الاختبار المقارن للماسحات الضوئية لأمان تطبيقات الويب. أمن المعلومات والحماية والإدارة الآمنة لموارد الويب المسح بحثًا عن أمان مورد الويب

لم تكن قضية أمان مواقع الويب أكثر حدة مما كانت عليه في القرن الحادي والعشرين. بالطبع ، هذا يرجع إلى الانتشار الشامل للإنترنت في جميع الصناعات والمناطق تقريبًا. كل يوم ، يجد المتسللون وخبراء الأمن العديد من نقاط الضعف الجديدة في مواقع الويب. تم إغلاق العديد منهم على الفور من قبل المالكين والمطورين ، بينما يظل البعض كما هو. هذا ما يستخدمه المهاجمون. ولكن بمساعدة موقع تم الاستيلاء عليه ، يمكن أن تسبب ضررًا كبيرًا لكل من المستخدمين والخوادم التي يستضيفها.

أنواع نقاط الضعف في موقع الويب

سوف تكون مهتمًا:

عند إنشاء صفحات الويب ، يرتبط الكثير منها التكنولوجيا الالكترونية. بعضها مثالي وتم اختباره على مدار الوقت ، وبعضها جديد ولم يتم تشغيله بعد. على أي حال ، هناك أنواع عديدة من الثغرات الأمنية بالموقع:

  • XSS. كل موقع له أشكال صغيرة. بمساعدتهم ، يقوم المستخدمون بإدخال البيانات والحصول على بعض النتائج أو التسجيل أو إرسال الرسائل. من خلال استبدال القيم الخاصة في هذه النماذج ، يمكنك إثارة تنفيذ نص برمجي معين ، مما قد يتسبب في انتهاك سلامة الموقع وتعريض البيانات للخطر.
  • حقن SQL. شائع جدا و طريقة فعالةالوصول إلى البيانات السرية. يمكن أن يحدث هذا إما من خلال شريط العناوين أو من خلال النماذج. يتم تنفيذ العملية عن طريق استبدال القيم التي قد لا يتم تصفيتها بواسطة البرامج النصية والاستعلام عن قاعدة البيانات. ومع المعرفة الصحيحة ، يمكن أن يتسبب ذلك في خرق أمني.

الشكل 2. مظهرتطبيقات الويب Mutillidae

منهجية الاختبار

الآن بعد أن أعددنا اختبار موقف، يمكنك التفكير في عملية الاختبار ، والتي ستكون تسلسل الإجراءات التالي:

  1. تحضير تطبيق اختبار للمسح الضوئي
  2. إعداد ماسح ضوئي للأمان
  3. بدء عملية المسح بالإعدادات المحددة
  4. تحليل النتائج وإدخالها في جدول
نوع الضعف وجد وجدت خطأ وقت

الجدول 1. مسح النتائج

بعد إجراء جميع سلسلة الاختبارات لجميع الماسحات الضوئية ، سندخل النتائج في جدول ملخص.

مسار المسار / تضمين الملف المحلي

التعرض للبيانات الحساسة

الوقت المنقضي

تم الكشف عن خطأ

 كشف كاذب

تم الكشف عن خطأ

تم الكشف عن خطأ

تم الكشف عن خطأ

الجدول 2. جدول موجز للنتائج

في عملية إجراء الاختبارات ، سنواجه عدة مشاكل:

  1. تختلف أجهزة فحص الأمان في إعداداتها ووظائفها. من أجل عكس الميزات المحددة للماسحات الضوئية في اختبارنا ، سنقوم بإجراء العديد من عمليات الفحص بتكوينات إعدادات مختلفة للحصول على نتيجة أفضل (إن أمكن).
  2. أجهزة فحص الأمان إما متخصصة في نوع معين من الثغرات الأمنية أو يمكنها اكتشاف مجموعة واسعة من الثغرات الأمنية. إذا كان الماسح الضوئي متخصصًا في نوع معين من الثغرات الأمنية ، فيجب عليه تحديدها بشكل أكثر جودة ، وإلا فإننا سنؤكد انتباه خاصعلى ثغرة أمنية غير محددة أو تم تحديدها بشكل خاطئ بواسطة ماسح ضوئي متخصص.
  3. أنواع نقاط الضعف. نظرًا لوجود عدد كبير من أنواع الثغرات الأمنية ، نحتاج إلى تحديد الأنواع التي سنعكسها في التقرير النهائي. في هذه المسألةسنسترشد بتصنيف OWASP لأفضل 10 نقاط لعام 2013 ونختار خمسة أنواع من الثغرات الأمنية من هذه القائمة.
  4. عدد نقاط الضعف في تطبيق الويب. لا يمكننا معرفة عدد الثغرات الأمنية الموجودة في تطبيق الويب التجريبي مسبقًا ، لذلك بالنسبة للعدد الإجمالي ، سنأخذ مجموع نقاط الضعف التي تم العثور عليها بواسطة جميع الماسحات الضوئية.

إعداد الماسحات الضوئية وبدء الاختبار

SkipFish

هذا الماسح الضوئي عبارة عن أداة مؤتمتة بالكامل مع واجهة وحدة تحكم ولديه عدد صغير من الإعدادات ، مع قائمة كاملةوالتي يمكن العثور عليها باستخدام الأمر skipfish -h. لبدء عملية المسح ، يقدم المؤلف ثلاثة خيارات أساسية:

  1. skipfish -W / dev / null -LV [... خيارات أخرى ...] - في وضع التشغيل هذا ، يقوم الماسح بإجراء اجتياز مرتب للهدف ويعمل ، من حيث المبدأ ، مثل الماسحات الأخرى. لا يوصى به بسبب التغطية المحدودة لموارد الهدف ، لكن عملية المسح تستغرق وقتًا أقل بكثير مقارنة بالأوضاع الأخرى ؛
  2. skipfish -W Dictionary.wl -Y [... خيارات أخرى ...] - في هذا الوضع ، يقوم الماسح الضوئي فقط بإزعاج أسماء الملفات أو الامتدادات. يُفضل هذا الوضع إذا كان هناك حد زمني وكانت النتيجة مقبولة ؛
  3. skipfish -W Dictionary.wl [... خيارات أخرى ...] - في هذا الوضع ، يمر الماسح عبر جميع أزواج الأسماء والامتدادات الممكنة. يعد هذا الوضع أبطأ بكثير من الوضع السابق ، ولكنه في نفس الوقت يقوم بإجراء تحليل أكثر تفصيلاً لتطبيق الويب. يوصي مطور الماسح الضوئي باستخدام هذا الخيار افتراضيًا.

