ปรับปรุงความปลอดภัยของเว็บแอปพลิเคชันด้วยการตรวจหาสินทรัพย์

คุณจะแน่ใจได้อย่างไรว่าแอปพลิเคชันและโครงสร้างพื้นฐานของคุณปลอดภัยจากช่องโหว่ด้านความปลอดภัย

Detectify นำเสนอชุดสินทรัพย์คงคลังและโซลูชันการตรวจสอบที่สมบูรณ์ ซึ่งรวมถึงการสแกนช่องโหว่ การค้นหาโฮสต์ และการพิมพ์ลายนิ้วมือของซอฟต์แวร์ การใช้งานสามารถช่วยหลีกเลี่ยงความประหลาดใจที่ไม่พึงประสงค์ เช่น โฮสต์ที่ไม่รู้จักซึ่งมีช่องโหว่หรือโดเมนย่อยที่สามารถถูกแย่งชิงได้ง่าย

หลายสิ่งหลายอย่างอาจผิดพลาดได้ และผู้โจมตีสามารถใช้ประโยชน์จากมันได้ บางคนทั่วไปคือ:

  • การเปิดพอร์ตที่ไม่จำเป็นไว้
  • การเปิดเผยโดเมนย่อยที่ไม่ปลอดภัย ไฟล์ที่ละเอียดอ่อน ข้อมูลประจำตัว
  • ทำให้ .git สามารถเข้าถึงได้
  • ช่องโหว่บน OWASP ที่อาจเกิดขึ้น เช่น XSS, SSRF, RCE

คุณสามารถโต้แย้งว่าฉันสามารถเรียกใช้เครื่องสแกนพอร์ตด้วยตนเอง ค้นหาโดเมนย่อย ทดสอบช่องโหว่ ฯลฯ วิธีนี้ดีถ้าคุณทำครั้งเดียวหรือนาน ๆ ครั้ง แต่จะใช้เวลานานและไม่คุ้มทุนเมื่อ คุณต้องทำบ่อยๆ

ดังนั้นทางออกคืออะไร?

ไปสำหรับ ตรวจสอบการตรวจสอบสินทรัพย์ซึ่งจะตรวจสอบสินทรัพย์ของเว็บแอปพลิเคชันของคุณและทำการสแกนเป็นประจำสำหรับการตรวจสอบที่กล่าวถึงข้างต้นทั้งหมดและการตรวจสอบอื่นๆ อีกมากมายเพื่อให้ธุรกิจออนไลน์ของคุณปลอดภัย 🛡️

  • Detectify โฮสต์ชุมชนส่วนตัวของแฮ็กเกอร์ที่มีจริยธรรมเพื่อรวบรวมการวิจัยช่องโหว่ ดังนั้นมันจึงแจ้งเตือนคุณจากมุมมองของผู้โจมตีจริง
  • เครื่องมืออื่นๆ ใช้ลายเซ็นและการทดสอบเวอร์ชันซึ่งเหมือนกับการปฏิบัติตามข้อกำหนดมากกว่าการรักษาความปลอดภัยจริง แฮ็กเกอร์ Detectify ให้เพย์โหลดจริงซึ่งใช้สร้างการทดสอบความปลอดภัย ให้ชุดการทดสอบที่ไม่เหมือนใครซึ่งไม่พบในผลิตภัณฑ์อื่นๆ ในตลาด
  • ผลลัพธ์? วิธีทดสอบความปลอดภัยที่แน่นอนยิ่งขึ้นซึ่งให้ผลลัพธ์ที่สามารถตรวจสอบได้เท่านั้น
  • การค้นพบด้านความปลอดภัยที่น่าสนใจจริง ๆ เพื่อแก้ไข!

ในพวกเขา บล็อกพวกเขากล่าวว่าเวลาในการพัฒนาการทดสอบการตรวจสอบสินทรัพย์ได้ลดลงเหลือเร็วถึง 25 นาทีนับจากที่แฮ็กเกอร์ปล่อย

ฟังดูน่าสนใจ?

