애플리케이션과 인프라가 보안 취약성으로부터 안전하다는 것을 어떻게 보장합니까?
Detectify는 취약성 검색, 호스트 검색 및 소프트웨어 핑거프린팅을 포함하는 완벽한 자산 인벤토리 및 모니터링 솔루션 제품군을 제공합니다. 이를 사용하면 쉽게 하이재킹될 수 있는 취약성 또는 하위 도메인을 나타내는 알 수 없는 호스트와 같은 불쾌한 놀라움을 피하는 데 도움이 될 수 있습니다.
많은 일이 잘못될 수 있으며 공격자는 이를 악용할 수 있습니다. 몇 가지 일반적인 사항은 다음과 같습니다.
- 불필요한 포트를 열어두기
- 안전하지 않은 하위 도메인, 민감한 파일, 자격 증명 노출
- .git 액세스 가능 유지
- XSS, SSRF, RCE와 같은 잠재적인 OWASP 상위 취약점
포트 스캐너를 수동으로 실행하고, 하위 도메인을 찾고, 취약성을 테스트하는 등의 작업을 수행할 수 있다고 토론할 수 있습니다. 한두 번 수행하는 경우에는 좋지만 시간이 많이 걸리고 비용 효율적이지 않습니다. 자주 해줘야 합니다.
그래서 해결책은 무엇입니까?
가다 자산 모니터링 탐지웹 애플리케이션의 자산을 모니터링하고 위에서 논의한 모든 항목과 온라인 비즈니스를 안전하게 유지하기 위한 기타 여러 검사에 대해 정기적인 스캔을 수행합니다 🛡️.
- Detectify는 윤리적 해커의 비공개 커뮤니티를 호스팅하여 취약성 연구를 크라우드 소싱하므로 실제 공격자의 관점에서 경고를 제공합니다.
- 다른 도구는 실제 보안보다 규정 준수에 더 가까운 서명 및 버전 테스트에 의존합니다. Detectify 해커는 보안 테스트를 구축하는 데 사용되는 실제 페이로드를 제공하여 시중의 다른 제품에서는 볼 수 없는 고유한 테스트 세트를 제공합니다.
- 결과? 검증 가능한 결과만 제공하는 보다 확실한 보안 테스트 방법
- 실제로 수정하기에 흥미로운 보안 발견!
그들의 블로그그들은 자산 모니터링 테스트 개발 시간이 해커에서 릴리스까지 최대 25분으로 단축되었다고 언급합니다.
재미있을 것 같나요?
어떻게 작동하는지 봅시다.
Detectify 자산 모니터링 작업을 시작하기 위한 첫 번째 단계는 모니터링할 도메인을 소유하고 있는지 또는 보안 검색을 수행할 권한이 있는지 확인하는 것입니다. 이는 Detectify가 공개하는 민감한 정보가 잘못된 사람의 손에 들어가지 않도록 하기 위해 수행하는 필수 단계입니다.
여러 가지 방법으로 도메인 확인을 수행할 수 있습니다. 특정 .txt 파일을 도메인의 루트 디렉터리에 업로드하거나, Google Analytics를 사용하거나, DNS 레코드를 통해 또는 웹 페이지의 메타 태그를 사용합니다. 셀프 서비스 방법이 작동하지 않는 경우 지원 확인 옵션도 있습니다.
목차
스캔 프로필 만들기
Detectify 설정의 두 번째 단계는 HTTP 또는 HTTPS 서비스가 실행되는 사이트의 모든 도메인, 하위 도메인 또는 IP 주소와 연결할 수 있는 검색 프로필을 만드는 것입니다.
검사 프로필을 설정한 후 다른 옵션으로 구성할 수 있습니다.
예를 들어 동일한 도메인에 연결되어 있지만 자격 증명이 다른 두 개의 프로필이 있을 수 있습니다. 이렇게 하면 동일한 서버에서 두 가지 다른 스캔을 수행하고 결과를 비교할 수 있습니다.
스캔 프로필이 구성되면 사용하려는 스캔 프로필 옆에 있는 스캔 시작 버튼을 누르기만 하면 스캔할 준비가 된 것입니다. 스캔이 진행 중임을 표시하도록 대시보드가 변경됩니다.
스캔을 수행하는 시간은 사이트 콘텐츠 볼륨에 따라 다릅니다. 볼륨이 큰 경우 검색에 몇 시간이 걸릴 수 있으며 검색이 진행되는 동안 사이트 성능이 약간 저하될 수 있습니다. 따라서 내 조언은 사이트가 덜 붐빌 때 스캔을 수행하는 것입니다.
스캔 보고서
Detectify가 사이트 검색을 마치면 이를 알리는 이메일을 받게 됩니다. 해당 이메일에는 스캔을 수행하는 데 걸린 시간, 심각도별로 그룹화된 발견된 문제의 수, 사이트의 보안 측면에서 얼마나 좋은지 또는 나쁜지를 보여주는 전반적인 위협 점수가 표시됩니다.
최신 검사 보고서로 이동하고 정보 결과 목록에서 “크롤링된 URL” 항목을 클릭하면 검사 중에 크롤링된 URL을 확인할 수 있습니다. 세부 정보 섹션에는 검색 중에 크롤러가 액세스를 시도한 URL 수와 그 중 고유한 것으로 식별된 URL 수가 표시됩니다.
크롤링된 모든 URL과 각 URL의 상태 코드가 포함된 CSV 파일을 다운로드할 수 있는 하이퍼링크가 페이지 하단에 있습니다. 이 목록을 통해 사이트의 모든 중요한 부분을 방문했는지 확인할 수 있습니다.
