تحسين أمان تطبيقات الويب من خلال اكتشاف مراقبة الأصول

كيف تضمن حماية تطبيقك وبنيتك التحتية من الثغرات الأمنية؟

تقدم Detectify مجموعة كاملة من جرد الأصول وحلول المراقبة التي تشمل فحص الثغرات الأمنية واكتشاف المضيف وبصمات البرامج. يمكن أن يساعد استخدامه في تجنب المفاجآت غير السارة ، مثل مضيفين غير معروفين يمثلون نقاط ضعف أو مجالات فرعية يمكن اختراقها بسهولة.

يمكن أن تسوء أشياء كثيرة ، ويمكن للمهاجم الاستفادة منها. بعض الأنواع الشائعة هي:

  • فتح المنافذ غير الضرورية
  • الكشف عن النطاق الفرعي غير الآمن والملفات الحساسة وبيانات الاعتماد
  • الحفاظ على الوصول إلى .git
  • أهم نقاط الضعف المحتملة في OWASP مثل XSS و SSRF و RCE

يمكنك مناقشة أنه يمكنني تشغيل الماسح الضوئي للمنافذ يدويًا ، والعثور على المجال الفرعي ، واختبار الثغرات الأمنية ، وما إلى ذلك. وهذا أمر جيد إذا قمت بذلك مرة واحدة أو مرة واحدة كل فترة ، ولكنه سيستغرق وقتًا طويلاً ولن يكون فعالاً من حيث التكلفة عندما عليك أن تفعل ذلك بشكل متكرر.

إذن ما هو الحل؟

إذهب الى كشف مراقبة الأصول، الذي يراقب أصول تطبيق الويب الخاص بك ويقوم بإجراء مسح منتظم لكل ما سبق مناقشته والعديد من الفحوصات الأخرى للحفاظ على أمان عملك على الإنترنت 🛡️.

  • تستضيف شركة Detectify مجتمعها الخاص من المتسللين الأخلاقيين لتعهيد أبحاث الثغرات الأمنية بشكل جماعي ، لذا فهي تقدم لك تنبيهات من منظور مهاجم حقيقي.
  • تعتمد الأدوات الأخرى على التوقيعات واختبار الإصدار الذي يشبه الامتثال أكثر من الأمان الفعلي. يوفر المتسللون Detectify الحمولات الفعلية التي تُستخدم لبناء اختبارات الأمان ، مما يوفر مجموعة فريدة من الاختبارات التي لا تظهر في المنتجات الأخرى في السوق.
  • النتائج؟ طريقة أكثر تأكيدًا لاختبار الأمان والتي تمنحك فقط النتائج التي يمكن التحقق منها
  • النتائج الأمنية التي هي في الواقع مثيرة للاهتمام لإصلاحها!

في بهم مقالات، فقد ذكروا أن وقت تطوير اختبار Asset Monitoring قد تم اختصاره إلى 25 دقيقة من المخترق للإفراج عنه.

مثير للاهتمام؟

دعونا نرى كيف يعمل.

لبدء العمل مع Detectify Asset Monitoring ، فإن الخطوة الأولى هي التحقق من أنك تملك المجال الذي ستراقبه ، أو أنك مخول لإجراء فحص أمني. هذه خطوة ضرورية يتخذها Detectify للتأكد من أن المعلومات الحساسة التي يكشف عنها لن تنتهي في الأيدي الخطأ.

يمكننا إجراء التحقق من النطاق بعدة طرق: عن طريق تحميل ملف .txt محدد إلى الدليل الجذر لنطاقك ، باستخدام Google Analytics ، أو من خلال سجل DNS ، أو باستخدام علامة وصفية على صفحة ويب. هناك أيضًا خيار التحقق بمساعدة إذا لم تعمل أي من طرق الخدمة الذاتية من أجلك.

  32 أسئلة وأجوبة مقابلة Tableau المتداولة

إنشاء ملف تعريف المسح الضوئي

تتمثل الخطوة الثانية في إعداد Detectify في إنشاء ملف تعريف مسح ضوئي ، يمكن ربطه بأي مجال أو مجال فرعي أو عنوان IP من موقعك باستخدام خدمات HTTP أو HTTPS التي تعمل عليه.

بعد إعداد ملف تعريف الفحص ، يمكنك تكوينه بخيارات مختلفة.