Skipfish -W Dictionary.wl -o ~ / report / http: // target /

W - تحديد المسار إلى القاموس الذي سنستخدمه ؛

س - حدد الدليل الذي سنحفظ فيه التقرير.

نوع الضعف وجد وجدت خطأ وقت
حقن SQL 6 5 3 س 18 د
XSS 11 2
CSRF 1 1
3 2
التعرض للبيانات الحساسة 128 0

الجدول 3. نتائج مسح SkipFish

الشكل 3. الانتهاء من عملية المسح SkipFish

تعاملت SkipFish بشكل جيد مع المهمة ، على الرغم من العدد الكبير من الإيجابيات الخاطئة. وتجدر الإشارة إلى أنه على الرغم من أن الماسح الضوئي لا يحتوي على واجهة رسومية ، إلا أنه من السهل جدًا إعداده. أيضًا ، بالإضافة إلى النتائج الموضحة في الجدول ، وجد SkipFish الكثير معلومات مثيرة للاهتمامحول تطبيق ويب ، من خلال التحليل الذي يمكنك تحسين أمان التطبيق

SQLMap

الغرض الرئيسي من هذا الماسح هو البحث عن ثغرات SQL واستغلالها تلقائيًا. يحتوي على عدد كبير من الإعدادات التي تسمح لك بتحسين عملية البحث عن الثغرات الأمنية واستغلالها. لبدء المسح ، يمكنك استخدام المعالج: sqlmap --wizard أو أبسط أمر: sqlmap -u "http://www.target.com/vuln.php؟id=1". سنحاول أتمتة عملية البحث بالكامل وتعظيم النتيجة. سنبدأ عملية المسح بطريقتين:

sqlmap –u "http: // target /" -o –v 4 - الزحف = 4 - المستوى = 3 - المخاطرة = 2 - الأشكال - الدفعة - dbms = mysql sqlmap –l ~ / burplog.log -o –v 4 - الدفعة - المستوى = 3 - المخاطرة = 2 --dbms = mysql

في الطريقة الأولى ، نستخدم زاحف SQLMap المدمج ، وفي الطريقة الثانية ، نستخدم ملف سجل Burp Suite. الآن دعنا نعلق على المعلمات التي استخدمناها:

ش - بعد معلمة معينةتحديد عنوان هدف المسح ؛

L - بعد هذه المعلمة ، حدد المسار إلى الملف باستخدام سجلات Burp Suite (أو WebScarab) ؛

O - تمكين التحسين ؛

V - ضبط مستوى تفاصيل المعلومات المعروضة ؛

-dbms - قم بتثبيت نظام إدارة قواعد البيانات (DBMS) الذي يستخدمه هدفنا ؛

- الأشكال - تمكن من تحليل وتحليل النماذج الواردة في تطبيق الاختبار ؛

--crawl - قم بتشغيل الزاحف المدمج الذي سيفحص هدفنا ؛

- دفعة - نظرًا لأننا قررنا أتمتة عملية البحث والاستغلال بالكامل ، فسوف نستخدم هذه المعلمة ، فهي تفرض على SQLMap تنفيذ جميع الإجراءات افتراضيًا ، ولا نطلب من المستخدم اتخاذ قرار ؛

-المستوى ، -المخاطرة- زيادة عدد الاختبارات المستخدمة ، مع زيادة وقت المسح بشكل ملحوظ.

نوع الضعف وجد وجدت خطأ وقت
حقن SQL 14 0 4 س 27 د
XSS - -
CSRF - -
مسار المسار / تضمين الملف المحلي - -
التعرض للبيانات الحساسة - -

الجدول 4. نتائج مسح SQLMap

الشكل 4. استغلال ثغرة SQL المكتشفة

كما كتبنا أعلاه ، فإن SQLMap هي أداة متخصصة للبحث و استغلال SQLنقاط الضعف ، فقد تعامل مع هذه المهمة بشكل جيد ، على الرغم من أن الأتمتة الكاملة لم تعط مثل هذه النتيجة. تمكنا من تحقيق هذه النتيجة بفضل التحليل اليدوي. تجدر الإشارة إلى أن وقت الاختبار طويل جدًا ، نظرًا لأننا كنا نبحث عن نوع واحد فقط من الثغرات الأمنية. يعد إعداد هذا الماسح الضوئي بدون معرفة تفصيلية بقائمة غنية من الخيارات هو الأصعب من بين جميع الماسحات الضوئية المعروضة في هذه المقالة.

ماسح ثغرات الويب Acunetix (Acunetix WVS)

هذه الأداة هي الممثل الوحيد المدفوع الذي يعمل فقط على منصة ويندوز، في اختباراتنا. يحتوي الماسح الضوئي على واجهة رسومية ووحدة تحكم. لبدء عملية المسح ، تحتاج إلى استخدام المعالج ، الذي سيطالبك باستخدام كليهما الإعدادات القياسيةومكونة خصيصا.

لذلك ، لنبدأ في إعداد الماسح الضوئي:

  1. في الخطوة الأولى ، يُعرض علينا إدخال العنوان الهدف ، أو تحديد ملف بهيكل الموقع ، والذي تم الحصول عليه باستخدام أداة Site Crawler ، وسوف نختار الخيار الأول
  2. في الخطوة الثانية ، علينا تحديد ملف تعريف مسح ضوئي ، فهناك الكثير منها ، وسنختار ملف التعريف "الافتراضي" ، لأنه يحتوي على اختبارات للبحث عن الكل الأنواع المتاحةنقاط الضعف وإعدادات الفحص ، والتي سنتركها افتراضيًا
  3. في الخطوة الثالثة ، يحاول الماسح تحديد التقنيات التي يستخدمها الهدف ويعرض القيم المستلمة ، بينما يمكنك اختيارها بنفسك أو تعيين القيمة على "غير معروف". في حالتنا ، تم تحديد جميع القيم بشكل صحيح ، وسنتركها دون تغيير.
  4. الخطوة التالية هي اختيار طريقة المصادقة ، بما أننا لسنا بحاجة إليها ، سنتخطى هذه الخطوة
  5. في الخطوة الأخيرة ، يُقترح حفظ الإعدادات وبعد النقر فوق "إنهاء" تبدأ عملية المسح
نوع الضعف وجد وجدت خطأ وقت
حقن SQL 1 0 2 س 13 د
XSS 31 0
CSRF 19 0
مسار المسار / تضمين الملف المحلي 4 3
التعرض للبيانات الحساسة 231 0

