视频: å¿«ä¹é©¿ç«_åç½é å«ä¼ 6 (十月 2024)
如果您的企业像大多数企业一样依赖于您的网站,则应归功于自己,以确保它不存在安全漏洞。 ImmuniWeb是High-Tech Bridge的代码扫描仪,它为小型企业提供全面的漏洞评估,以发现站点问题,价格为639美元(直接)。
定位网站有很多原因。 网络犯罪分子可能会尝试使用恶意软件破坏您的网站,这些恶意软件会感染您的网站访问者并窃取其在线银行凭据。 也许有人不喜欢您的公司,想污蔑您的网站。 也许攻击者正在追逐数据库中存储的宝贵数据,而网站却很容易进入。无论如何,网站正受到越来越多的攻击,企业需要确保未打补丁的安全漏洞和配置错误不会使恶意攻击变得容易伙计们漫步。
High-Tech Bridge的评估人员使用ImmuniWeb扫描仪执行自动或手动扫描,并在综合报告中提供所有结果以及有关如何解决所发现问题的建议。 这些报告易于阅读且相当详细。 根据您的业务性质,ImmuniWeb的最终报告可能会有些落伍,但总的来说,获得该基准评估是无痛且有益的。 许多小型企业认为,漏洞评估是“大家伙”所担心的事情,但是ImmuniWeb显示,较小的组织也有能力认真对待安全性。
ImmuniWeb的重点是看生产站点。 我拼凑一个测试站点并没有多大意义,因为该站点不够强大并且结果是人为的。 我接触了两家彼此不同的小型企业,他们同意进行ImmuniWeb评估,只要他们有机会查看生成的报告并解决问题。 在第一个站点上,用户可以购买书籍,观看视频并参加社区论坛。 第二个站点基于WordPress,并提供文章,视频剪辑和播客。
ImmuniWeb门户
ImmuniWeb门户是与评估团队进行所有沟通的中心。 我注册了一个帐户,指定了站点的URL,并提供了基本信息。 虽然有一部分提供高级选项(例如说网站的某些部分是否隐藏在登录提示后),但我丝毫不理会:仅是我的联系方式,付款信息和选择日期在日历上开始评估。 就这么简单。
总体而言,该门户看上去有些过时,并且没有Web应用程序期望的那么光滑,但是,另一方面,它易于导航,并且可以完全完成其设计的工作。 当ImmuniWeb小组发送消息时,我看到了评估的状态并收到了警报。 我可以安排多个评估,并分别跟踪每个评估。 报告完成后,我也可以下载报告。
有一个古怪的怪癖激怒了我。 前缀下拉菜单是必填字段,未提供“ Ms”选项。 只是小姐或太太,所以,在整个审查过程中,我一直是“教授”。
ImmuniWeb评估
当测试开始时,以及完成后,我都会收到一封电子邮件通知。 还警告我该站点必须允许访问少数IP地址。 准备报告花了一两天。 我感谢定期的沟通。
对于第一次评估,有问题的站点(书店站点)托管在Amazon EC2上,而ImmuniWeb Scanner无法看到它。 可能有多种原因,例如入侵检测系统阻止访问,或某些其他系统限制自动扫描。 团队改用人工评估,无需我做任何事情即可完成。 扫描程序可以轻松地在云平台上看到第二个站点(WordPress博客)。
站点管理员表示,在评估过程中,站点性能没有出现任何问题。 这是一件非常好的事情,因为企业想要的最后一件事就是应对停机时间。
报告结果
报告准备好后,我下载了它们以查看站点的运行情况。 这两个站点都没有任何严重的缺陷,这可以缓解,但是都存在一些中低优先级的问题。 在某些领域,评估感觉有些过高,因为该报告未包含任何更深入的分析,例如对暴力攻击的脆弱性。 总体而言,该报告涵盖了许多基础知识,但其中一些个人条目感到有些挑剔,并且对该组织造成了失败。 在业务或站点体系结构的上下文中考虑时,有些事情显然不是问题。
例如,书店站点同时具有电子商务和Wiki元素,并且该报告重复地对该站点进行了分类,原因是任何人都可以创建页面,这是Wiki的最基本功能。 如果有一种方法可以指定报告中不包含某些特定内容,那就太好了,尤其是因为该站点是手动扫描的。 相反,ImmuniWeb采用了一种万能的方法,并且在这种情况下,它没有考虑到能够创建页面是一项功能,而不是问题。 我担心,如果小型企业遇到与用例不匹配的条目,他们将没有耐心在报告中寻找实际问题。
另一个“问题”是,两个站点都在其页面上显示了一些电子邮件地址,例如营销团队,销售人员,甚至是CEO。 扫描程序没有区分客户需要与企业联系的通用电子邮件地址和潜在的数据问题。 同样,从自动化系统中要提出很多要求,但这确实导致了报告的拥挤。
另一方面,对于WordPress网站,ImmuniWeb确定该网站基于WordPress,具有高级SQL注入漏洞。 大多数漏洞评估平台都提供CVE(常见漏洞和披露)标识符以及指向问题描述的链接,并将其留给站点管理员来确定问题出在哪里以及如何解决。 不是ImmuniWeb。 该报告为WordPress管理员提供了非常明确的说明:更新AdRotate插件。 这正是非技术管理员所需的补救详细信息类型,ImmuniWeb能够提供该信息。
这些报告还包含有关站点的SSL配置以及擅自占地者是否控制听起来相似的域的信息。 对于某些企业,后面的详细信息很有帮助。
迈出了坚实的一步
对于大多数企业而言,ImmuniWeb是一个好的开始。 如果您不知道您的安全状况是什么样的,那么值得进行此评估-尤其是在639美元的超低价格范围内。 尽管您仍然需要对报告的哪些部分与您的业务相关做出一些判断,但是所提供的信息易于阅读和理解,非技术管理员会喜欢这些信息。