على سبيل المثال ، يمكن أن يكون لديك ملفان شخصيان مرتبطان بنفس المجال ولكن ببيانات اعتماد مختلفة. بهذه الطريقة ، يمكنك إجراء عمليتي مسح مختلفتين على نفس الخادم ومقارنة النتائج.

بمجرد تكوين ملف تعريف الفحص الخاص بك ، ستكون جاهزًا للمسح ، وهو ما تفعله فقط بالضغط على زر بدء المسح بجوار ملف تعريف المسح الذي تريد استخدامه. ستتغير لوحة القيادة لتظهر أن الفحص قيد التقدم.

يعتمد وقت إجراء الفحص على حجم محتويات الموقع. إذا كان الحجم كبيرًا نوعًا ما ، فقد يستغرق الفحص ساعات ، وقد تلاحظ انخفاضًا طفيفًا في أداء الموقع أثناء إجراء الفحص. لذا فإن نصيحتي هي إجراء عمليات المسح عندما يكون موقعك أقل انشغالًا.

مسح التقارير

عند انتهاء Detectify من فحص موقعك ، ستتلقى رسالة بريد إلكتروني تخبرك بذلك. في هذا البريد الإلكتروني ، سيخبرك بالوقت الذي استغرقته لإجراء الفحص ، وعدد المشكلات التي تم العثور عليها مجمعة حسب خطورتها ، ودرجة التهديد الإجمالية التي توضح مدى جودة أو سوء الموقع من حيث الأمان.

يمكنك معرفة عناوين URL التي تم الزحف إليها أثناء الفحص بالانتقال إلى تقرير الفحص الأخير والنقر على عنصر “عنوان URL الذي تم الزحف إليه” في قائمة نتائج المعلومات. يعرض قسم التفاصيل عدد عناوين URL التي حاول الزاحف الوصول إليها أثناء الفحص وعدد تلك التي تم تحديدها على أنها فريدة.

يوجد ارتباط تشعبي أسفل الصفحة لتنزيل ملف CSV يحتوي على جميع عناوين URL التي تم الزحف إليها ورمز الحالة لكل منها. يمكنك الاطلاع على هذه القائمة للتأكد من زيارة جميع الأجزاء المهمة في موقعك.

للتخطيط للمعالجة وللحصول على نتائج أكثر دقة في عمليات المسح المستقبلية ، تتيح لك Detectify وضع علامة على كل اكتشاف على أنه “ثابت” أو “خطر مقبول” أو “إيجابي كاذب”. إذا قمت بتمييز أحد النتائج بأنه “ثابت” ، فسيستخدم الماسح الضوئي نفس العلامة في التقارير المستقبلية ، لذلك لن تحتاج إلى التعامل معها مرة أخرى لإصلاحها. “الخطر المقبول” هو شيء لا ترغب في الإبلاغ عنه في كل عملية مسح ، بينما “إيجابية كاذبة” هي اكتشاف قد يشبه الثغرة الأمنية ، على الرغم من أنها ليست كذلك.

  Cloudflare SSL يكسر WordPress & Joomla وكيفية إصلاحه

آه! العديد من النتائج لإصلاحها والتي لم أفكر بها.

يوفر Detectify العديد من الصفحات والمشاهدات المختلفة لمشاهدة نتائج المسح. يتيح لك عرض “جميع الاختبارات” رؤية جميع نقاط الضعف التي اكتشفها الفحص. إذا كنت معتادًا على تصنيف OWASP ، فيمكنك التحقق من عرض OWASP لمعرفة مدى تعرض موقعك لأهم 10 ثغرات أمنية.

لضبط عمليات الفحص المستقبلية ، يمكنك استخدام خيارات القائمة البيضاء / السوداء الخاصة بـ Detectify لإضافة مناطق موقعك التي يمكن إخفاؤها نظرًا لعدم وجود روابط تشير إليها. أو يمكنك عدم السماح بالمسارات التي لا تريد أن يدخل إليها الزاحف.

جرد الأصول

تعرض صفحة جرد الأصول في Detectify قائمة بالأصول الجذرية – مثل المجالات المضافة أو عناوين IP – مع الكثير من المعلومات المفيدة التي ستساعدك على تأمين استثماراتك في مجال تكنولوجيا المعلومات. بجانب كل أصل ، تشير أيقونة زرقاء أو رمادية إلى ما إذا كانت مراقبة الأصول قيد التشغيل أو الإيقاف لها.