เรามาดูกันว่ามันทำงานอย่างไร

ในการเริ่มทำงานกับ Detectify Asset Monitoring ขั้นตอนแรกคือการยืนยันว่าคุณเป็นเจ้าของโดเมนที่คุณกำลังตรวจสอบ หรือคุณได้รับอนุญาตให้ทำการสแกนความปลอดภัย นี่เป็นขั้นตอนที่จำเป็นในการตรวจจับเพื่อให้แน่ใจว่าข้อมูลที่ละเอียดอ่อนที่เปิดเผยจะไม่ตกไปอยู่ในมือคนผิด

เราสามารถทำการยืนยันโดเมนได้หลายวิธี: โดยการอัปโหลดไฟล์ .txt เฉพาะไปยังไดเร็กทอรีรากของโดเมนของคุณ ด้วย Google Analytics ผ่านระเบียน DNS หรือด้วยเมตาแท็กบนหน้าเว็บ นอกจากนี้ยังมีตัวเลือกการยืนยันที่ได้รับความช่วยเหลือ หากไม่มีวิธีบริการตนเองใดที่เหมาะกับคุณ

การสร้างโปรไฟล์การสแกน

ขั้นตอนที่สองในการตั้งค่า Detectify คือการสร้างโปรไฟล์การสแกน ซึ่งสามารถเชื่อมโยงกับโดเมน โดเมนย่อย หรือที่อยู่ IP จากไซต์ของคุณโดยใช้บริการ HTTP หรือ HTTPS

หลังจากที่คุณตั้งค่าโปรไฟล์การสแกนแล้ว คุณสามารถกำหนดค่าได้ด้วยตัวเลือกต่างๆ

ตัวอย่างเช่น คุณสามารถมีสองโปรไฟล์ที่เชื่อมโยงกับโดเมนเดียวกันแต่มีข้อมูลรับรองต่างกัน ด้วยวิธีนี้ คุณสามารถทำการสแกนที่แตกต่างกันสองครั้งบนเซิร์ฟเวอร์เดียวกันและเปรียบเทียบผลลัพธ์ได้

เมื่อโปรไฟล์การสแกนของคุณได้รับการกำหนดค่าแล้ว คุณก็พร้อมที่จะสแกน ซึ่งคุณทำได้โดยการกดปุ่มเริ่มสแกน ถัดจากโปรไฟล์การสแกนที่คุณต้องการใช้ แดชบอร์ดจะเปลี่ยนเพื่อแสดงว่าการสแกนกำลังดำเนินการอยู่

เวลาในการสแกนขึ้นอยู่กับปริมาณเนื้อหาของไซต์ หากปริมาณค่อนข้างมาก การสแกนอาจใช้เวลาหลายชั่วโมง และคุณอาจสังเกตเห็นว่าประสิทธิภาพของไซต์ลดลงเล็กน้อยในขณะที่กำลังสแกน ดังนั้นคำแนะนำของฉันคือทำการสแกนเมื่อไซต์ของคุณไม่ว่าง

สแกนรายงาน

เมื่อ Detectify สแกนไซต์ของคุณเสร็จสิ้น คุณจะได้รับอีเมลแจ้งให้คุณทราบ ในอีเมลนั้นจะแจ้งให้คุณทราบถึงเวลาที่ใช้ในการสแกน จำนวนปัญหาที่พบโดยจัดกลุ่มตามความรุนแรง และคะแนนภัยคุกคามโดยรวมที่แสดงให้เห็นว่าไซต์นั้นดีหรือไม่ดีในแง่ของความปลอดภัย

คุณสามารถดู URL ใดที่ถูกรวบรวมข้อมูลระหว่างการสแกนโดยไปที่รายงานการสแกนล่าสุด และคลิกที่รายการ “URL ที่รวบรวมข้อมูล” ในรายการการค้นหาข้อมูล ส่วนรายละเอียดแสดงจำนวน URL ที่โปรแกรมรวบรวมข้อมูลพยายามเข้าถึงระหว่างการสแกน และจำนวน URL ที่ได้รับการระบุว่าไม่ซ้ำกัน

มีไฮเปอร์ลิงก์ที่ด้านล่างของหน้าเพื่อดาวน์โหลดไฟล์ CSV ที่มี URL ที่รวบรวมข้อมูลทั้งหมดและรหัสสถานะของแต่ละรายการ คุณสามารถผ่านรายการนี้เพื่อให้แน่ใจว่าได้เยี่ยมชมส่วนสำคัญทั้งหมดของไซต์ของคุณแล้ว

