Recenzie și evaluare imuniweb

Dacă afacerea dvs. se bazează pe site-ul dvs. web - așa cum fac majoritatea întreprinderilor - trebuie să vă asigurați că nu este plină de gauri de securitate. ImmuniWeb, un scaner de cod de la High-Tech Bridge, oferă întreprinderilor mici o evaluare completă a vulnerabilității pentru a descoperi problemele site-ului pentru un preț accesibil de 639 USD (direct).

Există multe motive pentru vizarea site-urilor web. Cyber-criminalii ar putea încerca să-ți corupă site-ul cu un malware care ți-ar infecta vizitatorii site-ului și le-ar fura acreditările bancare online. Poate că cineva nu-i place afacerea ta și vrea să-ți șteargă site-ul. Poate că atacatorii sunt după datele valoroase stocate în baza de date și site-ul web este un mod ușor de intrat. Indiferent, site-urile web sunt din ce în ce mai atacate, iar întreprinderile trebuie să se asigure că defectele de securitate neatacate și greșelile de configurare nu o fac ușoară pentru rău băieți să vă plimbați chiar înăuntru.

Evaluatorii High-Tech Bridge folosesc scanerul ImmuniWeb pentru a efectua o scanare automată sau manuală. Acestea oferă toate rezultatele într-un raport cuprinzător, precum și recomandări despre rezolvarea problemelor pe care le descoperă. Rapoartele sunt ușor de citit și destul de detaliate. În funcție de natura afacerii dvs., raportul final al lui ImmuniWeb se poate simți un pic neplăcut, dar, în general, obținerea acestei evaluări de bază este nedureroasă și utilă. Multe întreprinderi mici consideră că evaluarea vulnerabilității este o problemă pentru „băieții mari”, dar ImmuniWeb arată că organizațiile mai mici își pot permite să ia securitatea în serios.

Întregul punct al ImmuniWeb este să te uiți la un site de producție. Îmbinarea împreună a unui site de test nu ar avea sens, deoarece site-ul nu va fi suficient de robust și rezultatele ar fi artificiale. Am contactat două întreprinderi mici - foarte diferite unele de altele - care au fost de acord să facă o evaluare ImmuniWeb, cu condiția să aibă ocazia să vadă rapoartele rezultate și să rezolve problemele. Pe primul site, utilizatorii ar putea cumpăra cărți, viziona videoclipuri și participa la un forum comunitar. Al doilea site a fost bazat pe WordPress și a prezentat postări de articole, clipuri video și podcast-uri.

Portalul ImmuniWeb

Portalul ImmuniWeb este centrul tuturor comunicărilor cu echipa de evaluare. M-am înscris pentru un cont, am specificat adresa URL a site-ului și am furnizat informații de bază. Deși exista o secțiune pentru opțiunile avansate (cum ar fi să spui dacă porțiuni ale site-ului erau ascunse sau nu în spatele unui prompt de conectare), nu am deranjat niciuna din acestea: Doar datele mele de contact, informațiile de plată și selectarea unei date în calendar pentru a începe evaluarea. Este atât de ușor.

În general, portalul arată puțin datat și nu este la fel de clar pe cât te aștepți să fie aplicațiile Web, dar, pe de altă parte, este ușor de navigat și face exact treaba pentru care este proiectat. Am văzut starea evaluării și am primit alerte atunci când echipa ImmuniWeb a trimis un mesaj. Aș putea programa mai multe evaluări și aș putea urmări fiecare dintre ele separat. De asemenea, puteam descărca rapoartele după ce au fost completate.

A existat o singură ciudă care mă neliniștea. Meniul derulant prefix, care a fost un câmp obligatoriu, nu a oferit o opțiune pentru „doamna”. Doar domnișoară sau doamnă Deci, pe durata recenziei, am fost „prof.”

Evaluarea ImmuniWeb

Am primit o notificare prin e-mail când testul a început și din nou când s-a finalizat. Am fost, de asemenea, avertizat că site-ul va trebui să permită accesul pentru o mână de adrese IP. Pentru ca raportul să fie gata. Am apreciat comunicarea obișnuită.

