Wie stellen Sie sicher, dass Ihre Anwendung und Infrastruktur vor Sicherheitslücken geschützt sind?
Detectify bietet eine vollständige Suite von Asset-Inventarisierungs- und Überwachungslösungen, die Schwachstellen-Scanning, Host-Erkennung und Software-Fingerprinting umfassen. Seine Verwendung könnte dazu beitragen, unangenehme Überraschungen zu vermeiden, wie z. B. unbekannte Hosts, die Schwachstellen aufweisen, oder Unterdomänen, die leicht gekapert werden können.
Viele Dinge können schief gehen, und ein Angreifer kann das ausnutzen. Einige gebräuchliche sind:
- Unnötige Ports offen halten
- Offenlegung unsicherer Subdomains, sensibler Dateien, Anmeldeinformationen
- .git zugänglich halten
- Potenzielle OWASP-Top-Schwachstellen wie XSS, SSRF, RCE
Sie können darüber diskutieren, dass ich den Port-Scanner manuell ausführen, Subdomänen finden, auf Schwachstellen testen usw. kann. Das ist gut, wenn Sie es ab und zu tun, aber es wird zeitaufwändig und nicht kosteneffektiv, wenn du musst es oft machen.
Also, was ist die Lösung?
Gehen Sie für Asset-Überwachung erkennendas die Assets Ihrer Webanwendung überwacht und einen regelmäßigen Scan für die oben genannten und viele andere Überprüfungen durchführt, um Ihr Online-Geschäft sicher zu halten 🛡️.
- Detectify hostet eine eigene private Community ethischer Hacker, um Schwachstellenforschung per Crowdsourcing zu betreiben, damit Sie Warnungen aus der Perspektive eines echten Angreifers erhalten.
- Andere Tools verlassen sich auf Signaturen und Versionstests, was eher Compliance als tatsächlicher Sicherheit entspricht. Die Hacker von Detectify stellen die eigentlichen Payloads bereit, die zum Erstellen der Sicherheitstests verwendet werden, wodurch ein einzigartiger Testsatz entsteht, der in anderen Produkten auf dem Markt nicht zu finden ist.
- Das Ergebnis? Eine sicherere Art der Sicherheitsprüfung, die Ihnen nur verifizierbare Ergebnisse liefert
- Sicherheitsbefunde, die tatsächlich interessant zu beheben sind!
In ihrem bloggenerwähnen sie, dass die Entwicklungszeit für Asset Monitoring-Tests auf bis zu 25 Minuten vom Hacker bis zur Veröffentlichung verkürzt wurde.
Hört sich interessant an?
Mal sehen, wie es funktioniert.
Um mit der Arbeit mit Detectify Asset Monitoring zu beginnen, besteht der erste Schritt darin, zu überprüfen, ob Sie der Eigentümer der zu überwachenden Domäne sind oder ob Sie berechtigt sind, einen Sicherheitsscan durchzuführen. Dies ist ein notwendiger Schritt, den Detectify unternimmt, um sicherzustellen, dass die preisgegebenen vertraulichen Informationen nicht in die falschen Hände geraten.
Wir können die Domain-Verifizierung auf verschiedene Arten durchführen: durch Hochladen einer bestimmten .txt-Datei in das Stammverzeichnis Ihrer Domain, mit Google Analytics, über einen DNS-Eintrag oder mit einem Meta-Tag auf einer Webseite. Es gibt auch eine Option der unterstützten Überprüfung, wenn keine der Self-Service-Methoden für Sie funktioniert.
Inhaltsverzeichnis
Erstellen eines Scanprofils
Der zweite Schritt bei der Einrichtung von Detectify besteht darin, ein Scanprofil zu erstellen, das jeder Domain, Subdomain oder IP-Adresse Ihrer Website zugeordnet werden kann, auf der HTTP- oder HTTPS-Dienste ausgeführt werden.
Nachdem Sie ein Scanprofil eingerichtet haben, können Sie es mit verschiedenen Optionen konfigurieren.