เพื่อวางแผนการแก้ไขและเพื่อให้ได้ผลลัพธ์ที่แม่นยำยิ่งขึ้นในการสแกนในอนาคต Detectify ให้คุณติดแท็กการค้นพบแต่ละรายการเป็น “คงที่” “ความเสี่ยงที่ยอมรับได้” หรือ “ผลบวกลวง” หากคุณแท็กสิ่งที่ค้นพบเป็น “แก้ไขแล้ว” เครื่องสแกนจะใช้แท็กเดียวกันนั้นในรายงานในอนาคต คุณจึงไม่ต้องจัดการกับสิ่งดังกล่าวอีกเพื่อแก้ไข “ความเสี่ยงที่ยอมรับได้” คือสิ่งที่คุณไม่ต้องการให้ได้รับรายงานในการสแกนทุกครั้ง ในขณะที่ “ผลบวกลวง” คือการค้นพบที่อาจคล้ายกับช่องโหว่ แม้ว่าจะไม่ใช่ก็ตาม

อา! การค้นพบมากมายที่จะแก้ไขซึ่งฉันไม่เคยคิด

Detectify มีหน้าและมุมมองต่างๆ มากมายเพื่อดูผลการสแกน มุมมอง “การทดสอบทั้งหมด” ช่วยให้คุณเห็นช่องโหว่ทั้งหมดที่สแกนค้นพบ หากคุณคุ้นเคยกับการจัดประเภท OWASP คุณสามารถดูมุมมอง OWASP เพื่อดูว่าไซต์ของคุณมีความเสี่ยงเพียงใดจากช่องโหว่ 10 อันดับแรก

หากต้องการปรับแต่งการสแกนในอนาคตอย่างละเอียด คุณสามารถใช้ตัวเลือกการระบุสีขาว/บัญชีดำของ Detectify เพื่อเพิ่มพื้นที่ไซต์ของคุณที่อาจถูกซ่อนไว้เนื่องจากไม่มีลิงก์ใดชี้ไปที่พื้นที่เหล่านั้น หรือคุณสามารถปิดเส้นทางที่คุณไม่ต้องการให้ซอฟต์แวร์รวบรวมข้อมูลเข้าไปได้

  แก้ไขโฟกัสและความเข้มของเอฟเฟกต์เบลอในแอป Google Camera

สินค้าคงคลังของสินทรัพย์

หน้าคลังสินทรัพย์ของ Detectify แสดงรายการสินทรัพย์รูท เช่น โดเมนหรือที่อยู่ IP ที่เพิ่ม พร้อมข้อมูลที่เป็นประโยชน์มากมายที่จะช่วยให้คุณรักษาความปลอดภัยในการลงทุนด้านไอที ถัดจากเนื้อหาแต่ละรายการ ไอคอนสีน้ำเงินหรือสีเทาจะระบุว่าการตรวจสอบสินทรัพย์เปิดหรือปิดอยู่

คุณสามารถคลิกที่สินทรัพย์ใดๆ ในสินค้าคงคลังเพื่อดูภาพรวมของสินทรัพย์นั้น จากที่นั่น คุณสามารถตรวจสอบโดเมนย่อย โปรไฟล์การสแกน เทคโนโลยีลายนิ้วมือ การค้นพบการตรวจสอบสินทรัพย์ การตั้งค่าสินทรัพย์ และอื่นๆ อีกมากมาย

การค้นพบการตรวจสอบสินทรัพย์

จัดกลุ่มการค้นหาผลลัพธ์ออกเป็นสามประเภทตามความรุนแรง: สูง ปานกลาง และต่ำ

การค้นพบระดับสูงส่วนใหญ่สะท้อนถึงปัญหาที่ข้อมูลที่ละเอียดอ่อน (เช่น ข้อมูลรับรองลูกค้าหรือรหัสผ่าน) ถูกเปิดเผยต่อสาธารณะหรืออาจถูกนำไปใช้ประโยชน์ได้

การค้นพบระดับกลางแสดงสถานการณ์ที่เปิดเผยข้อมูลบางอย่าง แม้ว่าการเปิดเผยนั้นอาจไม่เป็นอันตรายโดยตัวมันเอง แต่แฮ็กเกอร์ก็สามารถใช้ประโยชน์จากมันได้โดยการรวมเข้ากับข้อมูลอื่นๆ

