Video: ImmuniWeb® AI Application Security Testing Platform Overview (Tháng Chín 2024)
Nếu doanh nghiệp của bạn phụ thuộc vào trang web của bạn, vì hầu hết các doanh nghiệp đều làm điều đó, bạn nợ chính mình để đảm bảo rằng nó không bị lỗ hổng bảo mật. ImmuniWeb, một trình quét mã từ Cầu công nghệ cao, cung cấp cho các doanh nghiệp nhỏ một đánh giá lỗ hổng kỹ lưỡng để phát hiện ra các vấn đề của trang web với mức giá phải chăng là $ 639 (trực tiếp).
Có nhiều lý do để nhắm mục tiêu các trang web. Tội phạm mạng có thể cố gắng làm hỏng trang web của bạn bằng phần mềm độc hại sẽ lây nhiễm khách truy cập trang web của bạn và đánh cắp thông tin ngân hàng trực tuyến của họ. Có lẽ ai đó không thích doanh nghiệp của bạn và muốn làm mất trang web của bạn. Có lẽ những kẻ tấn công đang theo dõi dữ liệu quý giá được lưu trữ trong cơ sở dữ liệu của bạn và trang web là một cách dễ dàng. Bất kể, các trang web đang ngày càng bị tấn công và các doanh nghiệp cần đảm bảo các lỗi bảo mật chưa được vá và các lỗi cấu hình không dễ gây ra lỗi xấu Các bạn đi dạo ngay.
Những người đánh giá của High-Tech Bridge sử dụng máy quét ImmuniWeb để thực hiện quét tự động hoặc thủ công. Họ cung cấp tất cả các kết quả trong một báo cáo toàn diện, cùng với các khuyến nghị về cách khắc phục mọi vấn đề họ phát hiện ra. Các báo cáo dễ đọc và khá chi tiết. Tùy thuộc vào bản chất công việc kinh doanh của bạn, báo cáo cuối cùng của ImmuniWeb có thể cảm thấy một chút sai sót, nhưng, về tổng thể, việc đánh giá cơ bản đó không gây đau đớn và hữu ích. Nhiều doanh nghiệp nhỏ cho rằng đánh giá lỗ hổng là điều khiến các "ông lớn" lo lắng, nhưng ImmuniWeb cho thấy các tổ chức nhỏ hơn cũng có thể đủ khả năng để bảo mật một cách nghiêm túc.
Toàn bộ quan điểm của ImmuniWeb là xem xét một trang web sản xuất. Việc tôi kết hợp một trang web thử nghiệm sẽ không thực sự có ý nghĩa bởi vì trang web sẽ không đủ mạnh và kết quả sẽ là giả tạo. Tôi đã tiếp cận với hai doanh nghiệp nhỏ, rất khác biệt với nhau, những người đồng ý có một đánh giá của ImmuniWeb, miễn là họ có cơ hội xem các báo cáo kết quả và khắc phục các vấn đề. Trên trang web đầu tiên, người dùng có thể mua sách, xem video và tham gia vào một diễn đàn cộng đồng. Trang web thứ hai được dựa trên WordPress và các bài viết, video clip và podcast nổi bật.
Cổng thông tin điện tử
Cổng thông tin ImmuniWeb là trung tâm của tất cả các thông tin liên lạc với nhóm đánh giá. Tôi đã đăng ký tài khoản, chỉ định URL của trang web và cung cấp thông tin cơ bản. Mặc dù có một phần dành cho các tùy chọn nâng cao (chẳng hạn như cho biết các phần của trang web có bị ẩn sau dấu nhắc đăng nhập hay không), tôi không bận tâm đến bất kỳ điều nào: Chỉ chi tiết liên hệ của tôi, thông tin thanh toán và chọn ngày trên lịch để bắt đầu đánh giá. Nó là dễ dàng.
Nhìn chung, cổng thông tin trông hơi cũ kỹ và không bóng bẩy như bạn mong đợi các ứng dụng Web sẽ có, nhưng mặt khác, nó dễ dàng điều hướng và thực hiện chính xác công việc mà nó được thiết kế. Tôi đã thấy trạng thái của đánh giá và nhận được thông báo khi nhóm ImmuniWeb gửi tin nhắn. Tôi có thể lên lịch nhiều đánh giá và theo dõi từng đánh giá một cách riêng biệt. Tôi cũng có thể tải xuống các báo cáo khi chúng được hoàn thành.
Có một điều kỳ quặc khiến tôi khó chịu. Menu thả xuống tiền tố, là một trường bắt buộc, không cung cấp tùy chọn cho "Bà" Chỉ cần Hoa hậu hoặc Bà Vì vậy, trong suốt thời gian xem xét, tôi là một "Giáo sư"
Đánh giá của ImmuniWeb
Tôi nhận được một thông báo qua email khi bài kiểm tra bắt đầu và một lần nữa khi nó hoàn thành. Tôi cũng đã được cảnh báo rằng trang web sẽ phải cho phép truy cập một số địa chỉ IP. Phải mất một hoặc hai ngày để báo cáo sẵn sàng. Tôi đánh giá cao việc giao tiếp thường xuyên.
