Tingkatkan Keamanan Aplikasi Web dengan Detectify Asset Monitoring

Bagaimana Anda memastikan aplikasi dan infrastruktur Anda aman dari kerentanan keamanan?

Detectify menawarkan rangkaian lengkap inventaris aset dan solusi pemantauan yang mencakup pemindaian kerentanan, penemuan host, dan sidik jari perangkat lunak. Penggunaannya dapat membantu menghindari kejutan yang tidak menyenangkan, seperti host tidak dikenal yang menunjukkan kerentanan atau subdomain yang dapat dengan mudah dibajak.

Banyak hal yang bisa salah, dan penyerang bisa memanfaatkannya. Beberapa yang umum adalah:

  • Menjaga port yang tidak perlu tetap terbuka
  • Mengekspos subdomain tidak aman, file sensitif, kredensial
  • Menjaga agar .git tetap dapat diakses
  • Potensi kerentanan teratas OWASP seperti XSS, SSRF, RCE

Anda dapat memperdebatkan bahwa saya dapat menjalankan pemindai port secara manual, menemukan sub-domain, menguji kerentanan, dll. Ini bagus jika Anda melakukannya sekali atau sesekali, tetapi akan memakan waktu dan tidak hemat biaya saat Anda harus sering melakukannya.

Jadi apa solusinya?

Pergi untuk Mendeteksi Pemantauan Asetyang memantau aset aplikasi web Anda dan melakukan pemindaian rutin untuk semua yang dibahas di atas dan banyak pemeriksaan lainnya untuk menjaga keamanan bisnis online Anda 🛡️.

  • Detectify menghosting komunitas pribadi peretas etis mereka sendiri untuk melakukan penelitian kerentanan crowdsource sehingga memberi Anda peringatan dari perspektif penyerang yang sebenarnya.
  • Alat lain mengandalkan tanda tangan dan pengujian versi yang lebih mirip kepatuhan daripada keamanan sebenarnya. Peretas Detectify menyediakan muatan aktual yang digunakan untuk membuat pengujian keamanan, memberikan serangkaian pengujian unik yang tidak terlihat pada produk lain di pasar.
  • Hasil? Cara pengujian keamanan yang lebih pasti yang hanya memberi Anda hasil yang dapat diverifikasi
  • Temuan keamanan yang sebenarnya menarik untuk diperbaiki!

Dalam mereka blogmereka menyebutkan bahwa waktu pengembangan tes Pemantauan Aset telah dipersingkat menjadi 25 menit sejak peretas merilisnya.

Kedengarannya menarik?

Mari kita lihat cara kerjanya.

Untuk mulai bekerja dengan Detectify Asset Monitoring, langkah pertama adalah memverifikasi bahwa Anda memiliki domain yang akan dipantau, atau Anda berwenang untuk melakukan pemindaian keamanan. Ini adalah langkah penting yang diambil Detectify untuk memastikan informasi sensitif yang diungkapkannya tidak akan jatuh ke tangan yang salah.

Kami dapat melakukan verifikasi domain dengan beberapa cara: dengan mengunggah file .txt tertentu ke direktori root domain Anda, dengan Google Analytics, melalui data DNS, atau dengan tag meta di halaman web. Ada juga opsi verifikasi berbantuan jika tidak ada metode swalayan yang cocok untuk Anda.

  Mana yang Lebih Murah: Mencetak Foto Sendiri atau Menggunakan Jasa Percetakan?

Membuat profil pindai

Langkah kedua dalam menyiapkan Detectify adalah membuat profil pemindaian, yang dapat dikaitkan dengan domain, subdomain, atau alamat IP apa pun dari situs Anda dengan layanan HTTP atau HTTPS yang berjalan di atasnya.

Setelah Anda menyiapkan profil pemindaian, Anda dapat mengonfigurasinya dengan opsi yang berbeda.