สุดท้าย การค้นพบในระดับต่ำจะแสดงโดเมนย่อยที่อาจถูกยึดครองและควรตรวจสอบเพื่อยืนยันความเป็นเจ้าของ

Detectify มอบฐานความรู้พร้อมการแก้ไขและเคล็ดลับการแก้ไขมากมายเพื่อช่วยให้คุณจัดการกับสิ่งที่ค้นพบระหว่างการสแกน เมื่อคุณดำเนินการแก้ไขปัญหาแล้ว คุณสามารถเรียกใช้การสแกนครั้งที่สองเพื่อตรวจสอบว่าปัญหาได้รับการแก้ไขอย่างมีประสิทธิภาพหรือไม่ ตัวเลือกการส่งออกช่วยให้คุณสร้างไฟล์ PDF, XML หรือ JSON พร้อมรายงานการค้นพบเพื่อส่งไปยังบุคคลที่สามหรือบริการต่างๆ เช่น Trello หรือ JIRA

รับประโยชน์สูงสุดจาก Detectify

คู่มือแนวทางปฏิบัติที่ดีที่สุดของ Detectify แนะนำให้เพิ่มชื่อโดเมนโดยไม่มีโดเมนย่อยเพื่อดูภาพรวมของไซต์ทั้งหมดของคุณหากไซต์ไม่ใหญ่เกินไป แต่มีเวลาจำกัดอยู่ที่ 9 ชั่วโมงสำหรับการสแกนทั้งหมด หลังจากนั้นเครื่องสแกนจะข้ามไปยังขั้นตอนถัดไปของกระบวนการ ด้วยเหตุนี้ การแบ่งโดเมนของคุณออกเป็นโปรไฟล์การสแกนที่เล็กลงจึงเป็นความคิดที่ดี

การสแกนครั้งแรกของคุณอาจแสดงให้คุณเห็นว่าเนื้อหาบางอย่างมีช่องโหว่มากกว่าที่อื่น นั่นเป็นอีกเหตุผลหนึ่ง – นอกเหนือจากระยะเวลาการสแกน – เพื่อเริ่มทำลายโดเมนของคุณ คุณควรระบุโดเมนย่อยที่สำคัญที่สุดและสร้างโปรไฟล์การสแกนสำหรับแต่ละโดเมน

ให้ความสนใจกับรายการ “โฮสต์ที่ค้นพบ” เนื่องจากสามารถแสดงการค้นพบที่ไม่คาดคิดให้คุณได้ ตัวอย่างเช่น ระบบที่คุณไม่รู้ว่าคุณมี รายการนี้มีประโยชน์ในการระบุแอปพลิเคชันที่สำคัญที่สุดที่สมควรได้รับการสแกนเชิงลึกมากขึ้น ดังนั้น โปรไฟล์การสแกนแต่ละรายการ

Detectify แนะนำว่าควรกำหนดขอบเขตที่เล็กลงสำหรับโปรไฟล์การสแกนแต่ละรายการจะดีกว่า เนื่องจากจะได้ผลลัพธ์ที่แม่นยำและสอดคล้องกันมากขึ้น นอกจากนี้ ยังเป็นความคิดที่ดีที่จะแบ่งขอบเขตโดยรวบรวมเทคโนโลยีหรือเฟรมเวิร์กที่คล้ายกันไว้ในแต่ละโปรไฟล์ ด้วยวิธีนี้ สแกนเนอร์จะสามารถเรียกใช้การทดสอบที่เกี่ยวข้องได้มากขึ้นสำหรับแต่ละโปรไฟล์การสแกน

บทสรุป

สินค้าคงคลังและการตรวจสอบสินทรัพย์เป็นสิ่งสำคัญสำหรับทุกขนาดและเว็บไซต์ รวมถึงอีคอมเมิร์ซ SaaS การค้าปลีก การเงิน และตลาดกลาง อย่าเก็บทรัพย์สินใด ๆ ไว้โดยไม่มีใครดูแล ลอง ทดลองใช้เป็นเวลา 2 สัปดาห์ เพื่อดูว่าจะช่วยคุณหาช่องโหว่ในการปรับปรุงความปลอดภัยของเว็บแอปพลิเคชันได้อย่างไร

  วิธีปิดการใช้งานแสดงการแจ้งเตือนสำหรับเว็บไซต์

เรื่องล่าสุด

x