Vídeo: ImmuniWeb® AI Application Security Testing Platform Overview (Setembre 2024)
Si la vostra empresa es basa en el vostre lloc web, com fan la majoria de les empreses, us ho haureu d’assegurar que no tingui forats de seguretat. ImmuniWeb, un escàner de codis de High-Tech Bridge, proporciona a les empreses petites una avaluació de vulnerabilitat completa per descobrir problemes de llocs per un preu assequible de 639 dòlars (directe).
Hi ha moltes raons per orientar-vos a llocs web. Els ciberdelinqüents poden intentar corrompre el vostre lloc amb programari maliciós que infectaria els visitants del vostre lloc i robarien les seves credencials en línia. Potser a algú no li agrada el vostre negoci i vulgui suprimir el vostre lloc. Potser els atacants es troben després de les valuoses dades emmagatzemades a la vostra base de dades i el lloc web és una manera senzilla d’introduir-se. Independentment, els llocs web estan cada cop més atacats i les empreses han d’assegurar-se que els defectes de seguretat i els errors de configuració no compatibles no ho facin fàcil per al mal. nois a passejar-hi.
Els avaluadors de High-Tech Bridge utilitzen l’escàner ImmuniWeb per realitzar una exploració automàtica o manual. Ofereixen tots els resultats en un informe complet, juntament amb recomanacions sobre com solucionar qualsevol problema que descobreixin. Els informes són fàcils de llegir i són força detallats. En funció de la naturalesa del vostre negoci, l’informe final d’ImmuniWeb pot tenir una mica de pèrdua, però, en general, aconseguir que aquesta avaluació de base sigui indolora i útil. Moltes empreses petites calculen que l’avaluació de la vulnerabilitat és alguna cosa que els "grans no" han de preocupar, però ImmuniWeb demostra que les organitzacions més petites també poden permetre's prendre la seguretat seriosament.
El punt complet d’ImmuniWeb és mirar un lloc de producció. El fet de compaginar un lloc de prova no tindria sentit perquè el lloc no seria prou robust i els resultats serien artificials. Em vaig adreçar a dues petites empreses, molt diferents entre elles, que van acceptar fer una avaluació ImmuniWeb sempre que tinguessin l'oportunitat de veure els informes resultants i solucionar els problemes. Al primer lloc, els usuaris podrien comprar llibres, veure vídeos i participar en un fòrum comunitari. El segon lloc es basava en WordPress i presentava publicacions d’articles, clips de vídeo i podcasts.
Portal ImmuniWeb
El portal ImmuniWeb és el centre de totes les comunicacions amb l'equip d'avaluació. Em vaig inscriure a un compte, vaig especificar l’URL del lloc i vaig proporcionar informació bàsica. Tot i que hi havia una secció per a opcions avançades (com dir si algunes porcions del lloc estaven ocultes rere un missatge d’inici de sessió), no em molestava amb res: només les meves dades de contacte, la informació de pagament i la selecció d’una data. al calendari per començar l’avaluació. És tan fàcil.
En general, el portal té una mica datat i no és tan brillant com espereu que siguin les aplicacions web, però, per contra, és fàcil de navegar i fa exactament la tasca a la qual està dissenyat. Vaig veure l’estat de l’avaluació i vaig rebre alertes quan l’equip ImmuniWeb va enviar un missatge. Podria programar diverses avaluacions i fer un seguiment de cadascuna per separat. També podria descarregar els informes un cop finalitzats.
Hi va haver una estranya curiositat que em va irritar. El menú desplegable prefix, que era un camp obligatori, no proporcionava una opció per a "Sra." Només la senyoreta o la senyora, doncs, durant la revisió, vaig ser un "professor".
L’avaluació ImmuniWeb
Vaig rebre una notificació per correu electrònic quan es va iniciar la prova i, un cop més, quan es va completar. També se'm va advertir que el lloc hauria de permetre l'accés per a un bon nombre d'adreces IP. L'informe va trigar un o dos dies a estar preparat. Vaig apreciar la comunicació regular.
