Відео: ImmuniWeb® AI Application Security Testing Platform Overview (Вересень 2024)
Якщо ваш бізнес покладається на ваш веб-сайт, як це робить більшість підприємств, ви зобов'язані цим самим переконатися, що він не пронизаний дірками безпеки. ImmuniWeb, сканер коду від High-Tech Bridge, надає малому бізнесу ретельну оцінку вразливості, щоб розкрити проблеми сайту за доступною ціною в $ 639 (прямо).
Є багато причин для націлювання на веб-сайти. Кіберзлочинці можуть спробувати зіпсувати ваш сайт шкідливим програмним забезпеченням, яке заразить відвідувачів вашого веб-сайту та вкраде їхні облікові дані в Інтернет. Можливо, комусь не подобається ваш бізнес і хоче знекровити ваш сайт. Можливо, зловмисники опиняються після того, як цінні дані, що зберігаються у вашій базі даних, і на веб-сайті - це простий шлях. Незалежно від того, веб-сайти все більше піддаються атаці, і бізнесу потрібно переконатися, що незрозумілі недоліки в безпеці та помилки конфігурації не полегшують шкоду хлопці, щоб прогулятися прямо.
Оцінювачі High-Tech Bridge використовують сканер ImmuniWeb для автоматичного або ручного сканування. Вони надають усі результати у вичерпному звіті, а також рекомендації щодо виправлення виявлених проблем. Звіти легко читати та досить детально. Залежно від характеру вашого бізнесу, підсумковий звіт ImmuniWeb може відчути дещо враження або промах, але в цілому отримання такої базової оцінки є безболісним та корисним. Багато малих підприємств вважають, що оцінка вразливості - це те, що турбує "великих хлопців", але ImmuniWeb показує, що і менші організації можуть дозволити собі серйозно поставитися до безпеки.
Вся суть ImmuniWeb полягає в тому, щоб подивитися на виробничий майданчик. Моя спільна робота на тестовому майданчику насправді не мала б сенсу, оскільки сайт був би недостатньо надійним, а результати були б штучними. Я звернувся до двох малих підприємств - дуже відмінних один від одного - які погодилися на оцінку ImmuniWeb, за умови, що вони отримали можливість побачити отримані звіти та виправити проблеми. На першому сайті користувачі могли купувати книги, дивитись відео та брати участь у форумі спільноти. Другий сайт базувався на WordPress та містив публікації статей, відеокліпи та подкасти.
Портал ImmuniWeb
Портал ImmuniWeb є центром усіх комунікацій з командою з оцінки. Я зареєструвався в акаунті, вказав URL-адресу сайту та надав основну інформацію. Хоча був розділ для розширених варіантів (наприклад, те, чи приховані частини сайту приховані за запитом для входу), я не переймався цим: лише мої контактні дані, платіжна інформація та вибір дати в календарі, щоб розпочати оцінку. Це так просто.
В цілому портал виглядає трохи застарілим і не таким витонченим, як ви очікуєте на веб-додатки, але, з іншого боку, легко переміщуватися і виконує саме ту роботу, для якої призначений. Я побачив статус оцінки та отримав сповіщення, коли команда ImmuniWeb надіслала повідомлення. Я міг запланувати кілька оцінок і відстежувати кожне окремо. Я можу також завантажити звіти, як тільки вони будуть заповнені.
Була одна дивна химерність, яка мене дратувала. Випадаюче меню префікса, яке було обов'язковим полем, не передбачало опції для "пані". Просто міс чи пані. Отже, протягом огляду я був "професором".
Оцінка ImmuniWeb
Я отримав сповіщення електронною поштою, коли тест розпочався, і знову після його завершення. Мене також попередили, що сайт повинен буде дозволити доступ до декількох IP-адрес. Минув день чи два, щоб звіт був готовий. Я високо оцінив регулярне спілкування.
Для першої оцінки відповідний сайт (сайт книгарні) розміщувався на Amazon EC2, і сканер ImmuniWeb не зміг його побачити. Причин цього може бути кілька, наприклад, система виявлення вторгнень, що блокує доступ, або якась інша система, що обмежує автоматичне сканування. Команда перейшла до ручного оцінювання і закінчила, не маючи нічого робити. Сканер не мав проблем побачити другий сайт (блог WordPress), також на хмарній платформі.
Адміністратори сайту заявили, що під час оцінювання не було жодних пробілів або проблем з роботою сайту. Це дуже гарна річ, тому що останнє, що хоче бізнес, - це мати справу з простоями.
Результати звіту
Коли звіти були готові, я завантажив їх, щоб побачити, як працюють сайти. Жоден із сайтів не мав критичних недоліків, що було полегшенням, але обидва мали деякі проблеми середнього та низького рівня. У деяких областях оцінка відчувала себе занадто високим рівнем, оскільки звіт не містив більш глибокого аналізу, наприклад, вразливості до нападів збройних сил. Загалом, звіт охоплював багато основ, але деякі з окремих публікацій відчували себе трохи неприємними та невдалим для організації. Були помічені речі як проблеми, які явно не виникали при розгляді в контексті бізнесу чи архітектури сайту.
Наприклад, на сайті книгарні були елементи електронної комерції та вікі, і звіт неодноразово замислював сайт на те, що кожен може створити сторінку - найголовніша особливість вікі. Було б добре, якби був спосіб уточнити певні речі, слід залишити звіт, тим більше, що сайт був відсканований вручну. Натомість ImmuniWeb взяв підхід одного розміру, і він не врахував, що можливість створення сторінки в цьому випадку є особливістю, а не проблемою. Я переживаю, що малі підприємства не матимуть терпіння переглядати звіт, шукаючи фактичні проблеми, якщо вони зіткнуться з записами, які не відповідають їх використанню.
Ще однією проблемою було те, що обидва відскановані сайти відображали на своїх сторінках деякі адреси електронної пошти, наприклад, для маркетингової команди, продажів і навіть генерального директора. Сканер не розрізняв загальну адресу електронної пошти, необхідну клієнтам для зв’язку з бізнесом, та потенційну проблему з даними. Знову ж таки, про це багато запитують у автоматизованої системи, але це справді для переповненого звіту.
З іншого боку, для сайту WordPress ImmuniWeb ідентифікував сайт, який базувався на WordPress, мав високу вразливість для ін'єкцій SQL на високому рівні. Більшість платформ оцінки вразливості надають ідентифікатор CVE (загальні вразливості та експозиції) та посилання на опис проблеми, а також залишають їх адміністратору сайту, щоб з’ясувати, де проблема та як її усунути. Не ImmuniWeb. Звіт дав дуже чіткі вказівки адміністратору WordPress: оновіть плагін AdRotate. Це саме та інформація про виправлення, яку потребують нетехнічні адміністратори, і ImmuniWeb зміг надати цю інформацію.
У звітах також є інформація про конфігурацію SSL на сайті, а також про те, чи контролювали сквотери подібні звукові домени. Для деяких підприємств останню деталь корисно знати.
Гарний крок вперед
Для більшості підприємств ImmuniWeb - це гарний старт. Якщо ви не знаєте, як виглядає ваша фотографія безпеки, варто оцінити її, особливо за доступною ціною 639 доларів. Незважаючи на те, що вам потрібно буде зробити певні зауваження щодо того, які частини звіту стосуються вашого бізнесу, надана інформація легко читається та розуміється, що нетехнічні адміністратори оцінять.
