Video: ImmuniWeb® AI Application Security Testing Platform Overview (Studeni 2024)
Ako se vaše poslovanje oslanja na vašu web lokaciju - kao što to čini većina tvrtki - to dugujete sami sebi kako biste bili sigurni da nije opskrbljen sigurnosnim rupama. ImmuniWeb, kodni skener tvrtke High-Tech Bridge, pruža malim tvrtkama temeljitu procjenu ranjivosti kako bi se otkrili problemi na web mjestu po pristupačnoj cijeni od 639 dolara (izravno).
Postoji mnogo razloga za ciljanje web stranica. Cyber-kriminalci mogu pokušati pokvariti vašu web lokaciju zlonamjernim softverom koji će zaraziti posjetitelje vaše web stranice i ukrasti njihove vjerodajnice za online bankarstvo. Možda se nekome ne sviđa vaš posao i želi uništiti vašu web lokaciju. Možda su napadači nakon što su dragocjeni podaci pohranjeni u vašoj bazi podataka i web stranice jednostavan način. Bez obzira na to, web stranice su sve više pod napadom, a tvrtke moraju osigurati da neizbrisivi nedostaci u sigurnosti i pogreške u konfiguraciji ne olakšavaju loše momci za ulazak.
Procjenitelji High-Tech Bridge koriste ImmuniWeb skener za automatsko ili ručno skeniranje. Svi rezultati pružaju sveobuhvatno izvješće, zajedno s preporukama o tome kako popraviti sve probleme koje otkriju. Izvješća su jednostavna za čitanje i prilično detaljna. Ovisno o prirodi vašeg poslovanja, završno izvješće ImmuniWeba može se smatrati pomalo pogođenim ili promašenim, ali, sveukupno, dobivanje te osnovne vrijednosti je bezbolno i korisno. Mnoge male tvrtke smatraju da je procjena ranjivosti za koju bi se „veliki momci“ trebali brinuti, ali ImmuniWeb pokazuje da i manje organizacije mogu priuštiti da ozbiljno shvate sigurnost.
Smisao ImmuniWeb-a je pogledati mjesto proizvodnje. Moje zajedničko testiranje na testnom mjestu zapravo ne bi imalo smisla jer stranica neće biti dovoljno robusna, a rezultati umjetni. Kontaktirao sam dvije male tvrtke - vrlo različite jedna od druge - koje su se složile da imaju ImmuniWeb procjenu, pod uvjetom da imaju priliku vidjeti rezultirajuća izvješća i riješiti probleme. Na prvoj su stranici korisnici mogli kupiti knjige, gledati videozapise i sudjelovati na forumu zajednice. Drugo web mjesto temeljilo se na WordPressu i sadržavalo je članke, video isječke i podcastove.
ImmuniWeb Portal
Portal ImmuniWeb središte je svih komunikacija s procjenjivačkim timom. Prijavio sam se za račun, odredio URL web mjesta i pružio osnovne podatke. Premda je postojao odjeljak za napredne opcije (poput recimo jesu li dijelovi web-lokacije sakriveni ili nisu upitani za prijavu), nisam se mučio ni sa čim od toga: samo moji kontakt podaci, podaci o plaćanju i odabir datuma na kalendaru za početak procjene. To je tako jednostavno.
Općenito, portal izgleda pomalo zastario i nije gladak koliko očekujete da budu web aplikacije, ali s druge strane, lako je navigacija i obavlja točno ono što je namijenjen. Vidio sam status procjene i dobio sam upozorenja kada je ImmuniWeb tim poslao poruku. Mogao bih zakazati više procjena i pratiti svaku od njih zasebno. Također mogu preuzeti i izvještaje nakon što ih završim.
Dogodila me jedna neobična čudnost. Prefiks padajućeg izbornika, koji je bio obavezno polje, nije pružao opciju za "Gospođice". Samo gospođica ili gospođa. Dakle, tijekom pregleda bio sam "prof."
Procjena ImmuniWeb-a
Dobio sam obavijest e-poštom kada je test počeo, i opet kad je završio. Upozoren sam i na to da bi web mjesto moralo omogućiti pristup pregršt IP adresa. Trebalo je dan ili dva da izvještaj bude spreman. Cijenio sam redovnu komunikaciju.
