비디오: ImmuniWeb® AI Application Security Testing Platform Overview (십월 2024)
귀하의 비즈니스가 대부분의 비즈니스와 마찬가지로 웹 사이트에 의존하는 경우 보안 허점이 없는지 확인해야합니다. High-Tech Bridge의 코드 스캐너 인 ImmuniWeb은 소규모 사업체에게 저렴한 가격으로 639 달러 (직접)에 사이트 문제를 발견 할 수 있도록 철저한 취약성 평가를 제공합니다.
웹 사이트를 타겟팅하는 데는 여러 가지 이유가 있습니다. 사이버 범죄자는 사이트 방문자를 감염시키고 온라인 뱅킹 자격 증명을 도용하는 맬웨어로 사이트를 손상시킬 수 있습니다. 누군가가 귀하의 비즈니스를 좋아하지 않아 사이트를 손상시키고 싶을 수도 있습니다. 아마도 공격자는 데이터베이스에 저장된 귀중한 데이터를 따르고 웹 사이트는 쉬운 방법 일 것입니다. 그럼에도 불구하고 웹 사이트는 점점 더 공격을 받고 있으며, 비즈니스는 패치되지 않은 보안 결함과 구성 실수로 인해 악의를 타지 않는지 확인해야합니다. 사람들이 바로 걸어 들어갑니다.
High-Tech Bridge의 평가자는 ImmuniWeb 스캐너를 사용하여 자동 또는 수동 스캔을 수행하며, 발견 된 문제를 해결하는 방법에 대한 권장 사항과 함께 모든 결과를 종합 보고서로 제공합니다. 보고서는 읽기 쉽고 상당히 상세합니다. 비즈니스의 특성에 따라 ImmuniWeb의 최종 보고서는 약간의 느낌이 들지 만 전반적으로 기준 평가를 얻는 것이 고통스럽고 도움이됩니다. 많은 소규모 기업들은 취약성 평가가 "큰 사람들"에게 걱정할만한 것이라고 생각하지만, ImmuniWeb은 소규모 조직도 보안을 심각하게 고려할 여유가 있음을 보여줍니다.
ImmuniWeb의 전체 요점은 프로덕션 사이트를 보는 것입니다. 테스트 사이트를 함께 묶는 것은 사이트가 충분히 견고하지 않고 결과가 인공적이기 때문에 실제로 의미가 없습니다. 결과 보고서를보고 문제를 해결할 수있는 기회를 얻은 경우 ImmuniWeb 평가를 받기로 동의 한 서로 다른 두 개의 소규모 비즈니스에 연락했습니다. 첫 번째 사이트에서 사용자는 책을 구매하고 비디오를보고 커뮤니티 포럼에 참여할 수 있습니다. 두 번째 사이트는 WordPress와 기사 기사, 비디오 클립 및 팟 캐스트를 기반으로합니다.
ImmuniWeb 포털
ImmuniWeb Portal은 평가 팀과의 모든 커뮤니케이션의 중심입니다. 계정에 가입하고 사이트의 URL을 지정하고 기본 정보를 제공했습니다. 고급 옵션에 대한 섹션이 있지만 (예: 사이트의 일부가 로그인 프롬프트 뒤에 숨겨져 있는지 여부) 내 연락처 세부 정보, 결제 정보 및 날짜 선택과 같은 문제는 발생하지 않았습니다. 달력에서 평가를 시작합니다. 그렇게 쉽습니다.
전반적으로 포털은 약간 오래된 것으로 보이며 웹 응용 프로그램을 기대하는 것처럼 매끄럽지 않지만 반면에 탐색하기 쉽고 디자인 된 작업을 정확하게 수행합니다. 평가 상태를보고 ImmuniWeb 팀이 메시지를 보냈을 때 경고를 받았습니다. 여러 평가를 예약하고 각 평가를 개별적으로 추적 할 수 있습니다. 보고서가 완성되면 다운로드 할 수도 있습니다.
나를 괴롭힌 이상한 기이가 있었다. 필수 필드 인 접두사 드롭 다운 메뉴에는 "Ms"옵션이 없습니다. 그냥 미스 또는 부인 그래서, 검토 기간 동안, 나는 "교수"였습니다.
ImmuniWeb 평가
테스트가 시작되면 다시 이메일 알림을 받았습니다. 또한이 사이트는 소수의 IP 주소에 대한 액세스를 허용해야한다는 경고를 받았습니다. 보고서를 준비하는 데 하루나 이틀이 걸렸습니다. 나는 정기적 인 커뮤니케이션에 감사했다.