الجدول 5. نتائج مسح Acunetix WVS

الشكل 5. الانتهاء من عملية مسح Acunetix WVS

سهولة الإعداد والحد الأدنى من الإيجابيات الخاطئة ، هذا ما يمكن قوله عن هذه الأداة. بالإضافة إلى النتائج في جدول البيانات ، جمعت Acunetix WVS الكثير من المعلومات المتعلقة بهيكل تطبيق الويب وبيانات المستخدم الحساسة. تتمثل إحدى الميزات المفيدة للماسح في توفير معلومات مفصلة حول الثغرة الأمنية وطرق التخلص منها ، بالإضافة إلى روابط إلى الموارد التي تحتوي على معلومات شاملة.

إطار عمل التدقيق والهجوم على تطبيقات الويب (W3AF)

إطار عمل بواجهة رسومية ووحدة تحكم تتيح لك البحث عن الثغرات الأمنية واستغلالها في تطبيق ويب. بفضل مجموعة كبيرة من المكونات الإضافية ، يمكنك ضبط عملية المسح بدقة تامة. أيضا ، w3af لديه قوالب جاهزة للمسح ، يحتاج المستخدم فقط إلى إدخال العنوان الهدف.

عند إعداد الزاحف ، سنعتمد على القوالب "full_audit" و "full_audit_spider_man" ، يكمن الاختلاف بينهما في حقيقة أن النموذج الأول يستخدم web_spider ، وهو عنكبوت ويب كلاسيكي ، كمكوِّن إضافي للزاحف ، بينما يستخدم الرجل العنكبوت الثاني الوكيل المحلي. لأغراضنا ، لن نحتاج إلى تمكين المكونات الإضافية "bruteforce" افتراضيًا في القوالب المحددة ، لذلك سنقوم بإيقاف تشغيلها. يبقى تكوين المكونات الإضافية من مجموعة "الإخراج". بشكل افتراضي ، يتم إخراج المعلومات المجمعة فقط إلى وحدة التحكم ، وهو أمر غير مناسب جدًا لتحليل النتائج ، لذلك سنقوم بتمكين المكون الإضافي "html_file" ، والذي يسمح لك بحفظ جميع المعلومات الواردة في ملف HTML.

الآن يمكنك إدخال العنوان الهدف والبدء في المسح.

نوع الضعف وجد وجدت خطأ وقت
حقن SQL 4 2 2 س 57 د
XSS 3 1
CSRF 25 0
مسار المسار / تضمين الملف المحلي 4 3
التعرض للبيانات الحساسة 17 0

الجدول 6. نتائج مسح w3af

الشكل 6. تفاصيل الاستعلام الذي يحتوي على ثغرة أمنية في SQL

ليس من أجل لا شيء أن هذه الأداة هي إطار عمل ، مع مهارات ضبط معينة يمكنها جمع معلومات شاملة حول الهدف في وقت معقول. لكن هذا لا يخلو من العيوب ، في عملية الاختبار واجهنا مشكلة في استقرار الماسح الضوئي ، والتي لا يمكن إلا أن تزعجها.

نتائج الإختبار

ماذا أظهر اختبارنا؟ إذا كانت لديك مهام تتعلق بإجراء تدقيق أمان لتطبيق الويب ، فيجب عليك تخزين الصبر والوقت. في الجدول أدناه ، يمكنك الانتباه إلى الوقت الذي استغرقته عملية المسح لكل أداة من الأدوات. إنها ليست كبيرة جدًا ، والسبب هو كما يلي: أولاً ، كان تطبيق الاختبار والماسحات الضوئية الأمنية على نفس الجهاز المادي ، وثانيًا ، هذه المرة لا تتضمن عملية تحليل النتائج التي تم الحصول عليها ، في الظروف الحقيقية ، وقت الاختبار سوف يستغرق وقتا أطول بكثير. كما لاحظت بالفعل ، تتباين النتائج التي توفرها الماسحات الضوئية: فقد قامت بعض أجهزة المسح بعمل أفضل في العثور على ثغرة أمنية معينة ، وبعضها قدم المزيد معلومات مفصلةحول التطبيق ككل. في هذا الصدد ، عند تدقيق الأمان ، يجب ألا تعتمد على أداة واحدة فقط ، بل يجب عليك استخدام مجموعة معقدة من الأدوات المختلفة ، بما في ذلك التحليل اليدوي لتطبيق الويب. تجدر الإشارة أيضًا إلى أن تقنيات الويب تتطور بوتيرة سريعة ، وأن الماسحات الضوئية الأمنية لا تواكب تطورها ، لذلك قبل إجراء التدقيق ، يجب أن تتعرف على التقنيات المستخدمة في تطبيق الويب الذي تم اختباره بالتفصيل من أجل حدد مجموعة من الأدوات والتقنيات بدقة أكبر.

حقن SQL

الموقع أشبه بحديقة: فكلما زاد العمل المستثمر فيه ، زادت سخاء الثمار. ولكن هذا يحدث أيضًا عندما يخرج موقع مائي ومخصب ومُعد بعناية من نتائج البحث بشكل مفاجئ. ما هذا؟ مؤامرات المنافسين؟ عادةً ما يكون السبب أكثر شيوعًا - فقد بدأت الفيروسات في مورد الويب الخاص بك.

لذا ، من أين تأتي الفيروسات على مواقع الويب ، وما هي أعراض التعرف عليها ، وكيفية التحقق من بنات أفكارك المفضلين عن وجود برامج ضارة وكيفية حمايتها من كل هذه الأرواح الشريرة.