Za prvu procjenu, dotično web mjesto (stranica knjižara) nalazilo se na Amazonu EC2, a skener ImmuniWeb nije ga mogao vidjeti. Razlozi za to mogu biti višestruki, kao što je sustav za otkrivanje provale koji blokira pristup ili neki drugi sustav koji ograničava automatsko skeniranje. Tim je prešao na ručnu procjenu i završio bez da sam morao išta raditi. Skener nije imao problema s gledanjem druge stranice (WordPress bloga), također na cloud platformi.
Administratori web mjesta rekli su da nema procjepa ili problema s izvedbom web mjesta tijekom procjene. To je vrlo dobra stvar, jer posljednja stvar koju posao želi je rješavanje stanka.
Rezultati izvještaja
Kad su izvješća bila spremna, preuzeo sam ih da vidim kako funkcioniraju web lokacije. Nijedna web lokacija nije imala kritičnih nedostataka, što je olakšanje, ali obje su imale neke probleme sa srednjim i niskim prioritetom. U nekim se područjima procjena smatrala malo previše visokom, jer izvješće nije sadržavalo dublju analizu, poput ranjivosti napada na silovitu silu. Općenito, izvješće je pokrivalo mnoge temelje, ali neki su se u pojedinim prijavama osjećali pomalo nesretno i kao promašaj organizacije. Pojavile su se stvari koje su označene kao pitanja koja očito nisu postojala kada su razmatrana u kontekstu poslovanja ili arhitekture web mjesta.
Na primjer, web mjesto knjižara sadržavalo je i elemente e-trgovine i wikija, a izvješće je web mjesto opetovano otkrivalo zbog činjenice da svatko može stvoriti stranicu - najosnovnije obilježje wikija. Bilo bi lijepo da postoji način da se određene stvari odreknu, osim što je web mjesto bilo skenirano ručno. Umjesto toga, ImmuniWeb je uzeo pristup jednoj veličini, a nije uzeo u obzir da je mogućnost stvaranja stranice u ovom slučaju značajka, a ne problem. Brinem se da male tvrtke ne bi imale strpljenja proširiti izvještaj tražeći stvarne probleme ako se suoče sa unosima koji ne odgovaraju njihovoj upotrebi.
Drugi "problem" bila je činjenica da su obje skenirane stranice na svojim stranicama prikazale neke adrese e-pošte, kao što su marketinški tim, prodaja, pa čak i izvršni direktor. Skener nije razlikovao generičku adresu e-pošte koju kupci trebaju kontaktirati tvrtku i potencijalni problem s podacima. Opet, puno se može tražiti od automatiziranog sustava, ali zaista se radi o pretrpanom izvještaju.
S druge strane, za web mjesto WordPress, ImmuniWeb je identificirao web mjesto, koje je na temelju WordPress-a imalo visoku ranjivost SQL ubrizgavanja na visokoj razini. Većina platformi za procjenu ranjivosti pruža identifikator CVE (zajedničke ranjivosti i izloženosti) i vezu do opisa problema i prepušta administratoru web lokacije kako bi otkrio gdje je problem i kako ga riješiti. Ne ImmuniWeb. Izvješće je dalo vrlo jasne upute za WordPress administratora: ažurirajte dodatak AdRotate. To je točno vrsta detalja o sanaciji koja netehnički administratori trebaju, a ImmuniWeb je mogao dati te informacije.
Izvješća također sadrže informacije o SSL konfiguraciji mjesta, kao i o tome jesu li skverteri kontrolirali domene sličnog zvuka. Za neke tvrtke je korisno znati i ovaj posljednji detalj.
Dobar korak naprijed
Za većinu poduzeća ImmuniWeb je dobar početak. Ako nemate pojma kako izgleda vaša sigurnosna slika, vrijedi dobiti tu procjenu - posebno po izrazito pristupačnoj cijeni od 639 dolara. Iako ćete još trebati prosuđivati o tome koji su dijelovi izvještaja relevantni za vaše poslovanje, informacije koje se pružaju lako su pročitati i razumjeti, a koji će ne-tehnički administratori cijeniti.