교정을 계획하고 향후 스캔에서 보다 정확한 결과를 얻기 위해 Detectify를 사용하면 각 결과에 “고정”, “허용된 위험” 또는 “가양성” 태그를 지정할 수 있습니다. 결과에 “Fixed” 태그를 지정하면 스캐너가 향후 보고서에서 동일한 태그를 사용하므로 수정을 위해 다시 처리할 필요가 없습니다. “허용된 위험”은 모든 스캔에서 보고되는 것을 원하지 않는 반면, “가양성”은 취약점이 아니지만 유사할 수 있는 결과입니다.
아! 내가 생각하지 못했던 수정해야 할 많은 발견.
Detectify는 스캔 결과를 볼 수 있는 다양한 페이지와 보기를 제공합니다. “모든 테스트” 보기를 통해 스캔에서 발견된 모든 취약점을 볼 수 있습니다. OWASP 분류에 익숙한 경우 OWASP 보기를 확인하여 사이트가 상위 10개 취약점에 얼마나 취약한지 확인할 수 있습니다.
향후 스캔을 미세 조정하려면 Detectify의 화이트/블랙리스트 옵션을 사용하여 링크가 없기 때문에 숨길 수 있는 사이트 영역을 추가할 수 있습니다. 또는 크롤러가 들어가지 않기를 원하는 경로를 허용하지 않을 수 있습니다.
자산 인벤토리
Detectify의 자산 인벤토리 페이지에는 IT 투자를 보호하는 데 도움이 되는 많은 유용한 정보와 함께 추가된 도메인 또는 IP 주소와 같은 루트 자산 목록이 표시됩니다. 각 자산 옆에 있는 파란색 또는 회색 아이콘은 자산 모니터링이 켜져 있는지 여부를 나타냅니다.
인벤토리의 자산을 클릭하여 개요를 볼 수 있습니다. 여기에서 하위 도메인, 스캔 프로필, 지문 기술, 자산 모니터링 결과, 자산 설정 등을 검사할 수 있습니다.
자산 모니터링 결과
심각도에 따라 높음, 중간 및 낮음의 세 가지 범주로 검색 결과를 그룹화합니다.
높은 수준의 조사 결과는 대부분 민감한 정보(예: 고객 자격 증명 또는 암호)가 대중에게 노출되거나 잠재적으로 악용될 수 있는 문제를 반영합니다.
중간 수준의 결과는 일부 정보를 노출하는 상황을 보여줍니다. 그 노출 자체는 해롭지 않을 수 있지만 해커는 이를 다른 정보와 결합하여 악용할 수 있습니다.
마지막으로 낮은 수준의 결과는 잠재적으로 인수될 수 있는 하위 도메인을 보여 주며 소유권을 확인하기 위해 확인해야 합니다.
Detectify는 스캔 중에 발견한 결과를 처리하는 데 도움이 되는 많은 수정 사항 및 해결 팁이 포함된 지식 기반을 제공합니다. 문제를 해결하기 위한 조치를 취한 후 두 번째 스캔을 실행하여 문제가 효과적으로 해결되었는지 확인할 수 있습니다. 내보내기 옵션을 사용하면 결과 보고서가 포함된 PDF, XML 또는 JSON 파일을 생성하여 Trello 또는 JIRA와 같은 타사 또는 서비스로 보낼 수 있습니다.
Detectify 최대한 활용하기
Detectify의 모범 사례 가이드에서는 너무 크지 않은 경우 전체 사이트의 개요를 얻기 위해 하위 도메인 없이 도메인 이름을 추가할 것을 권장합니다. 그러나 전체 스캔에는 9시간의 시간 제한이 있으며 그 후에 스캐너는 프로세스의 다음 단계로 이동합니다. 이러한 이유로 도메인을 더 작은 스캔 프로필로 나누는 것이 좋습니다.
첫 번째 스캔은 일부 자산이 다른 자산보다 더 많은 취약성을 가지고 있음을 보여줄 수 있습니다. 이것이 스캔 기간 외에 도메인 분석을 시작해야 하는 또 다른 이유입니다. 가장 중요한 하위 도메인을 식별하고 각각에 대한 검사 프로필을 생성해야 합니다.
예상치 못한 결과가 표시될 수 있으므로 “검색된 호스트” 목록에 주의를 기울이십시오. 예를 들어, 당신이 가지고 있는지 몰랐던 시스템. 이 목록은 보다 심층적인 스캔이 필요한 가장 중요한 애플리케이션과 개별 스캔 프로필을 식별하는 데 유용합니다.
Detectify는 더 정확하고 일관된 결과를 얻을 수 있으므로 각 스캔 프로필에 대해 더 작은 범위를 정의하는 것이 더 낫다고 제안합니다. 각 프로필 내에서 유사한 기술이나 프레임워크를 함께 유지하여 범위를 세분화하는 것도 좋은 생각입니다. 이렇게 하면 스캐너가 각 스캔 프로필에 대해 더 관련성 높은 테스트를 실행할 수 있습니다.
결론
자산 인벤토리 및 모니터링은 전자 상거래, SaaS, 소매, 금융 및 시장을 포함한 모든 규모와 웹 사이트에 중요합니다. 자산을 방치하지 마십시오. 시도 2주간의 시험 허점을 찾아 웹 애플리케이션 보안을 개선하는 데 어떻게 도움이 되는지 알아보십시오.