Verbeter de beveiliging van webapplicaties met Detectify Asset Monitoring

Hoe zorgt u ervoor dat uw applicatie en infrastructuur beveiligd zijn tegen beveiligingsproblemen?

Detectify biedt een complete suite van inventarisatie- en monitoringoplossingen voor bedrijfsmiddelen, waaronder scannen op kwetsbaarheden, hostdetectie en softwarevingerafdrukken. Het gebruik ervan kan onaangename verrassingen helpen voorkomen, zoals onbekende hosts die kwetsbaarheden vertonen of subdomeinen die gemakkelijk kunnen worden gekaapt.

Er kan veel misgaan en een aanvaller kan daar misbruik van maken. Enkele veel voorkomende zijn:

  • Het openhouden van onnodige poorten
  • Onveilig subdomein, gevoelige bestanden, referenties blootleggen
  • .git toegankelijk houden
  • Potentiële OWASP-kwetsbaarheden zoals XSS, SSRF, RCE

Je kunt erover discussiëren dat ik de poortscanner handmatig kan uitvoeren, een subdomein kan vinden, kan testen op kwetsbaarheden, enz. Dit is goed als je het af en toe doet, maar het zal tijdrovend en niet kosteneffectief zijn wanneer je moet het vaak doen.

Dus wat is de oplossing?

Ga voor Detecteer Asset Monitoringdie de activa van uw webapplicatie bewaakt en regelmatig een scan uitvoert voor vooral besproken en vele andere controles om uw online bedrijf veilig te houden 🛡️.

  • Detectify host hun eigen privégemeenschap van ethische hackers om onderzoek naar kwetsbaarheden te crowdsourcen, zodat u waarschuwingen ontvangt vanuit het perspectief van een echte aanvaller.
  • Andere tools zijn afhankelijk van handtekeningen en versietests, wat meer lijkt op naleving dan op daadwerkelijke beveiliging. De Detectify-hackers bieden de daadwerkelijke payloads die worden gebruikt om de beveiligingstests te bouwen, waardoor een unieke set tests wordt verkregen die niet wordt gezien in andere producten op de markt.
  • Het resultaat? Een veiligere manier van beveiligingstesten die u alleen resultaten oplevert die kunnen worden geverifieerd
  • Beveiligingsbevindingen die eigenlijk interessant zijn om op te lossen!

In hun bloggenvermelden ze dat de ontwikkeltijd van de Asset Monitoring-test is teruggebracht tot slechts 25 minuten vanaf de hacker tot de release.

Klinkt interessant?

Laten we kijken hoe het werkt.

Om aan de slag te gaan met Detectify Asset Monitoring, is de eerste stap om te verifiëren dat u de eigenaar bent van het domein dat u gaat monitoren, of dat u geautoriseerd bent om een ​​beveiligingsscan uit te voeren. Dit is een noodzakelijke stap die Detectify neemt om ervoor te zorgen dat de gevoelige informatie die het onthult niet in verkeerde handen terechtkomt.

We kunnen domeinverificatie op verschillende manieren uitvoeren: door een specifiek .txt-bestand te uploaden naar de hoofdmap van uw domein, met Google Analytics, via een DNS-record of met een metatag op een webpagina. Er is ook een optie voor geassisteerde verificatie als geen van de zelfbedieningsmethoden voor u werkt.

  Hoe de DNA-test van 23andMe me heeft geholpen een geheime familie te ontrafelen

Een scanprofiel maken

De tweede stap bij het instellen van Detectify is het maken van een scanprofiel, dat kan worden gekoppeld aan elk domein, subdomein of IP-adres van uw site waarop HTTP- of HTTPS-services worden uitgevoerd.

Nadat u een scanprofiel hebt ingesteld, kunt u dit configureren met verschillende opties.

U kunt bijvoorbeeld twee profielen hebben die aan hetzelfde domein zijn gekoppeld, maar met verschillende inloggegevens. Zo kun je twee verschillende scans op dezelfde server uitvoeren en de resultaten vergelijken.

Zodra uw scanprofiel is geconfigureerd, bent u klaar om te scannen, wat u doet door op de knop Scannen starten te drukken naast het scanprofiel dat u wilt gebruiken. Het dashboard verandert om aan te geven dat er een scan wordt uitgevoerd.

De tijd die nodig is om de scan uit te voeren, is afhankelijk van het volume van de site-inhoud. Als het volume vrij groot is, kan de scan uren duren en merkt u mogelijk een lichte verslechtering van de prestaties van de site terwijl de scan bezig is. Dus mijn advies is om scans uit te voeren wanneer uw site minder druk is.

Rapporten scannen

Wanneer Detectify klaar is met het scannen van uw site, ontvangt u hiervan een e-mail. In die e-mail wordt u geïnformeerd over de tijd die nodig was om de scan uit te voeren, het aantal gevonden problemen gegroepeerd op ernst en een algemene dreigingsscore die laat zien hoe goed of slecht de site is op het gebied van beveiliging.

U kunt zien welke URL’s tijdens de scan zijn gecrawld door naar het laatste scanrapport te gaan en op het item “Crawled URL’s” in de lijst met informatiebevindingen te klikken. In het gedeelte Details wordt weergegeven tot hoeveel URL’s de crawler tijdens de scan heeft geprobeerd toegang te krijgen en hoeveel daarvan als uniek zijn geïdentificeerd.