Misalnya, Anda dapat memiliki dua profil yang dikaitkan dengan domain yang sama tetapi dengan kredensial yang berbeda. Dengan begitu, Anda dapat melakukan dua pemindaian berbeda di server yang sama dan membandingkan hasilnya.

Setelah profil pindai Anda dikonfigurasi, Anda akan siap untuk memindai, yang Anda lakukan hanya dengan menekan tombol Mulai Pindai di sebelah profil pindai yang ingin Anda gunakan. Dasbor akan berubah untuk menunjukkan bahwa pemindaian sedang berlangsung.

Waktu untuk melakukan pemindaian tergantung pada volume konten situs. Jika volume agak besar, pemindaian mungkin memakan waktu berjam-jam, dan Anda mungkin melihat sedikit penurunan kinerja situs saat pemindaian sedang berlangsung. Jadi saran saya adalah melakukan pemindaian saat situs Anda kurang sibuk.

Pindai laporan

Ketika Detectify selesai memindai situs Anda, Anda akan menerima email yang memberi tahu Anda. Dalam email itu, Anda akan diberitahu tentang waktu yang diperlukan untuk melakukan pemindaian, jumlah masalah yang ditemukan dikelompokkan berdasarkan tingkat keparahannya, dan skor ancaman keseluruhan yang menunjukkan seberapa baik atau buruk situs tersebut dalam hal keamanan.

Anda dapat melihat URL apa yang dirayapi selama pemindaian dengan membuka laporan pemindaian terbaru dan mengeklik item “URL yang dirayapi” di daftar temuan informasi. Bagian Detail menunjukkan berapa banyak URL yang coba diakses perayap selama pemindaian dan berapa banyak di antaranya yang diidentifikasi sebagai unik.

Ada hyperlink di bagian bawah halaman untuk mengunduh file CSV yang berisi semua URL yang dirayapi dan kode status masing-masing. Anda dapat melihat daftar ini untuk memastikan semua bagian penting dari situs Anda telah dikunjungi.

  Cara Mengambil Tangkapan Layar Touch Bar Di Macbook Pro

Untuk merencanakan perbaikan dan mendapatkan hasil yang lebih akurat dalam pemindaian mendatang, Detectify memungkinkan Anda menandai setiap temuan sebagai “Tetap”, “Risiko yang diterima”, atau “Positif palsu”. Jika Anda menandai temuan sebagai “Tetap”, pemindai akan menggunakan tag yang sama di laporan mendatang, jadi Anda tidak perlu menanganinya lagi untuk perbaikan. “Resiko yang diterima” adalah sesuatu yang tidak ingin Anda laporkan pada setiap pemindaian, sedangkan “positif palsu” adalah temuan yang mungkin menyerupai kerentanan, meskipun sebenarnya tidak.

Ah! banyak temuan untuk diperbaiki yang tidak pernah saya pikirkan.

Detectify menawarkan banyak halaman dan tampilan berbeda untuk melihat hasil pemindaian. Tampilan “Semua tes” memungkinkan Anda melihat semua kerentanan yang ditemukan oleh pemindaian. Jika Anda terbiasa dengan klasifikasi OWASP, Anda dapat melihat tampilan OWASP untuk melihat seberapa rentan situs Anda terhadap 10 kerentanan teratas.

Untuk menyempurnakan pemindaian di masa mendatang, Anda dapat menggunakan opsi daftar putih/hitam Detectify untuk menambahkan area situs Anda yang dapat disembunyikan karena tidak ada tautan yang mengarah ke sana. Atau Anda dapat melarang jalur yang tidak Anda inginkan untuk dimasuki perayap.

Inventaris aset

Halaman inventaris aset Detectify menampilkan daftar aset root – seperti domain tambahan atau alamat IP – dengan banyak informasi berguna yang akan membantu Anda mengamankan investasi TI Anda. Di samping setiap aset, ikon biru atau abu-abu menunjukkan apakah Pemantauan Aset diaktifkan atau dinonaktifkan untuk aset tersebut.