Per a la primera valoració, el lloc en qüestió (el lloc de la llibreria) es va allotjar a Amazon EC2 i l'ImmuniWeb Scanner no va poder veure-ho. Hi pot haver diverses raons per això, com ara un sistema de detecció d’intrusions que bloquegi l’accés o algun altre sistema que restringeixi l’escaneig automàtic. L’equip va passar a una avaluació manual i va acabar sense haver de fer res. L’escàner no va tenir problemes per veure el segon lloc (el blog de WordPress), també en una plataforma núvol.
Els administradors del lloc van dir que no hi havia problemes o problemes amb el rendiment del lloc durant el curs de l'avaluació. Això és molt bo perquè l'últim que vol un negoci és fer front als temps morts.
Resultats de l'informe
Quan els informes estaven preparats, els vaig descarregar per veure com sortien els llocs. Cap dels dos llocs va tenir cap defecte crític, cosa que va suposar un alleujament, però tots dos tenien problemes de prioritat mitjana i baixa. Per a algunes àrees, l'avaluació es va sentir una mica massa alta, ja que l'informe no contenia cap anàlisi més profund, com ara atacs de força de violència. En general, l'informe va abastar una gran part de les novetats bàsiques, però algunes de les entrades individuals van tenir una mica de visió per a l'organització. Hi va haver algunes qüestions que eren qüestions que no eren clarament considerades en el context del negoci o de l'arquitectura del lloc.
Per exemple, el lloc de la llibreria tenia elements de comerç electrònic i wiki, i l’informe va canviar el lloc de forma repetida pel fet que qualsevol persona pogués crear una pàgina –la característica més bàsica d’un wiki. Hauria estat bo que hi hagués una manera d’especificar certes coses que s’hauria de deixar de l’informe, sobretot perquè s’havia escanejat manualment el lloc. En canvi, ImmuniWeb va adoptar un enfocament de mida única i no va tenir en compte que, en aquest cas, poder crear una pàgina era una característica, no un problema. Em preocupa que les petites empreses no tinguin la paciència d’analitzar l’informe buscant problemes reals si es troben amb entrades que no coincideixen amb el seu cas d’ús.
Un altre "problema" va ser el fet que els dos llocs escanejats mostraven algunes adreces de correu electrònic a les seves pàgines, com per exemple per a l'equip de màrqueting, vendes i, fins i tot, el CEO. L’escàner no diferenciava entre una adreça de correu electrònic genèrica que els clients han de contactar amb l’empresa i un problema potencial de dades. Un cop més, és molt de demanar a un sistema automatitzat, però fa que es faci un informe concorregut.
D'altra banda, per al lloc de WordPress, ImmuniWeb va identificar que el lloc, basat en WordPress, tenia una vulnerabilitat d'injecció SQL d'alt nivell. La majoria de plataformes d'avaluació de la vulnerabilitat proporcionen l'identificador CVE (Common Vulnerabilities and Exposures) i un enllaç a una descripció del problema, i el deixen a l'administrador del lloc per esbrinar on es troba el problema i com solucionar-lo. No ImmuniWeb. L’informe va donar instruccions molt clares per a l’administrador de WordPress: actualitzar el complement AdRotate. Aquest és exactament el tipus de detall de la reparació que necessiten els administradors no tècnics i ImmuniWeb va poder proporcionar aquesta informació.
Els informes també contenen informació sobre la configuració SSL del lloc i sobre si els okupes controlaven dominis de so similar. Per a algunes empreses, aquest últim detall és útil saber-ho.
Un bon pas endavant
Per a la majoria de les empreses, ImmuniWeb és un bon començament. Si no teniu idea de com sembla la vostra imatge de seguretat, val la pena obtenir aquesta valoració, especialment al preu eminentment assequible de 639 dòlars. Tot i que encara haureu de fer alguns comentaris sobre quines parts de l’informe són rellevants per al vostre negoci, la informació proporcionada és fàcil de llegir i d’entendre, cosa que els administradors no tècnics apreciaran.