첫 번째 평가를 위해 문제의 사이트 (서점 사이트)가 Amazon EC2에서 호스팅되었으며 ImmuniWeb 스캐너가이를 볼 수 없었습니다. 침입 탐지 시스템이 액세스를 차단하거나 자동 검색을 제한하는 다른 시스템과 같은 여러 가지 이유가있을 수 있습니다. 팀은 수동 평가로 전환하여 아무 조치도 취하지 않았습니다. 스캐너는 클라우드 플랫폼에서도 두 번째 사이트 (WordPress 블로그)를 보는 데 문제가 없었습니다.
사이트 관리자는 평가 과정에서 사이트 성능에 문제가 없었습니다. 비즈니스에서 마지막으로 원하는 것은 다운 타임을 다루는 것이기 때문에 이것은 매우 좋은 것입니다.
보고서 결과
보고서가 준비되면 사이트가 어떻게 이동했는지 확인하기 위해 보고서를 다운로드했습니다. 어느 사이트에도 중대한 결함이 없었으며, 이는 경감 이었지만, 중간 및 낮은 우선 순위 문제가있었습니다. 보고서에 취약성 강인 공격과 같은 심층 분석이 포함되어 있지 않은 일부 영역의 경우 평가 수준이 너무 높았습니다. 전반적으로이 보고서는 많은 기본 사항을 다루었지만 개별 항목 중 일부는 조직에 약간의 귀찮은 느낌이 들었습니다. 비즈니스 또는 사이트 아키텍처와 관련하여 고려되지 않았을 때 분명히 문제가 된 것으로 표시되었습니다.
예를 들어 서점 사이트에는 전자 상거래와 위키 요소가 모두 포함되어 있으며이 보고서는 누구나 위키의 가장 기본적인 기능인 페이지를 만들 수 있다는 사실 때문에 사이트를 반복적으로 중단했습니다. 특히 사이트를 수동으로 스캔 했으므로 보고서에서 제외해야 할 특정 항목을 지정하는 방법이 있다면 좋을 것입니다. 대신, ImmuniWeb은 모든 크기에 맞는 접근 방식을 취했으며, 이 경우 페이지를 만들 수있는 기능은 문제가 아니라 기능이라는 점을 고려하지 않았습니다. 소기업이 사용 사례와 일치하지 않는 항목에 직면 한 경우 실제 문제를 찾는 보고서를 검토하는 데 인내심이 없을 것이라고 걱정합니다.
또 다른 "문제"는 스캔 한 두 사이트 모두 마케팅 팀, 영업 및 심지어 CEO와 같은 전자 메일 주소를 자신의 페이지에 표시한다는 사실이었습니다. 스캐너는 고객이 비즈니스에 연락해야하는 일반적인 전자 메일 주소와 잠재적 인 데이터 문제를 구분하지 않았습니다. 다시 한 번 말하지만, 자동화 된 시스템에 문의하는 것이 많지만 혼잡 한 보고서가 필요합니다.
한편, WordPress 사이트의 경우 ImmuniWeb은 WordPress를 기반으로하는 사이트에 높은 수준의 SQL 주입 취약점이 있음을 확인했습니다. 대부분의 취약성 평가 플랫폼은 CVE (Common Vulnerabilities and Exposures) 식별자와 문제 설명에 대한 링크를 제공하고 사이트 관리자가 문제의 위치와 해결 방법을 파악하도록합니다. ImmuniWeb이 아닙니다. 이 보고서는 WordPress 관리자에게 AdRotate 플러그인 업데이트에 대한 명확한 지침을 제공했습니다. 이것은 비 기술적 인 관리자가 필요로하는 일종의 치료 세부 정보이며, ImmuniWeb은 그 정보를 제공 할 수있었습니다.
보고서에는 또한 사이트의 SSL 구성에 대한 정보와 스쿼터가 유사한 사운드 도메인을 제어했는지 여부가 있습니다. 일부 비즈니스의 경우 후자의 세부 사항을 알고 있으면 도움이됩니다.
앞으로 나아갈 좋은 단계
대부분의 비즈니스에서 ImmuniWeb은 좋은 출발입니다. 보안 환경이 어떤지 잘 모르는 경우 특히 639 달러의 저렴한 가격으로 해당 평가를받을 가치가 있습니다. 보고서의 어느 부분이 귀하의 비즈니스와 관련이 있는지 판단해야하지만, 제공된 정보는 읽고 이해하기 쉬우 며, 기술이 아닌 관리자는 감사 할 것입니다.
