Video: ImmuniWeb® AI Application Security Testing Platform Overview (Oktober 2024)
Če se vaše podjetje naslanja na vaše spletno mesto - tako kot večina podjetij - to dolgujete sami sebi in se prepričajte, da ni zaščiteno z varnostnimi luknjami. ImmuniWeb, skener kode s High-Tech Bridge, ponuja malim podjetjem temeljito oceno ranljivosti, da odkrijejo težave na spletnih mestih po dostopni ceni 639 dolarjev (neposredno).
Razlogov za ciljanje na spletna mesta je veliko. Kiber kriminalci lahko poskušajo vaše spletno mesto pokvariti z zlonamerno programsko opremo, ki bi okužila obiskovalce vaše spletne strani in ukradla njihove poverilnice za spletno bančništvo. Morda nekomu ni všeč vaše podjetje in želi črtati vaše spletno mesto. Morda so napadalci po dragocenih podatkih, shranjenih v vaši bazi podatkov in spletnem mestu, enostaven način. Ne glede na to, spletna mesta so vedno bolj napadna in podjetja morajo poskrbeti, da neprimerne varnostne napake in napake v konfiguraciji ne olajšajo slabih fantje, ki se sprehodijo noter.
Ocenjevalci High-Tech Bridge uporabljajo brskalnik ImmuniWeb za samodejno ali ročno skeniranje. Vse rezultate dajejo v izčrpnem poročilu, skupaj s priporočili, kako odpraviti morebitne težave, ki jih odkrijejo. Poročila so lahko berljiva in dokaj podrobna. Glede na naravo vašega podjetja se bo v končnem poročilu ImmuniWeb morda zdelo, da ste bili izgubljeni ali zamudite, vendar pa je splošno gledanje ocenjevanja osnovne vrednosti neboleče in koristno. Številna mala podjetja menijo, da je ocena ranljivosti nekaj, za kar bi morali skrbeti "veliki fantje", vendar ImmuniWeb kaže, da si manjše organizacije lahko privoščijo, da varnost tudi resno jemljejo.
Bistvo ImmuniWeb je pogledati proizvodno mesto. Moje skupno testiranje testnega mesta v resnici ne bi imelo smisla, saj mesto ne bi bilo dovolj robustno in rezultati umetni. Dosegel sem dve majhni podjetji, ki sta se med seboj zelo razlikovali, ki sta se strinjali z oceno ImmuniWeb, pod pogojem, da sta dobila priložnost, da si ogledata nastala poročila in odpravita težave. Na prvem mestu so uporabniki lahko kupili knjige, si ogledali videoposnetke in sodelovali na forumu skupnosti. Drugo spletno mesto je temeljilo na WordPressu in je predstavljalo članke, video posnetke in poddaje.
Portal ImmuniWeb
Portal ImmuniWeb je središče vseh komunikacij z ocenjevalno skupino. Prijavil sem se za račun, navedel URL spletnega mesta in podal osnovne podatke. Medtem ko je obstajal razdelek za napredne možnosti (na primer, ali so deli spletnega mesta skriti za poziv za prijavo ali ne), se s tem nisem trudil: samo moji kontaktni podatki, podatki o plačilu in izbira datuma na koledarju za začetek ocene. Tako enostavno.
Na splošno je portal videti nekoliko zastarel in ni tako gladek, kot pričakujete, da bodo spletne aplikacije, po drugi strani pa je enostaven za navigacijo in opravlja točno tisto delo, za katerega je zasnovan. Videla sem stanje ocene in dobila sem opozorila, ko je ekipa ImmuniWeb poslala sporočilo. Lahko bi načrtoval več ocen in spremljal vsako posebej. Po zaključku sem lahko tudi prenesla poročila.
Bila je ena nenavadna čudnost, ki me je razjezila. Spustni meni s predpono, ki je bil obvezno polje, ni ponujal možnosti za "ga." Samo gospodična ali gospa Torej, ves čas pregleda sem bila "prof."
Ocena ImmuniWeb
Ko sem test začel in sem ga ponovno opravil, sem prejel e-poštno obvestilo. Opozorila sem tudi, da bo moralo spletno mesto omogočiti dostop do peščice naslovov IP. Dan ali dva sta trajala, da je poročilo pripravljeno. Cenil sem redno komunikacijo.