مصادر وعلامات وأهداف العدوى الفيروسية لموارد الإنترنت

طرق دخول الفيروسات إلى مواقع الويبأقل بكثير ، على سبيل المثال ، من الأجهزة. بتعبير أدق ، لا يوجد سوى 3 منهم:

  • جهاز كمبيوتر مصاب يتم تحميل الملفات منه إلى الموقع. يمثل هذا العامل أكثر من 90٪ من الحالات.
  • اقتحام. يمكن أن يكون مستهدفًا ، على سبيل المثال ، إذا تم "طلب" منك من قبل منافسين في العمل أو جذب المورد بطريقة ما انتباه المتسللين ، وبشكل عشوائي - لأنه لم يتم إغلاقه جيدًا.
  • نقاط الضعف في CMS وأنظمة الخادم والمكونات الإضافية والبرامج الأخرى التي تتعامل معها المواقع.

كيف تظهر الفيروسات وجودها:

  • عدد الزوار يتناقص بشكل حاد وغير معقول. يفقد مورد الويب مناصبه أو يخرج من نتائج البحث محركات البحث. عندما تحاول فتحه في المتصفح ، بدلاً من الصفحات ، تظهر تحذيرات هائلة ، مثل هذا:
  • يتغير تصميم الصفحات تلقائيًا. هناك لافتات إعلانية "يسارية" وكتل وروابط ومحتوى لم تنشره. إذا تم إجراء مدفوعات نقدية على المورد ، فقد تتغير تفاصيل الدفع.
  • وظائف الموقع معطلة ، الروابط لا تفتح ما ينبغي لها.
  • يشتكي الزوار من أن مضادات الفيروسات تقسم على موقعك أو أنه بعد فتحه ظهرت علامات الإصابة على أجهزتهم.

ما هو النشاط الخبيث للفيروسات على موارد الإنترنت:

  • في سرقة المحتوى وقواعد البيانات وحركة المرور والمال.
  • في إصابة أجهزة الزوار وغيرها من المواقع المعرضة للخطر على نفس الخادم.
  • في إعادة توجيه زوارك إلى الموارد التي يحتاجها المهاجمون ، على سبيل المثال ، عن طريق تثبيت مداخل بها روابط بريد عشوائي أو إضافة رمز خبيث لإعادة توجيه الهاتف المحمول إلى htaccess. يقوم هذا الرمز بإعادة التوجيه إلى المواقع الأخرى فقط أولئك الذين جاءوا معها أجهزة محمولة.
  • في تعزيز مواقع البحث لشخص ما على نفقتك الخاصة.
  • إرسال رسائل غير مرغوب فيها وضارة من بريدك. غالبًا بهدف إضافة بريدك الإلكتروني إلى قواعد بيانات البريد لمرسلي البريد العشوائي الضارين بحيث لا يتلقى المشتركون والمستخدمون رسائل منك.
  • في التعطيل الكامل أو الجزئي لمورد الويب ، وكذلك في إزالته المتعمدة من فهرسة البحث(إخفاء الهوية).
  • في تثبيت قذائف الويب والأبواب الخلفية على الخادم ، والتي يحصل المهاجم من خلالها على مساعدة الوصول عن بعدإلى نظام ملفات الخادم.

طرق تشخيص أمن الموقع

هناك عدة طرق لفحص موقع الويب بحثًا عن الفيروسات. الخيار الأسرع والأسهل ، ولكن السطحي بالأحرى ، هو التحقق من برامج مكافحة الفيروسات عبر الإنترنت. يجب أن تبدأ به دائمًا عندما يكون هناك أدنى شك في وجود برامج ضارة.

إذا كشف فحص الموقع عبر الإنترنت عن وجود تهديد ، فمن المستحسن إجراء فحص كامل لكل ملف باستخدام برامج مكافحة الفيروسات.

بالإضافة إلى ذلك ، يمارس بعض مشرفي المواقع الطريقة اليدوية للمسح بحثًا عن الفيروسات - فتح وعرض كل ملف مشبوه بحثًا عن إشارات مرجعية. يتم البحث عن طريق التوقيعات (أجزاء التعليمات البرمجية التي توجد غالبًا في الكائنات الخبيثة) ومن خلال مقارنة الملفات التي يُحتمل أن تكون مصابة بالملفات النظيفة. إذا كانت لديك المعرفة والخبرة ، يمكن أن تكون هذه الطريقة هي الأكثر موثوقية ، لأنه حتى أقوى برامج مكافحة الفيروسات والأكثر تصنيفًا تفوت التهديدات.

غالبًا ما تكون مشكلات الأمان على مواقع الويب هي أول ما تلاحظه محركات البحث:

  • ياندكسيعرض معلومات عنها في صفحة "التشخيصات" - "الأمان والانتهاكات".

إذا تم اكتشاف برامج ضارة ، فاتبع توصيات Yandex و Google للعثور عليها والقضاء عليها. ثم تحقق من الموقع باستخدام برامج الزحف عبر الإنترنت.

الماسحات الضوئية عبر الإنترنت لفحص مواقع الويب بحثًا عن الفيروسات والقرصنة

i2p

i2p هي خدمة مجانية بسيطة باللغة الروسية لـ فحص سريعموارد الويب - في صفحات كاملة أو فردية للمحتوى الضار. يستغرق التحليل بضع ثوانٍ ، لكن النتيجة ، للأسف ، ليست موثوقة دائمًا. يمكن أن تكون "الاشتباه في وجود فيروس" ، كما في المثال أدناه ، غير ضار تمامًا. هم فقط بحاجة إلى مزيد من الاهتمام.

واحدة من أشهر وأشهر ماسحات الفيروساتمتصل. يتحقق من موارد الإنترنت (بالإضافة إلى أي ملفات) باستخدام 65 محركًا مضادًا للفيروسات ، بما في ذلك Kaspersky و Dr.Web و ESET و Avast و BitDefender و Avira وما إلى ذلك. يعرض سمعة الموقع المحدد وفقًا لتصويت مجتمع Virustotal. واجهة الخدمة تعمل فقط اللغة الإنجليزية.

لفحص مورد ويب على VirusTotal ، افتح علامة التبويب URL في الصفحة الرئيسية ، والصق الرابط في حقل "بحث أو مسح عنوان URL" وانقر على أيقونة العدسة المكبرة.

لا تقوم الخدمة فقط بالإبلاغ عن نظافة الموقع أو الإصابة به ، بل تعرض قائمة بالملفات التي تم فحصها مع ملاحظات حول ما أثار الشكوك. التحليل قائم على أساس شخصي وعالمي قواعد بيانات مكافحة الفيروسات.

تمتلئ الأقسام الأخرى للخدمة بمقالات حول التشخيص ، والإزالة اليدوية للفيروسات ، والحماية من العدوى ، دعموغيرها من المواد المتعلقة بأمان موارد الإنترنت.