Pentru prima evaluare, site-ul în cauză (site-ul librăriei) a fost găzduit pe Amazon EC2, iar Scanerul ImmuniWeb nu a putut să-l vadă. Pot fi mai multe motive pentru asta, cum ar fi un sistem de detectare a intruziunilor care blochează accesul sau un alt sistem care restricționează scanarea automată. Echipa a trecut la o evaluare manuală și a terminat fără a fi nevoie să fac nimic. Scanerul nu a avut probleme să vadă al doilea site (blogul WordPress), tot pe o platformă cloud.

Administratorii site-ului au declarat că nu au existat probleme sau performanțe în timpul evaluării. Acesta este un lucru foarte bun, deoarece ultimul lucru pe care și-l dorește o afacere este să se ocupe de timpul de inactivitate.

Rezultatele raportului

Când rapoartele erau gata, le-am descărcat pentru a vedea cum au decurs site-urile. Niciun site nu a avut defecte critice, ceea ce a fost o ușurare, dar ambele au avut probleme cu prioritate medie și mică. În unele domenii, evaluarea s-a simțit puțin prea înaltă, întrucât raportul nu conținea nicio analiză mai profundă, cum ar fi atacurile cu forța de violență. În general, raportul a acoperit o mulțime de elemente de bază, dar unele dintre înscrierile individuale s-au simțit puțin neplăcute și un succes sau o lipsă pentru organizație. Au fost lucruri semnalate ca fiind probleme care în mod clar nu au fost luate în considerare în contextul afacerii sau al arhitecturii site-ului.

De exemplu, site-ul librăriei avea atât elemente de comerț electronic, cât și wiki, iar raportul a dat site-ul în mod repetat pentru faptul că oricine putea crea o pagină - cea mai de bază caracteristică a unui wiki. Ar fi fost frumos dacă ar trebui să fie lăsat în afara raportului o modalitate de a specifica anumite lucruri, mai ales că site-ul a fost scanat manual. În schimb, ImmuniWeb a adoptat o abordare de dimensiuni unice și nu a luat în considerare faptul că posibilitatea de a crea o pagină a fost o caracteristică, nu o problemă, în acest caz. Îmi fac griji că întreprinderile mici nu ar avea răbdare să se analizeze în raportul care caută probleme reale dacă se confruntă cu intrări care nu se potrivesc cu cazul lor de utilizare.

O altă „problemă” a fost faptul că ambele site-uri scanate afișau câteva adrese de e-mail pe paginile lor, cum ar fi echipa de marketing, vânzările și chiar CEO-ul. Scanerul nu a diferențiat între o adresă de e-mail generică de care clienții trebuie să contacteze compania și o problemă potențială de date. Din nou, este foarte mult să ceri de la un sistem automat, dar creează un raport aglomerat.

Pe de altă parte, pentru site-ul WordPress, ImmuniWeb a identificat site-ul, bazat pe WordPress, avea o vulnerabilitate la nivel înalt la injecția SQL. Majoritatea platformelor de evaluare a vulnerabilității furnizează identificatorul CVE (Common Vulnerabilities and Exposures) și o legătură către o descriere a problemei și îl lasă la dispoziția administratorului site-ului pentru a afla unde este problema și cum să o rezolve. Nu ImmuniWeb. Raportul a dat instrucțiuni foarte clare pentru administratorul WordPress: actualizați pluginul AdRotate. Acesta este exact genul de detalii de remediere care au nevoie de administratorii non-tehnici și ImmuniWeb a putut furniza aceste informații.

Rapoartele au, de asemenea, informații despre configurația SSL a site-ului, precum și dacă squatters controlează domenii cu sunete similare. Pentru unele întreprinderi, ultimul detaliu este util de știut.

Un bun pas înainte

Pentru majoritatea afacerilor, ImmuniWeb este un început bun. Dacă nu aveți idee despre cum arată imaginea dvs. de securitate, merită să faceți această evaluare - mai ales la prețul eminamente accesibil de 639 USD. În timp ce va trebui să efectuați în continuare unele hotărâri judecătorești pentru ce părți ale raportului sunt relevante pentru afacerea dvs., informațiile furnizate sunt ușor de citit și de înțeles, ceea ce administratorii non-tehnici vor aprecia.