Tīmekļa un API drošība
Papildus tīkla slānim Vulny testē jūsu tīmekļa lietotnes un API attiecībā uz problēmām, kas noved pie reāliem pārkāpumiem.
Ko pārbauda Vulny tīmekļa lietotņu skeneris?
Vulny tīmekļa lietotņu skeneris testē jūsu vietnes attiecībā uz vājajām vietām, kas visbiežāk pārvēršas par reāliem pārkāpumiem. Tas droši pārbauda katru atrasto tīmekļa pakalpojumu attiecībā uz OWASP Top 10 klasēm — injekcijām, starpvietņu skriptošanu (XSS), bojātu piekļuves kontroli un drošības nepareizām konfigurācijām — līdzās atklātiem sensitīviem failiem, piemēram, dublējumkopijām, .git direktorijiem un vides failiem, trūkstošām vai vājām drošības galvenēm, noklusējuma lapām, kurām nekad nevajadzētu būt publiskām, un vājai TLS konfigurācijai. Noteikšanas veidnes tiek nepārtraukti atjauninātas, tāpēc skeneris turpina pārbaudīt tikko atklātās tīmekļa vājās vietas, nevis fiksētu sarakstu no tā palaišanas dienas. Katra problēma tiek atgriezta ar tās smagumu, ietekmēto URL un vienkāršā valodā rakstītu risinājumu, lai jūsu izstrādātāji to varētu reproducēt un novērst bez speciālām drošības zināšanām. Skenēšana ir neiznīcinoša — Vulny pārbauda vājās vietas esamību, to neizmantojot un nemainot jūsu datus.
Kas ir ēnu API atklāšana un kāpēc tas ir svarīgi?
Ēnu API ir galapunkti, kas pastāv, bet nav jūsu dokumentācijā — vecas API versijas, aizmirsti administrēšanas maršruti vai pakalpojumi, ko komanda palaida, nevienam nepasakot. Tie ir iecienīts mērķis tieši tāpēc, ka neviens tos neuzrauga. Vulny pārmeklē jūsu lietotni, lai izveidotu gan dokumentētu, gan nedokumentētu API galapunktu karti, pēc tam droši testē katru no tiem attiecībā uz autentifikācijas un autorizācijas trūkumiem un injekcijas kļūdām, tostarp SSRF, LFI, SSTI un ceļa šķērsošanu. Rezultāts ir jūsu reālās API virsmas karte — ieskaitot daļas, kuras bijāt aizmirsuši — un tieši tur, kur katrs galapunkts ir vājš. Tā kā mūsdienu pārkāpumi arvien biežāk notiek caur API, nevis priekšpusi, zināt savu patieso API inventāru ir puse cīņas: jūs nevarat aizsargāt galapunktu, par kura esamību nezināt. Atradumi tiek prioritizēti pēc reālā riska, lai bīstamākie atklājumi paceltos augšā.
Vai tīmekļa un API skenēšanu ir droši veikt?
Jā — Vulny tīmekļa un API skenēšana pēc savas uzbūves ir neiznīcinoša. Tā identificē un apstiprina vājās vietas, tās neizmantojot, nedzēšot datus un neizslēdzot jūsu pakalpojumus, un skenēšanas ņem vērā slodzes biežumu, tāpēc nepārslogo jūsu serverus. Tas padara to drošu nepārtrauktai veikšanai pret produkcijas vidi, nevis tikai uzturēšanas loga ietvaros. Jūs varat skenēt tikai aktīvus, kas jums pieder vai kurus jums ir skaidri atļauts testēt; palaižot skenēšanu, jūs apstiprināt šo atļauju, un Vulny pārbauda domēna īpašumtiesības pirms jebkura jauna mērķa pirmās skenēšanas. Tas saglabā skeneri gan juridiski, gan operatīvi drošu: jūs saņemat tāda paša dziļuma testēšanu, kādu mēģinātu veikt uzbrucējs, taču bez jebkāda riska pieejamībai vai datu integritātei, ko nestu reāls uzbrukums — vai neuzmanīgs skeneris.
Pārbaudiet to savā vietnē
Veiciet vienu skenēšanu drošībai, SEO un MI meklēšanai (GEO) – un saņemiet zīmolotu, ISO 27001 gatavu PDF atskaiti.
Skenēt manu vietni →