Sie können beispielsweise zwei Profile haben, die derselben Domäne, aber mit unterschiedlichen Anmeldeinformationen zugeordnet sind. Auf diese Weise können Sie zwei verschiedene Scans auf demselben Server durchführen und die Ergebnisse vergleichen.
Sobald Ihr Scanprofil konfiguriert ist, können Sie scannen, indem Sie einfach auf die Schaltfläche Scan starten neben dem gewünschten Scanprofil klicken. Das Dashboard ändert sich, um anzuzeigen, dass ein Scan ausgeführt wird.
Die Zeit für die Durchführung des Scans hängt von der Menge der Website-Inhalte ab. Wenn das Volume ziemlich groß ist, kann der Scan Stunden dauern, und Sie werden möglicherweise eine leichte Verschlechterung der Leistung der Site feststellen, während der Scan ausgeführt wird. Mein Rat ist daher, Scans durchzuführen, wenn Ihre Website weniger ausgelastet ist.
Berichte scannen
Wenn Detectify mit dem Scannen Ihrer Website fertig ist, erhalten Sie eine E-Mail, die Sie darüber informiert. In dieser E-Mail werden Sie über die Zeit informiert, die für die Durchführung des Scans benötigt wurde, die Anzahl der gefundenen Probleme gruppiert nach Schweregrad und eine Gesamtbewertung der Bedrohung, die zeigt, wie gut oder schlecht die Website in Bezug auf die Sicherheit ist.
Sie können sehen, welche URLs während des Scans gecrawlt wurden, indem Sie zum letzten Scanbericht gehen und in der Informationsergebnisliste auf das Element „Crawled URLs“ klicken. Der Abschnitt Details zeigt, auf wie viele URLs der Crawler während des Scans zuzugreifen versuchte und wie viele davon als eindeutig identifiziert wurden.
Unten auf der Seite befindet sich ein Hyperlink zum Herunterladen einer CSV-Datei mit allen gecrawlten URLs und dem jeweiligen Statuscode. Sie können diese Liste durchgehen, um sicherzustellen, dass alle wichtigen Teile Ihrer Website besucht wurden.
Um die Behebung zu planen und bei zukünftigen Scans genauere Ergebnisse zu erhalten, können Sie mit Detectify jeden Befund als „Behoben“, „Akzeptiertes Risiko“ oder „Falsch positiv“ markieren. Wenn Sie einen Befund als „behoben“ markieren, verwendet der Scanner dasselbe Tag in zukünftigen Berichten, sodass Sie sich nicht erneut damit befassen müssen, um ihn zu beheben. Ein „akzeptiertes Risiko“ ist etwas, das nicht bei jedem Scan gemeldet werden soll, während „falsch positiv“ ein Ergebnis ist, das einer Schwachstelle ähneln kann, obwohl es keines ist.
Ah! viele Feststellungen zu beheben, die ich nie gedacht hätte.
Detectify bietet viele verschiedene Seiten und Ansichten, um die Scan-Ergebnisse anzuzeigen. In der Ansicht „Alle Tests“ können Sie alle Schwachstellen sehen, die der Scan entdeckt hat. Wenn Sie mit der OWASP-Klassifizierung vertraut sind, können Sie sich die OWASP-Ansicht ansehen, um zu sehen, wie anfällig Ihre Website für die Top-10-Schwachstellen ist.
Zur Feinabstimmung zukünftiger Scans können Sie die White-/Blacklisting-Optionen von Detectify verwenden, um Ihre Site-Bereiche hinzuzufügen, die ausgeblendet werden könnten, weil keine Links darauf verweisen. Oder Sie können Pfade verbieten, die der Crawler nicht betreten soll.
Das Bestandsverzeichnis
Die Asset-Bestandsseite von Detectify zeigt eine Liste der Root-Assets – wie hinzugefügte Domains oder IP-Adressen – mit vielen nützlichen Informationen, die Ihnen helfen, Ihre IT-Investitionen zu sichern. Neben jedem Asset zeigt ein blaues oder graues Symbol an, ob die Asset-Überwachung dafür aktiviert oder deaktiviert ist.