Er is een hyperlink onderaan de pagina om een ​​CSV-bestand te downloaden met alle gecrawlde URL’s en de statuscode van elke URL. U kunt deze lijst doornemen om er zeker van te zijn dat alle belangrijke delen van uw site zijn bezocht.

Om herstel te plannen en nauwkeurigere resultaten te krijgen in toekomstige scans, kunt u met Detectify elke bevinding taggen als “Vast”, “Geaccepteerd risico” of “False positive”. Als u een bevinding tagt als ‘Opgelost’, gebruikt de scanner diezelfde tag in toekomstige rapporten, zodat u deze niet opnieuw hoeft te behandelen voor herstel. Een ‘aanvaard risico’ is iets waarvan u niet wilt dat het bij elke scan wordt gerapporteerd, terwijl ‘vals positief’ een bevinding is die op een kwetsbaarheid lijkt, maar dat niet is.

  Microfoon werkt niet op een Mac? Hier is hoe het te repareren

Ah! veel bevindingen om op te lossen die ik nooit had gedacht.

Detectify biedt veel verschillende pagina’s en weergaven om de scanresultaten te bekijken. In de weergave “Alle tests” kunt u alle kwetsbaarheden zien die door de scan zijn ontdekt. Als u bekend bent met de OWASP-classificatie, kunt u de OWASP-weergave bekijken om te zien hoe kwetsbaar uw site is voor de top 10 kwetsbaarheden.

Om toekomstige scans te verfijnen, kunt u Detectify’s white/blacklisting-opties gebruiken om uw sitegebieden toe te voegen die verborgen zouden kunnen zijn omdat er geen links naar verwijzen. Of u kunt paden verbieden waarvan u niet wilt dat de crawler erin komt.

De activa-inventaris

De asset-inventarisatiepagina van Detectify toont een lijst met root-assets, zoals toegevoegde domeinen of IP-adressen, met veel nuttige informatie die u zal helpen uw IT-investeringen veilig te stellen. Naast elk asset geeft een blauw of grijs pictogram aan of Asset Monitoring ervoor is in- of uitgeschakeld.

U kunt op elk van de activa in de inventaris klikken om er een overzicht van te krijgen. Van daaruit kunt u subdomeinen, scanprofielen, technologieën voor vingerafdrukken, bevindingen van activabewaking, activa-instellingen en nog veel meer onderzoeken.

Bevindingen van activabewaking

Het groepeert het vinden van resultaten in drie categorieën op basis van hun ernst: hoog, gemiddeld en laag.

Bevindingen op hoog niveau weerspiegelen meestal problemen waarbij gevoelige informatie (bijv. klantreferenties of wachtwoorden) openbaar wordt gemaakt of mogelijk kan worden misbruikt.

Bevindingen op gemiddeld niveau tonen situaties waarin het bepaalde informatie blootlegt. Hoewel die blootstelling op zichzelf niet schadelijk is, kan een hacker er misbruik van maken door deze te combineren met andere informatie.

Ten slotte laten low-level bevindingen subdomeinen zien die mogelijk kunnen worden overgenomen en die moeten worden gecontroleerd om hun eigendom te verifiëren.

Detectify biedt een kennisbank met tal van oplossingen en hersteltips om u te helpen omgaan met de bevindingen die tijdens de scan zijn aangetroffen. Zodra u actie heeft ondernomen om de problemen op te lossen, kunt u een tweede scan uitvoeren om te controleren of de problemen effectief zijn verholpen. Met exportopties kunt u PDF-, XML- of JSON-bestanden met bevindingenrapporten maken om deze naar derden of services zoals Trello of JIRA te sturen.

  Waarom vertraagde de turboknop uw pc in de jaren '90?

Haal het meeste uit Detectify

Detectify’s best-practices gids raadt aan om een ​​domeinnaam zonder subdomeinen toe te voegen om een ​​overzicht te krijgen van je hele site als deze niet te groot is. Maar er is een tijdslimiet van 9 uur voor een volledige scan, waarna de scanner naar de volgende fase van het proces springt. Om die reden kan het een goed idee zijn om uw domein op te splitsen in kleinere scanprofielen.

Uw eerste scan kan u laten zien dat sommige activa meer kwetsbaarheden hebben dan andere. Dat is nog een reden – naast de scanduur – om te beginnen met het opsplitsen van uw domein. U moet de meest kritieke subdomeinen identificeren en voor elk daarvan een scanprofiel maken.

Besteed aandacht aan de lijst “Ontdekte hosts”, omdat deze u enkele onverwachte bevindingen kan laten zien. Bijvoorbeeld systemen waarvan je niet wist dat je ze had. Deze lijst is handig om de meest cruciale applicaties te identificeren die een meer diepgaande scan en dus een individueel scanprofiel verdienen.

Detectify suggereert dat het beter is om voor elk scanprofiel kleinere scopes te definiëren, omdat dit nauwkeurigere en consistentere bevindingen kan opleveren. Het is ook een goed idee om scopes op te splitsen door vergelijkbare technologieën of frameworks binnen elk profiel bij elkaar te houden. Op deze manier kan de scanner voor elk scanprofiel relevantere tests uitvoeren.

Conclusie

Activa-inventarisatie en -bewaking zijn cruciaal voor elke grootte en website, inclusief e-commerce, SaaS, detailhandel, financiële sector en marktplaats. Laat geen activa onbeheerd achter; probeer de 2 weken op proef om te zien hoe het u kan helpen mazen in de wet te vinden om de beveiliging van webapplicaties te verbeteren.

gerelateerde berichten