, ale ImmuniWeb ukazuje, že menšie organizácie si môžu dovoliť brať bezpečnosť vážne.
Celý bod ImmuniWebu je pozrieť sa na miesto výroby. Moja dláždenie spolu testovacej stránky by naozaj nedávalo zmysel, pretože stránka by nebola dostatočne robustná a výsledky by boli umelé. Oslovil som dve malé podniky - od seba veľmi odlišné -, ktoré súhlasili s hodnotením ImmuniWebu, za predpokladu, že majú príležitosť vidieť výsledné správy a vyriešiť problémy. Na prvom webe mohli používatelia kupovať knihy, pozerať videá a zúčastňovať sa na komunitnom fóre. Druhá stránka bola založená na WordPress a predstavovala články, videoklipy a podcasty.
ImmuniWebový portál
Portál ImmuniWeb je centrom všetkej komunikácie s hodnotiacim tímom. Zaregistroval som sa do účtu, určil som adresu URL stránok a poskytol som základné informácie. Aj keď v sekcii pre rozšírené možnosti (napríklad o tom, či boli časti stránky skryté za výzvou na prihlásenie), som sa neobťažoval: Len moje kontaktné údaje, informácie o platbe a výber dátumu v kalendári začať hodnotenie. Je to také ľahké.
Celkovo portál vyzerá trochu datovo a nie je tak úhľadný, ako očakávate od webových aplikácií, ale na druhej strane je ľahké sa v ňom pohybovať a vykonávať presne prácu, na ktorú je určený. Keď som tím ImmuniWeb odoslal správu, videl som stav hodnotenia a dostal upozornenie. Mohol by som naplánovať viacero hodnotení a sledovať ich každé zvlášť. Po dokončení správy by som si ich mohol stiahnuť.
Bol tu jeden čudák, ktorý ma otravoval. Rozbaľovacia ponuka s predponou, ktorá bola povinným poľom, neposkytovala možnosť „Pani“. Len slečna alebo pani. Takže po celú dobu preskúmania som bol „Prof.“
ImmuniWeb Assessment
Po spustení testu som dostal e-mailové upozornenie a znova po dokončení testu. Tiež ma upozornilo, že stránka by mala umožniť prístup pre niekoľko IP adries. Príprava správy trvala deň alebo dva. Ocenil som pravidelnú komunikáciu.
Pri prvom hodnotení bol predmetný server (web kníhkupectva) hostiteľom Amazonu EC2 a ImmuniWeb Scanner ho nemohol vidieť. Môže to byť z viacerých dôvodov, ako napríklad blokovanie prístupu na systém detekcie narušenia alebo iný systém obmedzujúci automatické skenovanie. Tím prešiel na manuálne hodnotenie a skončil bez toho, aby som musel robiť čokoľvek. Skener nemal problém vidieť druhé miesto (blog WordPress), a to aj na cloudovej platforme.
Správcovia stránok uviedli, že počas hodnotenia neboli žiadne chyby alebo problémy s výkonom stránky. Je to veľmi dobrá vec, pretože poslednou vecou, ktorú chce podnik, je vysporiadať sa s prestojmi.
Výsledky správy
Keď boli správy pripravené, stiahol som ich, aby som zistil, ako sa stránky darili. Ani jedno miesto nemalo žiadne kritické nedostatky, čo bola úľava, ale obe mali určité problémy so strednou a nízkou prioritou. V niektorých oblastiach sa hodnotenie cítilo príliš vysoko na úrovni, pretože správa neobsahovala žiadnu hlbšiu analýzu, ako napríklad útoky na zraniteľné sily. Celkovo sa správa týkala mnohých základných otázok, ale niektoré z jednotlivých záznamov sa pre organizáciu cítili trochu dusené a zasiahnuté. Existovali veci označené ako problémy, ktoré zjavne neboli zohľadnené v súvislosti s podnikaním alebo architektúrou stránok.
Napríklad stránka kníhkupectva obsahovala prvky elektronického obchodovania aj wiki a správa opakovane uvádzala stránku z toho dôvodu, že niekto mohol vytvoriť stránku - najzákladnejšiu funkciu wiki. Bolo by pekné, keby existoval spôsob, ako určiť, čo by sa malo v správe vynechať, najmä preto, že stránka bola skontrolovaná manuálne. ImmuniWeb namiesto toho zaujal univerzálny prístup a nezohľadnil, že možnosť vytvoriť stránku je v tomto prípade vlastnosťou, nie problémom. Obávam sa, že malé podniky by nemali trpezlivosť preosiať sa touto správou a hľadať skutočné problémy, ak budú čeliť záznamom, ktoré sa nezhodujú s ich prípadom použitia.
Ďalším „problémom“ bola skutočnosť, že na oboch kontrolovaných stránkach sa na ich stránkach zobrazili niektoré e-mailové adresy, napríklad marketingový tím, predaj a dokonca aj generálny riaditeľ. Skener nerozlišoval medzi všeobecnou e-mailovou adresou, ktorú zákazníci musia kontaktovať s firmou, a potenciálnym problémom s údajmi. Opäť je tu veľa otázok od automatizovaného systému, ale je to preplnené hlásenie.
Na druhú stranu, pre web WordPress, ImmuniWeb identifikoval web, založený na WordPress, mal vysokú zraniteľnosť SQL injekcie. Väčšina platforiem na posudzovanie zraniteľnosti poskytuje identifikátor CVE (Common Vulnerabilities and Exposures) a odkaz na popis problému a nechajte ho na administrátorovi lokality, aby zistil, kde je problém a ako ho vyriešiť. Nie je ImmuniWeb. Správa poskytla veľmi jasné pokyny pre správcu WordPress: aktualizujte doplnok AdRotate. Toto je presne ten druh nápravy, ktorý potrebujú netechnickí administrátori, a spoločnosť ImmuniWeb tieto informácie dokázala poskytnúť.
Tieto prehľady obsahujú aj informácie o konfigurácii SSL lokality a o tom, či správcovia podobne riadili podobné domény. Pre niektoré podniky je posledný detail užitočný.
Dobrý krok vpred
Pre väčšinu firiem je ImmuniWeb dobrým začiatkom. Ak nemáte predstavu o tom, ako vyzerá váš bezpečnostný obraz, oplatí sa vykonať toto hodnotenie - najmä za mimoriadne prijateľnú cenu 639 dolárov. Aj keď budete musieť urobiť určité úsudky o tom, ktoré časti správy sú relevantné pre vaše podnikanie, poskytnuté informácie sú ľahko čitateľné a zrozumiteľné, ktoré netechnickí administrátori ocenia.