يحلل مختبر دكتور ويب حالة المواقع باستخدام قواعد البيانات والخوارزميات الخاصة به فقط.

بناءً على نتائج الفحص ، يتم إنشاء تقرير:

  • ما إذا تم اكتشاف برامج ضارة على الكائن أم لا.
  • سواء كان ذلك في قواعد بيانات شخص ما للأشياء الضارة.
  • هل يعيد توجيه الزوار إلى موارد أخرى.

فيما يلي نتائج فحص الملفات و معلومات إضافيةحول الحقائق المشبوهة.

xseo

خدمة الويب Xseo القبيحة هي في الواقع أكثر إفادة وعملية من العديد. إنه يفحص المواقع بحثًا عن أكثر من ستة ملايين فيروسات معروفة ، بحثًا عن التصيد الاحتيالي ، ويعرض أيضًا تصنيفات الأمان الخاصة بهم وفقًا لـ MyWOT و Yandex و Google. بالإضافة إلى ذلك ، يحتوي Xseo على الكثير من أدوات تحسين محركات البحث المفيدة والمجانية الأخرى. الوصول إلى بعضها يتطلب التسجيل.

- واحدة أخرى خدمة مجانيةفحوصات أمنية لموارد الإنترنت. إنه قادر على اكتشاف علامات الإصابة بالبرامج الضارة المعروفة ، والعثور على الأخطاء على مواقع الويب ، و "ثقبها" من خلال قواعد البيانات في القائمة السوداء وتحديد مدى ملاءمة إصدار CMS. واجهة الخدمة باللغات الإنجليزية والإسبانية والبرتغالية.

- أداة لفحص شامل لموارد الإنترنت من أجل الإصابة والقرصنة. يكتشف أنواع التهديدات التالية:

  • البرامج النصية المشفرة.
  • عمليات إعادة التوجيه المخفية.
  • تجسس الإشارات المرجعية والإدخالات والحاجيات من المواقع المشبوهة.
  • هجمات Drive-by (تنزيل البرامج الضارة دون علم المستخدم).
  • روابط ومحتوى غير مرغوب فيه.
  • أخطاء وعلامات تشويه.
  • إضافة إلى القوائم السوداء لمحركات البحث ومضادات الفيروسات.

بعد إجراء فحص مجاني "على الفور" ، يعرض طلب العلاج من الفيروسات وخدمات حماية الموقع من المتخصصين. مدفوع بالفعل.

يتحقق من سمعة الروابط - ما إذا كان المصدر مدرجًا في قائمة قواعد البيانات المصابة أو المخادعة أمن Kasperskyشبكة.

يبحث الماسح الضوئي عن البرامج الضارة في قواعد البيانات وعلى أساس التحليل التجريبي ، والذي من خلاله يكتشف أحيانًا التهديدات التي لا تعرفها برامج مكافحة الفيروسات حتى الآن. بالإضافة إلى الفحص ، تقدم الخدمة الخدمات المدفوعةتنظيف المواقع من الفيروسات والوقاية اللاحقة من العدوى.

واجهة Quttera باللغة الإنجليزية.

تقوم خدمة اللغة الروسية بفحص مواقع الويب باستخدام 20 برنامجًا مختلفًا لمكافحة الفيروسات. بالإضافة إلى ذلك ، فإنه يقدم خدمات مدفوعة للتنظيف من البرامج الضارة الموجودة وتثبيت أدوات حماية دائمة.

التحقق من الموقع باستخدام برنامج مكافحة فيروسات على جهاز الكمبيوتر

الخطوة التالية في التحقق من مورد الويب للأمان هي فحص جميع ملفاته. برنامج مضاد للفيروساتمثبتة على جهاز الكمبيوتر. بالنسبة لهذه المهمة ، فإن أي منتج a \ v معقد يحتوي على قواعد بيانات حديثة سيفي بالغرض. يمكنك استخدام الشخص الذي تثق به أكثر.

قبل المسح ، سيتعين عليك تنزيل محتوى الموقع إلى مجلد منفصل على جهاز الكمبيوتر الخاص بك أو على الوسائط القابلة للإزالة، وبعد ذلك ، دون لمس محتويات المجلد ، قم بتشغيل الفحص. لا تنقر فوق الملفات ، وإلا فقد تصيب البرامج الضارة جهاز الكمبيوتر الخاص بك.

في حالة اكتشاف التهديدات ، من الأفضل والأسرع استبدال الملفات المصابة بملفات نظيفة ، مع أخذ الأحدث منها النسخ الاحتياطية. في حالة عدم وجود نسخ ، يمكنك أيضًا حذف الكائنات الخطرة يدويًا ، ولكن قبل ذلك ، تأكد من عمل نسخة احتياطية.

ما الذي يمكن أن يكون خطيرًا:

  • الإطارات والنصوص المضمنة (يمكن العثور عليها ضمن iframe و javascript).
  • البرامج النصية القابلة للتنزيل.
  • يعيد التوجيه إلى موارد الجهات الخارجية (حتى العادية وغير المصابة).
  • الصور القابلة للتحميل وكائنات الوسائط المتعددة الأخرى.
  • اضافات خارجية اخرى.
  • ملفات ذات تاريخ معدل قريب من التاريخ المتوقع للإصابة.

بالطبع ، لا يجب حذف كل شيء على التوالي ، يجب أولاً دراسة هذه الكائنات. إذا تسبب التحليل المستقل في صعوبات ، فمن الأفضل تكليفه بالمتخصصين.

بعد التنظيف ، تأكد من تغيير كلمات المرور التي تم استخدامها للوصول إلى الموقع وحساب الاستضافة.