Sie können auf eines der Assets im Inventar klicken, um einen Überblick darüber zu erhalten. Von dort aus können Sie Subdomains, Scanprofile, Fingerprint-Technologien, Asset-Monitoring-Ergebnisse, Asset-Einstellungen und vieles mehr untersuchen.
Ergebnisse der Asset-Überwachung
Es gruppiert die Ergebnisse nach ihrem Schweregrad in drei Kategorien: hoch, mittel und niedrig.
Ergebnisse auf hoher Ebene spiegeln hauptsächlich Probleme wider, bei denen vertrauliche Informationen (z. B. Kundenanmeldeinformationen oder Passwörter) der Öffentlichkeit zugänglich gemacht werden oder möglicherweise ausgenutzt werden können.
Ergebnisse auf mittlerer Ebene zeigen Situationen, in denen einige Informationen offengelegt werden. Auch wenn diese Exposition an sich nicht schädlich ist, könnte ein Hacker sie ausnutzen, indem er sie mit anderen Informationen kombiniert.
Schließlich zeigen Low-Level-Ergebnisse Subdomains, die möglicherweise übernommen werden könnten und auf ihre Inhaberschaft überprüft werden sollten.
Detectify bietet eine Wissensdatenbank mit vielen Fehlerbehebungen und Tipps zur Behebung, die Ihnen helfen, mit den während des Scans festgestellten Ergebnissen umzugehen. Sobald Sie Maßnahmen zur Behebung der Probleme ergriffen haben, können Sie einen zweiten Scan ausführen, um zu überprüfen, ob die Probleme effektiv behoben wurden. Mit den Exportoptionen können Sie PDF-, XML- oder JSON-Dateien mit Ergebnisberichten erstellen, um sie an Drittanbieter oder Dienste wie Trello oder JIRA zu senden.
Holen Sie das Beste aus Detectify heraus
Der Best-Practices-Leitfaden von Detectify empfiehlt, einen Domainnamen ohne Subdomains hinzuzufügen, um einen Überblick über Ihre gesamte Website zu erhalten, wenn diese nicht zu groß ist. Aber es gibt ein Zeitlimit von 9 Stunden für einen vollständigen Scan, danach springt der Scanner in die nächste Phase des Prozesses. Aus diesem Grund könnte es eine gute Idee sein, Ihre Domain in kleinere Scan-Profile zu unterteilen.
Ihr erster Scan kann Ihnen zeigen, dass einige Assets mehr Schwachstellen aufweisen als andere. Das ist ein weiterer Grund – neben der Scandauer – damit anzufangen, Ihre Domain aufzuschlüsseln. Sie sollten die kritischsten Subdomains identifizieren und für jede einzelne ein Scan-Profil erstellen.
Achten Sie auf die Liste „Erkannte Hosts“, da sie Ihnen einige unerwartete Ergebnisse zeigen kann. Zum Beispiel Systeme, von denen Sie nicht wussten, dass Sie sie haben. Diese Liste ist nützlich, um die wichtigsten Anwendungen zu identifizieren, die einen eingehenderen Scan und daher ein individuelles Scan-Profil verdienen.
Detectify schlägt vor, dass es besser ist, kleinere Bereiche für jedes Scanprofil zu definieren, da es genauere und konsistentere Ergebnisse erhalten kann. Es ist auch eine gute Idee, Bereiche aufzuschlüsseln, indem Sie ähnliche Technologien oder Frameworks in jedem Profil zusammenfassen. Auf diese Weise kann der Scanner relevantere Tests für jedes Scanprofil durchführen.
Fazit
Asset-Inventarisierung und -Überwachung sind für jede Größe und Website von entscheidender Bedeutung, einschließlich E-Commerce, SaaS, Einzelhandel, Finanzen und Marktplatz. Bewahren Sie keine Vermögenswerte unbeaufsichtigt auf; versuchen Sie die 2 wochen testen um zu sehen, wie es Ihnen helfen kann, Schlupflöcher zu finden, um die Sicherheit von Webanwendungen zu verbessern.