Đối với đánh giá đầu tiên, trang web được đề cập (trang web của nhà sách) đã được lưu trữ trên Amazon EC2 và Trình quét ImmuniWeb không thể nhìn thấy nó. Có thể có nhiều lý do cho điều đó, chẳng hạn như hệ thống phát hiện xâm nhập chặn truy cập hoặc một số hệ thống khác hạn chế quét tự động. Nhóm nghiên cứu chuyển sang đánh giá thủ công và hoàn thành mà tôi không phải làm gì cả. Máy quét không gặp khó khăn khi xem trang web thứ hai (blog WordPress), cũng trên nền tảng đám mây.
Các quản trị viên trang web cho biết không có lỗi hay vấn đề gì với hiệu suất trang web trong quá trình đánh giá. Đây là một điều rất tốt bởi vì điều cuối cùng mà một doanh nghiệp muốn là đối phó với thời gian chết.
Kết quả báo cáo
Khi các báo cáo đã sẵn sàng, tôi đã tải chúng xuống để xem các trang web đã hoạt động như thế nào. Không có trang web nào có bất kỳ sai sót nghiêm trọng nào, đó là một cứu trợ, nhưng cả hai đều có một số vấn đề ưu tiên trung bình và thấp. Đối với một số khu vực, việc đánh giá cảm thấy hơi quá cao, vì báo cáo không chứa bất kỳ phân tích sâu hơn nào, chẳng hạn như các cuộc tấn công lực lượng tấn công dễ bị tổn thương. Nhìn chung, báo cáo bao gồm rất nhiều điều cơ bản, nhưng một số mục riêng lẻ cảm thấy hơi khó chịu và một cú đánh hoặc bỏ lỡ cho tổ chức. Có những thứ được gắn cờ là vấn đề rõ ràng không được xem xét trong bối cảnh kinh doanh hoặc kiến trúc trang web.
Ví dụ: trang web của cửa hàng sách có cả yếu tố thương mại điện tử và wiki, và báo cáo đã lặp đi lặp lại trang này vì thực tế là bất kỳ ai cũng có thể tạo một trang mà tính năng cơ bản nhất của wiki. Sẽ thật tuyệt nếu có một cách để xác định một số thứ nhất định nên được bỏ khỏi báo cáo, đặc biệt là khi trang web đã được quét thủ công. Thay vào đó, ImmuniWeb đã sử dụng cách tiếp cận một kích cỡ phù hợp và tất cả đều không cân nhắc rằng việc có thể tạo một trang là một tính năng, không phải là vấn đề, trong trường hợp này. Tôi lo lắng rằng các doanh nghiệp nhỏ sẽ không đủ kiên nhẫn để xem qua báo cáo tìm kiếm các vấn đề thực tế nếu họ phải đối mặt với các mục không khớp với trường hợp sử dụng của họ.
Một "vấn đề" khác là việc cả hai trang web được quét đều hiển thị một số địa chỉ email trên trang của họ, chẳng hạn như cho nhóm tiếp thị, bán hàng và thậm chí là CEO. Máy quét không phân biệt giữa một địa chỉ email chung mà khách hàng cần liên hệ với doanh nghiệp và vấn đề dữ liệu tiềm ẩn. Một lần nữa, rất nhiều yêu cầu từ một hệ thống tự động, nhưng nó làm cho một báo cáo đông đúc.
Mặt khác, đối với trang web WordPress, ImmuniWeb đã xác định trang web, dựa trên WordPress, có lỗ hổng SQL SQL cấp độ cao. Hầu hết các nền tảng đánh giá lỗ hổng đều cung cấp số nhận dạng CVE (Các lỗ hổng và phơi nhiễm chung) và liên kết đến một mô tả về vấn đề, và để lại cho quản trị viên trang web để tìm ra vấn đề và cách khắc phục. Không phải ImmuniWeb. Báo cáo đã đưa ra hướng dẫn rất rõ ràng cho quản trị viên WordPress: cập nhật plugin AdRotate. Đây chính xác là loại chi tiết khắc phục mà các quản trị viên phi kỹ thuật cần và ImmuniWeb có thể cung cấp thông tin đó.
Các báo cáo cũng có thông tin về cấu hình SSL của trang web cũng như liệu các squatters có kiểm soát các miền nghe có vẻ tương tự hay không. Đối với một số doanh nghiệp, chi tiết sau là hữu ích để biết.
Một bước tiến tốt
Đối với hầu hết các doanh nghiệp, ImmuniWeb là một khởi đầu tốt. Nếu bạn không biết bức tranh bảo mật của mình trông như thế nào thì đáng để nhận được đánh giá đó, đặc biệt là với mức giá phải chăng là $ 639. Mặc dù bạn vẫn cần thực hiện một số cuộc gọi phán xét về những phần nào của báo cáo có liên quan đến doanh nghiệp của bạn, thông tin được cung cấp rất dễ đọc và dễ hiểu, điều mà các quản trị viên phi kỹ thuật sẽ đánh giá cao.