Anda dapat mengeklik salah satu aset dalam inventaris untuk mendapatkan ikhtisarnya. Dari sana, Anda dapat memeriksa subdomain, memindai profil, teknologi sidik jari, temuan pemantauan aset, pengaturan aset, dan banyak lagi.

Temuan Pemantauan Aset

Ini mengelompokkan hasil temuan menjadi tiga kategori menurut tingkat keparahannya: tinggi, sedang, dan rendah.

Temuan tingkat tinggi sebagian besar mencerminkan masalah di mana informasi sensitif (misalnya, kredensial atau kata sandi pelanggan) diekspos ke publik atau berpotensi dapat dieksploitasi.

Temuan tingkat menengah menunjukkan situasi di mana ia memaparkan beberapa informasi. Meskipun eksposur itu sendiri mungkin tidak berbahaya, seorang peretas dapat memanfaatkannya dengan menggabungkannya dengan informasi lain.

  7 Aplikasi untuk Mengajari Anak Anda Matematika dengan Cara yang Menyenangkan

Terakhir, temuan tingkat rendah menunjukkan sub-domain yang berpotensi diambil alih dan harus diperiksa untuk memverifikasi kepemilikannya.

Detectify memberikan basis pengetahuan dengan banyak perbaikan dan tip perbaikan untuk membantu Anda menangani temuan yang ditemukan selama pemindaian. Setelah mengambil tindakan untuk memperbaiki masalah, Anda dapat menjalankan pemindaian kedua untuk memeriksa apakah masalah telah diperbaiki secara efektif. Opsi ekspor memungkinkan Anda membuat file PDF, XML, atau JSON dengan laporan temuan untuk dikirim ke pihak ketiga atau layanan seperti Trello atau JIRA.

Dapatkan hasil maksimal dari Detectify

Panduan praktik terbaik Detectify merekomendasikan penambahan nama domain tanpa subdomain untuk mendapatkan gambaran keseluruhan situs Anda jika tidak terlalu besar. Tetapi ada batas waktu 9 jam untuk seluruh pemindaian, setelah itu pemindai melompat ke tahap proses selanjutnya. Oleh karena itu, merupakan ide bagus untuk memecah domain Anda menjadi profil pemindaian yang lebih kecil.

Pemindaian pertama Anda mungkin menunjukkan kepada Anda bahwa beberapa aset memiliki lebih banyak kerentanan daripada yang lain. Itulah alasan lain – selain durasi pemindaian – untuk mulai menghancurkan domain Anda. Anda harus mengidentifikasi subdomain yang paling penting dan membuat profil pemindaian untuk masing-masing subdomain tersebut.

Perhatikan daftar “Host yang Ditemukan”, karena dapat menunjukkan kepada Anda beberapa temuan yang tidak terduga. Misalnya, sistem yang Anda tidak tahu Anda miliki. Daftar ini berguna untuk mengidentifikasi aplikasi paling penting yang memerlukan pemindaian lebih mendalam dan, oleh karena itu, profil pemindaian individual.

Mendeteksi menyarankan lebih baik untuk menentukan cakupan yang lebih kecil untuk setiap profil pemindaian karena bisa mendapatkan temuan yang lebih akurat dan konsisten. Ini juga merupakan ide bagus untuk memecah cakupan dengan menyatukan teknologi atau kerangka kerja serupa dalam setiap profil. Dengan cara ini, pemindai akan dapat menjalankan pengujian yang lebih relevan untuk setiap profil pemindaian.

Kesimpulan

Inventaris dan pemantauan aset sangat penting untuk semua ukuran dan situs web, termasuk eCommerce, SaaS, ritel, keuangan, dan pasar. Jangan menyimpan aset apa pun tanpa pengawasan; coba percobaan selama 2 minggu untuk melihat bagaimana ini dapat membantu Anda menemukan celah untuk meningkatkan keamanan aplikasi web.