Видео: ImmuniWeb® AI Application Security Testing Platform Overview (Ноябрь 2024)
Если ваш бизнес опирается на ваш веб-сайт, как это делает большинство компаний, вы должны сделать это для себя, чтобы убедиться, что в нем нет дыр в безопасности. ImmuniWeb, сканер кода от High-Tech Bridge, предоставляет малым предприятиям тщательную оценку уязвимости, чтобы выявить проблемы сайта по доступной цене в 639 долларов США (напрямую).
Есть много причин для ориентации на сайты. Киберпреступники могут попытаться испортить ваш сайт вредоносным ПО, которое может заразить посетителей вашего сайта и украсть их учетные данные онлайн-банкинга. Возможно, кому-то не нравится ваш бизнес и он хочет испортить ваш сайт. Возможно, злоумышленники охотятся за ценными данными, хранящимися в вашей базе данных, и веб-сайт облегчает доступ. Несмотря на это, веб-сайты все чаще подвергаются атакам, и предприятиям необходимо убедиться, что исправленные недостатки безопасности и ошибки конфигурации не облегчают работу злоумышленников. парни, чтобы прогуляться прямо в.
Эксперты High-Tech Bridge используют сканер ImmuniWeb для автоматического или ручного сканирования. Они предоставляют все результаты в подробном отчете вместе с рекомендациями по устранению обнаруженных проблем. Отчеты легко читаются и довольно подробны. В зависимости от характера вашего бизнеса, в итоговом отчете ImmuniWeb может показаться, что что-то не так, но в целом получение этой базовой оценки безболезненно и полезно. Многие малые предприятия считают, что «уязвимым» нужно беспокоиться об оценке уязвимости, но ImmuniWeb показывает, что небольшие организации тоже могут позволить себе серьезно относиться к безопасности.
Весь смысл ImmuniWeb - посмотреть на производственную площадку. Моя сборка тестового сайта не будет иметь смысла, потому что сайт не будет достаточно надежным, а результаты будут искусственными. Я обратился к двум небольшим предприятиям - очень отличающимся друг от друга - которые согласились пройти оценку ImmuniWeb, при условии, что они получили возможность просмотреть итоговые отчеты и устранить проблемы. На первом сайте пользователи могли покупать книги, смотреть видео и участвовать в форуме сообщества. Второй сайт был основан на WordPress и содержал статьи, видеоклипы и подкасты.
Портал ImmuniWeb
Портал ImmuniWeb является центром всех коммуникаций с оценочной командой. Я зарегистрировался для учетной записи, указал URL-адрес сайта и предоставил основную информацию. Хотя был раздел для расширенных параметров (например, указание, были ли части сайта скрыты за приглашением для входа в систему), я не стал беспокоиться ни об этом: только мои контактные данные, информация об оплате и выбор даты. в календаре, чтобы начать оценку. Это так просто.
В целом, портал выглядит немного устаревшим и не таким привлекательным, как вы ожидаете от веб-приложений, но, с другой стороны, он прост в навигации и выполняет именно ту работу, для которой он предназначен. Я видел статус оценки и получал уведомления, когда команда ImmuniWeb отправила сообщение. Я мог бы запланировать несколько оценок и отслеживать каждую из них в отдельности. Я мог также загрузить отчеты, как только они были закончены.
Был один странный причуд, который раздражал меня. В раскрывающемся меню префикса, которое было обязательным полем, не было опции для «Ms.» Просто мисс или миссис. Итак, на протяжении всего обзора я был "Профессором".
Оценка ImmuniWeb
Я получил уведомление по электронной почте, когда тест начался, и снова, когда он закончился. Меня также предупредили, что сайту придется разрешить доступ для нескольких IP-адресов. Чтобы подготовить отчет, потребовался день или два. Я оценил регулярное общение.
Для первой оценки рассматриваемый сайт (сайт книжного магазина) был размещен на Amazon EC2, и сканер ImmuniWeb не смог его увидеть. Для этого может быть несколько причин, например, система обнаружения вторжений, блокирующая доступ, или другая система, ограничивающая автоматическое сканирование. Команда перешла на ручную оценку и закончила без моего участия. Сканер без проблем увидел второй сайт (блог WordPress), также на облачной платформе.
Администраторы сайта заявили, что в ходе оценки не было никаких замечаний или проблем с эффективностью сайта. Это очень хорошая вещь, потому что последнее, что хочет бизнес, это иметь дело с простоями.
Результаты отчета
Когда отчеты были готовы, я скачал их, чтобы посмотреть, как поживают сайты. Ни на одном сайте не было каких-либо критических недостатков, что было облегчением, но у обоих были некоторые проблемы со средним и низким приоритетом. В некоторых областях оценка показалась слишком высокой, поскольку в отчете не содержалось более глубокого анализа, такого как уязвимость к атакам с использованием грубой силы. В целом, отчет охватил много основ, но некоторые отдельные записи показались немного придирчивыми и хитами для организации. Были вещи, помеченные как проблемы, которые явно не рассматривались в контексте бизнеса или архитектуры сайта.
Например, сайт книжного магазина содержал элементы электронной коммерции и элементы вики, и в отчете неоднократно говорилось о том, что любой может создать страницу - самую базовую функцию вики. Было бы неплохо, если бы в отчете не было возможности указать некоторые вещи, тем более что сайт был отсканирован вручную. Вместо этого ImmuniWeb применил подход «один размер подходит всем», и при этом не учитывалось, что возможность создания страницы была функцией, а не проблемой, в данном случае. Я беспокоюсь о том, что у малых предприятий не хватит терпения просматривать отчет в поисках реальных проблем, если они сталкиваются с записями, которые не соответствуют их сценарию использования.
Еще одна «проблема» заключалась в том, что на обоих отсканированных сайтах отображались некоторые адреса электронной почты, например, для маркетинговой команды, отдела продаж и даже для генерального директора. Сканер не различал общий адрес электронной почты, который нужен клиентам для связи с компанией, и потенциальную проблему с данными. Опять же, у автоматизированной системы есть много вопросов, но это делает переполненный отчет.
С другой стороны, для сайта WordPress ImmuniWeb определил, что сайт, основанный на WordPress, имеет уязвимость высокого уровня для внедрения SQL. Большинство платформ для оценки уязвимостей предоставляют идентификатор CVE (Common Vulnerabilities and Exposures) и ссылку на описание проблемы и оставляют за администратором сайта возможность выяснить, где проблема и как ее устранить. Не ImmuniWeb. Отчет дал очень четкие инструкции для администратора WordPress: обновите плагин AdRotate. Это именно тот вид исправления, который необходим нетехническим администраторам, и ImmuniWeb смог предоставить эту информацию.
Отчеты также содержат информацию о конфигурации SSL сайта, а также о том, контролируют ли сквоттеры домены с похожим звучанием. Для некоторых предприятий последнюю деталь полезно знать.
Хороший шаг вперед
Для большинства предприятий ImmuniWeb - хорошее начало. Если вы не имеете ни малейшего представления о том, как выглядит ваша картина безопасности, стоит оценить это, особенно по чрезвычайно доступной цене в 639 долларов. Несмотря на то, что вам по-прежнему необходимо принимать решения относительно того, какие части отчета имеют отношение к вашему бизнесу, предоставленную информацию легко прочитать и понять, что оценят нетехнические администраторы.
