Améliorez la sécurité des applications Web avec Detectify Asset Monitoring

Comment vous assurez-vous que votre application et votre infrastructure sont à l’abri des failles de sécurité ?

Detectify propose une suite complète de solutions d’inventaire et de surveillance des actifs qui incluent l’analyse des vulnérabilités, la découverte d’hôtes et l’empreinte logicielle. Son utilisation pourrait permettre d’éviter les mauvaises surprises, comme des hôtes inconnus qui présentent des vulnérabilités ou des sous-domaines facilement piratable.

Beaucoup de choses peuvent mal tourner et un attaquant peut en profiter. Certains courants sont:

  • Garder les ports inutiles ouverts
  • Exposer un sous-domaine non sécurisé, des fichiers sensibles, des informations d’identification
  • Garder .git accessible
  • Principales vulnérabilités potentielles de l’OWASP telles que XSS, SSRF, RCE

Vous pouvez discuter du fait que je peux exécuter manuellement le scanner de port, trouver un sous-domaine, tester les vulnérabilités, etc. C’est bien si vous le faites de temps en temps, mais cela prendra du temps et ne sera pas rentable lorsque il faut le faire fréquemment.

Alors, quelle est la solution ?

Optez pour Détecter la surveillance des actifsqui surveille les actifs de votre application Web et effectue une analyse régulière des vérifications susmentionnées et de nombreuses autres vérifications pour assurer la sécurité de votre entreprise en ligne 🛡️.

  • Detectify héberge sa propre communauté privée de hackers éthiques pour rechercher des vulnérabilités en crowdsourcing afin de vous donner des alertes du point de vue d’un véritable attaquant.
  • D’autres outils reposent sur des signatures et des tests de version, ce qui ressemble plus à la conformité qu’à la sécurité réelle. Les pirates Detectify fournissent les charges utiles réelles qui sont utilisées pour construire les tests de sécurité, donnant un ensemble unique de tests qui n’est pas vu dans d’autres produits sur le marché.
  • Le résultat? Un moyen plus sûr de tester la sécurité qui ne vous donne que des résultats qui peuvent être vérifiés
  • Des constats de sécurité qui sont effectivement intéressants à corriger !

Dans leurs Blogils mentionnent que le temps de développement des tests Asset Monitoring a été réduit à 25 minutes entre le pirate et la publication.

Ça semble intéressant?

Voyons voir comment ça fonctionne.

Pour commencer à travailler avec Detectify Asset Monitoring, la première étape consiste à vérifier que vous possédez le domaine que vous allez surveiller ou que vous êtes autorisé à effectuer une analyse de sécurité. Il s’agit d’une étape nécessaire que Detectify prend pour s’assurer que les informations sensibles qu’il révèle ne se retrouveront pas entre de mauvaises mains.

Nous pouvons effectuer la vérification de domaine de plusieurs manières : en téléchargeant un fichier .txt spécifique dans le répertoire racine de votre domaine, avec Google Analytics, via un enregistrement DNS ou avec une balise META sur une page Web. Il existe également une option de vérification assistée si aucune des méthodes en libre-service ne fonctionne pour vous.

Création d’un profil de numérisation

La deuxième étape de la configuration de Detectify consiste à créer un profil d’analyse, qui peut être associé à n’importe quel domaine, sous-domaine ou adresse IP de votre site avec des services HTTP ou HTTPS exécutés dessus.

Après avoir configuré un profil de numérisation, vous pouvez le configurer avec différentes options.

Par exemple, vous pouvez avoir deux profils associés au même domaine mais avec des identifiants différents. De cette façon, vous pouvez effectuer deux analyses différentes sur le même serveur et comparer les résultats.

Une fois votre profil de numérisation configuré, vous serez prêt à numériser, ce que vous faites simplement en appuyant sur le bouton Démarrer la numérisation à côté du profil de numérisation que vous souhaitez utiliser. Le tableau de bord changera pour indiquer qu’une analyse est en cours.

Le temps d’exécution de l’analyse dépend du volume du contenu du site. Si le volume est assez important, l’analyse peut prendre des heures, et vous remarquerez peut-être une légère dégradation des performances du site pendant que l’analyse est en cours. Donc, mon conseil est d’effectuer des analyses lorsque votre site est moins occupé.

Rapports d’analyse

Lorsque Detectify aura terminé l’analyse de votre site, vous recevrez un e-mail vous en informant. Dans cet e-mail, il vous informera du temps qu’il a fallu pour effectuer l’analyse, du nombre de problèmes trouvés regroupés par gravité et d’un score de menace global indiquant à quel point le site est bon ou mauvais en termes de sécurité.