يمكنك النقر فوق أي من الأصول الموجودة في المخزون للحصول على نظرة عامة عليها. من هناك ، يمكنك فحص المجال الفرعي وملفات تعريف المسح الضوئي وتقنيات البصمات ونتائج مراقبة الأصول وإعدادات الأصول وغير ذلك الكثير.

نتائج مراقبة الأصول

يقوم بتجميع النتائج في ثلاث فئات وفقًا لشدتها: عالية ومتوسطة ومنخفضة.

تعكس النتائج عالية المستوى في الغالب المشكلات التي تتعرض فيها المعلومات الحساسة (على سبيل المثال ، بيانات اعتماد العميل أو كلمات المرور) للجمهور أو يحتمل أن تكون قابلة للاستغلال.

تظهر النتائج متوسطة المستوى المواقف التي تعرض فيها بعض المعلومات. على الرغم من أن هذا الكشف قد لا يكون ضارًا في حد ذاته ، إلا أن المتسلل يمكنه الاستفادة منه بدمجه مع معلومات أخرى.

أخيرًا ، تُظهر النتائج منخفضة المستوى المجالات الفرعية التي يمكن الاستيلاء عليها ويجب التحقق منها للتحقق من ملكيتها.

يوفر Detectify قاعدة معرفية بها الكثير من الإصلاحات ونصائح العلاج لمساعدتك على التعامل مع النتائج التي تمت مواجهتها أثناء الفحص. بمجرد اتخاذ إجراء لإصلاح المشكلات ، يمكنك إجراء فحص ثانٍ للتحقق مما إذا كانت المشكلات قد تمت معالجتها بشكل فعال. تتيح لك خيارات التصدير إنشاء ملفات PDF أو XML أو JSON مع تقارير النتائج لإرسالها إلى جهات خارجية أو خدمات مثل Trello أو JIRA.

  كيفية البحث عن أفضل عروض العطلات باستخدام Google Shopping

الحصول على أقصى استفادة من Detectify

يوصي دليل أفضل الممارسات في Detectify بإضافة اسم مجال بدون نطاقات فرعية للحصول على نظرة عامة على موقعك بالكامل إذا لم يكن كبيرًا جدًا. ولكن هناك حد زمني قدره 9 ساعات لإجراء فحص كامل ، وبعد ذلك ينتقل الماسح الضوئي إلى المرحلة التالية من العملية. لهذا السبب ، قد يكون من الجيد تقسيم نطاقك إلى ملفات تعريف مسح أصغر.

قد يظهر لك الفحص الأول أن بعض الأصول بها نقاط ضعف أكثر من غيرها. هذا سبب آخر – إلى جانب مدة الفحص – لبدء تقسيم المجال الخاص بك. يجب عليك تحديد المجالات الفرعية الأكثر أهمية وإنشاء ملف تعريف مسح ضوئي لكل منها.

انتبه إلى قائمة “اكتشاف المضيفين” ، حيث يمكن أن تعرض لك بعض النتائج غير المتوقعة. على سبيل المثال ، الأنظمة التي لم تكن تعرف أنها تمتلكها. هذه القائمة مفيدة لتحديد التطبيقات الأكثر أهمية التي تستحق فحصًا أكثر تعمقًا ، وبالتالي ملف تعريف مسح ضوئي فردي.

يقترح Detectify أنه من الأفضل تحديد نطاقات أصغر لكل ملف تعريف مسح لأنه يمكن أن يحصل على نتائج أكثر دقة واتساقًا. من المستحسن أيضًا تقسيم النطاقات من خلال الحفاظ على تقنيات أو أطر عمل متشابهة في كل ملف تعريف. بهذه الطريقة ، سيتمكن الماسح الضوئي من إجراء المزيد من الاختبارات ذات الصلة لكل ملف تعريف مسح ضوئي.

استنتاج

يعد جرد الأصول ومراقبتها أمرًا بالغ الأهمية لأي حجم وموقع ويب ، بما في ذلك التجارة الإلكترونية و SaaS وتجارة التجزئة والمالية والسوق. لا تحتفظ بأي أصول دون مراقبة ؛ جرب ال محاكمة لمدة 2 أسابيع لمعرفة كيف يمكن أن يساعدك في العثور على ثغرات لتحسين أمان تطبيقات الويب.