Za prvo oceno je zadevno spletno mesto (knjigarna) gostilo Amazon EC2 in brskalnik ImmuniWeb ni mogel videti. Razlogi za to so lahko več, na primer sistem za zaznavanje vdorov, ki blokira dostop, ali kakšen drug sistem, ki omejuje samodejno skeniranje. Ekipa je prešla na ročno oceno in končala, ne da bi mi bilo treba storiti ničesar. Skener ni imel težav z ogledom drugega spletnega mesta (spletnega dnevnika WordPress), tudi na oblačni platformi.
Skrbniki spletnega mesta so povedali, da med oceno ni bilo nobenih krčev ali težav z uspešnostjo spletnega mesta. To je zelo dobra stvar, saj se zadnje, kar podjetje želi, spoprijeti z izpadi.
Rezultati poročila
Ko so bila poročila pripravljena, sem jih prenesla, da sem videla, kako potekajo spletna mesta. Nobeno spletno mesto ni imelo kritičnih pomanjkljivosti, kar je olajšalo, vendar sta obe imeli nekaj težav s srednjo in nizko prioriteto. Za nekatera področja se je ocena zdela nekoliko previsoka, saj poročilo ni vsebovalo globljih analiz, na primer ranljivosti napadov. Na splošno je poročilo zajemalo številne osnove, vendar je bilo za nekatere posamezne prispevke videti, da je organizacija zelo nagajiva in neuspešna organizacija. Nekatere stvari so bile označene kot vprašanja, ki jih očitno ni bilo, če jih obravnavamo v okviru poslovanja ali arhitekture spletnega mesta.
Na primer, spletno mesto knjigarne je imelo elemente e-trgovine in wikija, poročilo pa je spletno mesto večkrat obsodilo, da lahko kdo ustvari stran - najosnovnejšo lastnost wikija. Bilo bi lepo, če bi obstajali način, kako določiti nekatere stvari, poročilo ne bi smeli, zlasti ker je bilo spletno mesto skenirano ročno. Namesto tega je ImmuniWeb uporabil pristop ene velikosti, ki ustreza vsem, in ni upošteval, da je bilo ustvarjanje strani v tem primeru značilnost in ne težava. Skrbi me, da mala podjetja ne bi imela potrpljenja, da bi pregledala poročilo in iskala dejanske težave, če bi se soočila z vpisi, ki se ne ujemajo s primerom njihove uporabe.
Drugo "vprašanje" je bilo dejstvo, da sta obe skenirani strani na svojih straneh prikazali nekaj e-poštnih naslovov, na primer za marketinško ekipo, prodajo in celo izvršnega direktorja. Optični bralnik ni razlikoval med splošnim e-poštnim naslovom, ki ga stranke potrebujejo za stik s podjetjem, in potencialno težavo s podatki. Ponovno je treba veliko zahtevati od avtomatiziranega sistema, vendar je vseeno za poročilo o množici.
Po drugi strani je ImmuniWeb za spletno mesto WordPress določil, da je spletno mesto, ki temelji na WordPressu, imelo ranljivost za vbrizgavanje SQL na visoki ravni. Večina platform za ocenjevanje ranljivosti zagotavlja identifikator CVE (skupne ranljivosti in izpostavljenosti) in povezavo do opisa težave ter ga prepusti skrbniku spletnega mesta, da ugotovi, kje je težava in kako jo odpraviti. Ne ImmuniWeb. Poročilo je dalo zelo jasna navodila za skrbnika programa WordPress: posodobite vtičnik AdRotate. To je natanko vrsta podrobnosti o sanaciji, ki jo potrebujejo netehnični skrbniki, in ImmuniWeb je lahko te informacije posredoval.
Poročila vsebujejo tudi informacije o konfiguraciji SSL spletnega mesta in o tem, ali skvoterji nadzirajo podobno zveneče domene. Za nekatera podjetja je koristno vedeti o zadnjih podrobnostih.
Dober korak naprej
Za večino podjetij je ImmuniWeb dober začetek. Če nimate pojma, kako izgleda vaša varnostna slika, je vredno pridobiti to oceno - še posebej po izredno ugodni ceni 639 dolarjev. Čeprav boste morali še vedno nekaj presojati o tem, kateri deli poročila so pomembni za vaše podjetje, so informacije, ki jih lahko preberete in razumejo, ki jih bodo cenili netehniški skrbniki.