كيف تحمي موقعك من الفيروسات

كما ذكرنا سابقًا ، فإن معظم حالات وصول البرامج الضارة إلى موارد الويب ناتجة عن إصابة الكمبيوتر الذي يدير المسؤول الموقع من خلاله. لهذا السبب:

  • راقب صحة جهاز الكمبيوتر الخاص بك: قم بتقييد الوصول إليه لأفراد العائلة ، ورفض البرامج التي لم يتم التحقق منها ، ولا تنقر على روابط غير معروفة ، وقم بإجراء فحص كامل لمكافحة الفيروسات من وقت لآخر ، وما إلى ذلك.
  • لا تثق في تخزين كلمات المرور من الموقع وقواعد البيانات وحساب الاستضافة للمتصفحات وعملاء FTP / SSH. استخدام محمي. يجب أن تكون كلمات المرور نفسها طويلة ومعقدة. لا تنس تغييرها بشكل دوري.
  • حاول الوصول إلى الموقع فقط عبر SFTP أو SSH ، بروتوكول FTP غير آمن.
  • لا تحذف سجلات الأخطاء وسجلات الوصول إلى الموقع قبل أن تكون مفيدة لك.
  • قم بتحديث CMS والوحدات النمطية الإضافية والمكونات الإضافية في الوقت المناسب. إذا تم اختراق هذه الكائنات أو لم تعد مدعومة ، فإنها تكون عرضة لهجمات البرامج الضارة والمتسللين. استبدلها ببدائل أكثر أمانًا. امتنع أيضًا عن استخدام برامج من مصادر لم يتم التحقق منها.
  • التثبيت في الموقع مضاد فيروسات جيد، على سبيل المثال ، فيروس AI-Bolit والبرنامج النصي لتنظيف الاختراق ، أو توصيله بخدمة معالجة وحماية تلقائية مثل Virusdie.

تعرف على المزيد حول خدمات AI-Bolit و Virusdie

AI-Bolit (Aibolit) هو برنامج نصي خفيف الوزن ومتساهل لمكافحة الفيروسات مصمم للبحث عن جميع أنواع البرامج الضارة ونقاط الضعف في الاستضافة ومواقع الويب. يدعم أي أنظمة تشغيل ونصوص و CMS. للاستخدام الشخصي غير التجاري ، تتوفر الوظائف الأساسية للخدمة مجانًا. في حالة الإصابة ، يساعد المتخصصون في تحليل التقارير والعلاج وتركيب الحماية الوقائية.

Virusdie هي خدمة دعم شاملة لمكافحة الفيروسات (مضاد فيروسات وجدار ناري ومستكشف ومحرر ملفات). بعيدا البحث التلقائيوإزالة الفيروسات ، يساعد على إزالة الحظر والعقوبات الأخرى من مقدمي الاستضافة وبرامج مكافحة الفيروسات ومحركات البحث من الموقع. يدعم الرسائل القصيرة الأكثر شعبية. يتم دفع خدمات الخدمة ، وتكاليف حماية موقع واحد 249-1499 روبل في السنة.

تنظيف الإنترنت لك!

هناك الكثير من الخيارات للهجمات على مورد الويب ، بالإضافة إلى عواقب هذه الهجمات. وكما هو الحال دائمًا ، هناك هدفان فقط - الشهرة بفرحة عادية من إظهار قدرات المرء الذاتية ، والمنفعة الشاملة ، التي تتجلى في شكل مكسب مادي مباشر أو غير مباشر ، بمعنى آخر ، المال. إذن ما هو التهديد؟ فيما يلي مثال على الهجمات الأكثر شيوعًا على مواقع الويب:

  • الاستبدال الصفحة الرئيسيةموقع الويب هو أحد أكثر أشكال القرصنة شيوعًا. بدلاً من المحتوى المعتاد على غلاف الموقع ، سيظهر أي شيء - من اسم المتسلل الضار إلى الإهانات العادية.
  • إزالة نظام الملفات- تختفي جميع المعلومات ببساطة ، مما يؤدي إلى فشل في حالة عدم وجود نسخة محفوظة من المصدر. من الجدير بالذكر أن قاعدة بيانات كلمات مرور العميل ، بالإضافة إلى البيانات الأخرى ذات القيمة الحرجة ، قد تُفقد أيضًا.
  • استبدال المعلومات - يمكن للمهاجمين استبدال الهاتف أو بيانات المنظمة الأخرى. في هذه الحالة ، يصبح عملاؤك تلقائيًا عملاء للمهاجمين.
  • إقامة حصان طروادة- في هذه الحالة ، على الأرجح لن تلاحظ زيارة أحد المتسللين ، على الأقل كل شيء سيستهدف هذا. يمكن أن تؤدي البرامج الضارة مجموعة متنوعة من الوظائف - إعادة التوجيه إلى موقع ضار ، وسرقة البيانات الشخصية من العملاء ، وإصابة الزائرين بالفيروسات ، وما إلى ذلك.
  • البريد العشوائي - يمكن استخدام موقعك لإرسال بريد عشوائي ، وفي هذه الحالة لن تصل مراسلاتك "الحقيقية" إلى المرسل إليه ، حيث سيتم إدخال مجال مؤسستك في قاعدة البيانات المركزية لمرسلي البريد العشوائي على الفور تقريبًا.
  • إنشاء حمولة عالية - إرسال طلبات غير صحيحة عن عمد إلى خادم الويب أو إجراءات أخرى من الخارج ، مما يؤدي إلى صعوبة الوصول إلى الموقع أو تعطله نظام التشغيلالخادم. هذا النوع من الهجوم واسع الانتشار على الإنترنت.

إن نتيجة كل هذه الأنواع من الهجمات ليست فقط توقفًا مؤقتًا لأداء المورد ، ولكن أيضًا فقدان الثقة في موقع الويب في نظر العملاء. المستخدم المصاب كود خبيثعلى المورد الخاص بك ، أو إعادة توجيهه من موقعك إلى موقع محتوى مشكوك فيه ، من غير المرجح أن يجرؤ مرة أخرى على كتابة عنوانك في شريط المتصفح.

ما يجب القيام به؟

يمكن طرح مسألة أمان الموقع بالفعل في مرحلة التطوير. هناك العديد من أنظمة CMS(نظام إدارة المحتوى - نظام إدارة المحتوى) وهو قالب يبسط إدارة الموقع وتطويره. يمكن تقسيم النطاق الكامل لأنظمة CSM إلى مفتوحة (مجانية) ومملوكة. من بين البرامج المفتوحة ، يمكننا التمييز بين Drupal و Mambo و Joomla و Typo3 ، من بين تلك المدفوعة - 1C-Bitrix و NetCat و Amiro.CMS. كل منهم آمن إلى حد ما ، وله عدد من المزايا والعيوب. إذن أي CMS يجب أن تختار؟ بالطبع ، هذه المسألة لا تزال قيد النظر في كل حالة محددةومع ذلك ، تشير الإحصائيات إلى أن الغالبية العظمى من استوديوهات الويب في روسيا التي تستخدم تطوير طرف ثالث لإنشاء مواقع تستخدم منتج 1C-Bitrix. هناك عدد من العوامل وراء ذلك:

  • من خلال الدمج مع 1C ، أصبحت Bitrix بشكل غير رسمي المعيار الوطني لتطوير الويب المستند إلى CMS.
  • 1C-Bitrix لديه شهادة أمان من شركة Positive Technologies (والتي سيتم مناقشتها لاحقًا) ، مما يؤكد عدم تعرض النظام لجميع أنواع الهجمات المعروفة على تطبيقات الويب.
  • يعد 1C-Bitrix حاليًا أكثر أنظمة CMS الواعدة في السوق الروسية ، حيث يُظهر أفضل معدل نمو.
  • تعد وظيفة المنتج كافية لإنشاء مواقع الشركات المعقدة ، وبوابات المعلومات والمراجع ، والمتاجر عبر الإنترنت ، ومواقع الوسائط ، وكذلك لإنشاء أي نوع آخر من موارد الويب تقريبًا.

يعد إنشاء المواقع على أساس 1C-Bitrix ، وكذلك نقل الموارد الحالية إلى محرك المنتج ، أحد الخيارات لحل عدد من مشاكل الأمان ، في المقام الأول مشكلات الثغرات الأمنية ، والتي ستتم مناقشتها لاحقًا.

تم إنشاء الموقع بالفعل - هل هو عرضة للخطر؟

يعد التحقق من مورد الويب الحالي بحثًا عن ثغرة أمنية مهمة شاقة للغاية. لا تقتصر العملية على المسح المباشر - لا يزال الموقع بحاجة إلى إعادة العمل ، وتوصيل الثقوب ، وسيتعين حل عدد من المشكلات من جانب المزود. لذلك ، ماسحات الثغرات الأمنية.

ماسحات الضعف- هذا برامج خاصةمصمم لتحليل أمان الشبكة عن طريق المسح والتحقق موارد الشبكةوتحديد نقاط ضعفهم. ببساطة ، يبحث الماسح عن الثغرات والثغرات الأمنية النموذجية ، مما يجعل الحياة أسهل ليس فقط لأصحاب مواقع الويب ، ولكن أيضًا للمتسللين. يمكن تصنيف جميع أدوات فحص الثغرات الأمنية اعتمادًا على طريقة العمل إلى 3 مجموعات:

  • محلي - يتم تثبيته مباشرة على العقدة التي يتم فحصها ويوفر موثوقية عالية. العمل نيابة حساببأقصى قدر من الامتيازات واستخدام طريقة واحدة فقط للبحث عن الثغرات - مقارنة سمات الملف.
  • سلبي - استخدم كمصدر بيانات ازدحام انترنتومع ذلك ، على عكس الشبكات ، فإنها تسمح بتقليل تأثير الماسح على نقاط الضعف. في الوقت الحاضر ، ليست منتشرة على نطاق واسع ، لكنها تبدو واعدة للغاية.
  • الشبكة - الأكثر شعبية اليوم. إجراء عمليات التحقق عن بعد ، والاتصال من خلال خدمات الشبكة.

هناك العديد من الشركات المصنعة لأجهزة فحص الثغرات الأمنية ، وهناك الكثير من المراجعات والاختبارات التي تسلط الضوء على منتج شركة معينة. فيما يلي بعض الماسحات الضوئية الأكثر شيوعًا: Nessus و XSpider و IBM Internet Scanner و Retina و Shadow Security Scanner و Acunetix و N-Stealth.

XSpider (تم استبداله بـ MaxPatrol) هو ماسح ضوئي من الشركة المصنعة الروسية Positive Technologies. يحتوي على قائمة شاملة من الميزات - التحليل التجريبي واكتشاف نوع الخادم ، والمسح الكامل للمنافذ وتخطيط الخدمة ، والتحقق من كلمات المرور القياسية ، وتحليل حقن SQL ، وهجمات XSS ، وتحديثات الثغرات الأمنية شبه اليومية. بالمقارنة مع المنافسين ، يوضح الماسح الضوئي تحديدًا أفضل للخدمات والتطبيقات ، ونتيجة لذلك يوفر اكتشافًا أكثر وأكثر دقة لنقاط الضعف مع الحد الأدنى من نسبة التنبيهات الخاطئة. المنتج هو واحد من أفضل الحلولليس فقط على المستوى الروسي ، ولكن أيضًا على المسرح العالمي ، لذلك قررنا تمييزه.

ما يحتاج إلى تغيير؟

يعد تأمين مورد الويب عملية تجمع بين مجموعة معينة من الإجراءات. يتم فحص النظام الحالي أولاً من أجل الأمان ، ثم يتم تحديد عدد من الإجراءات والأعمال لتحقيق هذا الأمان. يمكن أن تكون هذه خدمات المبرمجين الذين يطورون الموقع أو يحسّنونه ، وخدمات المهندسين الذين يقررون ذلك أسئلة فنية، وبالطبع مجموعة معينة من الإجراءات التنظيمية. كل هذا يتوقف على رغبة العميل وقدراته.

تبين أن أكثر من 70٪ من المواقع التي تم فحصها مصابة بنقطة ضعف واحدة أو أكثر.

بصفتك مالكًا لتطبيق الويب ، كيف تتأكد من حماية موقعك من التهديدات عبر الإنترنت؟ أو من تسريب معلومات سرية؟

إذا كنت تستخدم حل أمان مستندًا إلى السحابة ، فمن المحتمل أن يكون الفحص المنتظم للثغرات الأمنية جزءًا من خطة الحماية الخاصة بك.

ومع ذلك ، إذا لم يكن الأمر كذلك ، فأنت بحاجة إلى إجراء فحص روتيني واتخاذ الخطوات اللازمة للتخفيف من المخاطر.

هناك نوعان من الماسح الضوئي.

1.Commercial - يمنحك القدرة على أتمتة المسح الضوئي للأمان المستمر ، والإبلاغ ، والتنبيهات ، تعليمات مفصلةالتخفيف من المخاطر ، إلخ. بعض الأسماء الشهيرة في هذه الصناعة هي:

اكونتكس
كشف
كواليس

مفتوح المصدر / مجاني - يمكنك تنزيل وإجراء فحوصات أمنية عند الطلب.

لن يتمكن كل منهم من تغطية مجموعة واسعة من نقاط الضعف مثل التجارية.

دعنا نلقي نظرة على أدوات فحص الثغرات الأمنية مفتوحة المصدر التالية.

1. عراشني

Arachni هو ماسح ضوئي للأمان عالي الأداء يعتمد على Ruby لتطبيقات الويب الحديثة.

وهو متوفر بتنسيق ثنائي لأنظمة Mac و Windows و Linux.

لا يقتصر الأمر على كونه حلًا أساسيًا لمواقع الويب الثابتة أو CMS ، ولكن Arachni قادر أيضًا على الاندماج مع الأنظمة الأساسية التالية.

يقوم بإجراء الفحوصات الإيجابية والسلبية.

ويندوز ، سولاريس ، لينوكس ، بي إس دي ، يونكس
Nginx و Apache و Tomcat و IIS و Jetty
جافا ، روبي ، بايثون ، ASP ، PHP
Django، Rails، CherryPy، CakePHP، ASP.NET MVC، Symfony

تم العثور على بعض نقاط الضعف:

NoSQL / Blind / SQL / Code / LDAP / Command / XPath الحقن
طلب برمجة نصية عبر مواقع التزوير
مسار الالتفاف
بما في ذلك ملف محلي / بعيد
انقسام الاستجابة
عبر موقع البرمجة
عمليات إعادة توجيه DOM غير محددة
الإفصاح عن رمز المصدر

2.XssPy

يتم استخدام ماسح الثغرات الأمنية XSS (البرمجة النصية عبر المواقع) المستند إلى Python من قبل العديد من المؤسسات بما في ذلك Microsoft و Stanford و Motorola و Informatica وما إلى ذلك.

XssPy بواسطة Faizan Ahmad هي أداة ذكية. بدلا من مجرد التحقق الصفحة الرئيسيةأو صفحة ، فإنه يتحقق من كل الروابط الموجودة على مواقع الويب.

يتحقق XssPy أيضًا من المجال الفرعي.

3. w3af

w3af ، مشروع مفتوح المصدر بدأ في أواخر عام 2006 ، يعتمد على Python ومتاح لنظامي Linux و Windows. w3af قادر على اكتشاف أكثر من 200 نقطة ضعف ، بما في ذلك OWASP أعلى 10.

انه يدعم أساليب مختلفةالتسجيل للإبلاغ.مثال:

csv
لغة البرمجة
وحدة التحكم
نص
XML
بريد إلكتروني عنوان

إنه مبني على بنية البرنامج المساعد ويمكنك التحقق من جميع المكونات الإضافية المتاحة.

4. نيكتو

يهدف مشروع مفتوح المصدر برعاية Netsparker إلى اكتشاف أخطاء تكوين خادم الويب والمكونات الإضافية ونقاط ضعف الويب.

5.Wfuzz

Wfuzz (Web Fuzzer) هي أداة لتقييم تطبيق اختبار الاختراق.

يمكنك إيقاف البيانات في طلب HTTP لأي حقل لاستخدام تطبيق الويب والتحقق من صحته.

يتطلب Wfuzz تثبيت Python على الجهاز حيث تريد تشغيل الفحص.

6.WOWASP ZAP

ZAP (Zet Attack Proxy) هي إحدى أدوات اختبار الاختراق الشهيرة التي يتم تحديثها بنشاط بواسطة مئات المتطوعين في جميع أنحاء العالم.

إنها أداة Java متعددة المنصات يمكن تشغيلها حتى على Raspberry Pi.

يقع ZIP بين المتصفح وتطبيق الويب لاعتراض الرسائل وفحصها.

بعض ميزات ZAP التالية التي يجب ذكرها.

فوزر
الماسح الضوئي التلقائي والسلبي
دعم لغات البرمجة النصية المتعددة
عرض قسري

7. Wapity

يتصفح Wapiti صفحات الويب الخاصة بالهدف المحدد ويبحث عن البرامج النصية ونماذج الإدخال لمعرفة ما إذا كانت معرضة للخطر.

هذا ليس فحص أمان الكود المصدري ، ولكنه تحقق مربع أسود.

وهو يدعم طرق GET و POST HTTP ووكلاء HTTP و HTTPS والمصادقات المتعددة وما إلى ذلك.

8. فيغا

تم تطوير Vega بواسطة Subgraph ، متعدد المنصات برمجةمكتوب بلغة Java للعثور على XSS و SQLi و RFI والعديد من نقاط الضعف الأخرى.

تلقى Vega واجهة رسومية سهلة الاستخدام وهو قادر على إجراء عمليات المسح التلقائي عن طريق تسجيل الدخول إلى التطبيق باستخدام بيانات الاعتماد المحددة.

إذا كنت مطورًا ، فيمكنك استخدام vega API لإنشاء وحدات هجوم جديدة.

9. SQLmap

كما يمكنك تخمين الاسم ، يمكنك إجراء اختبار اختراق قاعدة البيانات للمساعدة في العثور على العيوب.

إنه يعمل مع Python 2.6 أو 2.7 على أي نظام تشغيل. إذا كنت تريد ، فسيكون sqlmap أكثر فائدة من أي وقت مضى.

10 المنتزع

إنها أداة صغيرة مبنية على Python تقوم بالعديد من الأشياء بشكل جيد.

بعض ميزات Grabber:

محلل كود مصدر جافا سكريبت
البرمجة النصية عبر المواقع ، حقن SQL ، حقن SQL عمياء
اختبار تطبيقات PHP باستخدام PHP-SAT

11. جوليسميرو

إطار عمل لإدارة وتشغيل بعض أدوات الأمان الشائعة مثل Wfuzz و DNS Recon و sqlmap و OpenVas ومحلل الروبوت وما إلى ذلك).

يمكن لـ Golismero دمج المراجعات من الأدوات الأخرى وإظهار نتيجة واحدة.

12. OWASP Xenotix XSS

Xenotix XSS OWASP هو إطار عمل متقدم لإيجاد واستخدام البرمجة النصية عبر المواقع.

يحتوي على ثلاثة مصهرات ذكية مدمجة للمسح السريع وتحسين النتائج.

13- ميتاسكان

ماسح الثغرات الأمنية لتطبيقات الويب من المطورين المحليين



تحميل...
قمة