Vous pouvez voir quelles URL ont été explorées lors de l’analyse en accédant au dernier rapport d’analyse et en cliquant sur l’élément « URL explorées » dans la liste des résultats d’informations. La section Détails indique le nombre d’URL auxquelles le robot d’exploration a tenté d’accéder pendant l’analyse et combien d’entre elles ont été identifiées comme uniques.

Il y a un lien hypertexte en bas de la page pour télécharger un fichier CSV contenant toutes les URL explorées et le code d’état de chacune. Vous pouvez parcourir cette liste pour vous assurer que toutes les parties importantes de votre site ont été visitées.

Pour planifier les mesures correctives et obtenir des résultats plus précis lors des analyses futures, Detectify vous permet de marquer chaque résultat comme « Corrigé », « Risque accepté » ou « Faux positif ». Si vous étiquetez une constatation comme « Corrigée », l’analyseur utilisera cette même étiquette dans les prochains rapports, vous n’aurez donc pas besoin de la traiter à nouveau pour la correction. Un « risque accepté » est quelque chose que vous ne voulez pas voir signalé à chaque analyse, tandis qu’un « faux positif » est une découverte qui peut ressembler à une vulnérabilité, même si ce n’est pas le cas.

Ah ! beaucoup de découvertes à corriger auxquelles je n’aurais jamais pensé.

Detectify propose de nombreuses pages et vues différentes pour voir les résultats de l’analyse. La vue « Tous les tests » vous permet de voir toutes les vulnérabilités découvertes par l’analyse. Si vous connaissez la classification OWASP, vous pouvez consulter la vue OWASP pour voir à quel point votre site est vulnérable aux 10 principales vulnérabilités.

Pour affiner les analyses futures, vous pouvez utiliser les options de liste blanche/noire de Detectify pour ajouter les zones de votre site qui pourraient être masquées car aucun lien ne pointe vers elles. Ou vous pouvez interdire les chemins dans lesquels vous ne voulez pas que le crawler accède.

L’inventaire des actifs

La page d’inventaire des ressources de Detectify affiche une liste des ressources racine – telles que les domaines ajoutés ou les adresses IP – avec de nombreuses informations utiles qui vous aideront à sécuriser vos investissements informatiques. À côté de chaque actif, une icône bleue ou grise indique si la surveillance des actifs est activée ou désactivée pour celui-ci.

Vous pouvez cliquer sur l’un des actifs de l’inventaire pour en avoir un aperçu. À partir de là, vous pouvez examiner les sous-domaines, les profils d’analyse, les technologies d’empreintes digitales, les résultats de la surveillance des actifs, les paramètres des actifs, et bien plus encore.

Résultats de la surveillance des actifs

Il regroupe les résultats en trois catégories selon leur gravité : élevée, moyenne et faible.

Les résultats de haut niveau reflètent principalement des problèmes où des informations sensibles (par exemple, les informations d’identification ou les mots de passe des clients) sont exposées au public ou sont potentiellement exploitables.

Les résultats de niveau moyen montrent des situations dans lesquelles il expose certaines informations. Même si cette exposition n’est pas nuisible en soi, un pirate pourrait en tirer parti en la combinant avec d’autres informations.

Enfin, les résultats de bas niveau montrent des sous-domaines qui pourraient potentiellement être repris et doivent être vérifiés pour vérifier leur propriété.

Detectify fournit une base de connaissances avec de nombreux correctifs et conseils de correction pour vous aider à gérer les résultats rencontrés lors de l’analyse. Une fois que vous avez pris des mesures pour résoudre les problèmes, vous pouvez exécuter une deuxième analyse pour vérifier si les problèmes ont été résolus efficacement. Les options d’exportation vous permettent de créer des fichiers PDF, XML ou JSON avec des rapports de résultats pour les envoyer à des tiers ou à des services tels que Trello ou JIRA.

Tirer le meilleur parti de Detectify

Le guide des bonnes pratiques de Detectify recommande d’ajouter un nom de domaine sans sous-domaines pour avoir un aperçu de l’ensemble de votre site s’il n’est pas trop volumineux. Mais il y a un délai de 9 heures pour une analyse complète, après quoi le scanner passe à la phase suivante du processus. Pour cette raison, il peut être judicieux de diviser votre domaine en profils d’analyse plus petits.

Votre première analyse peut vous montrer que certains actifs présentent plus de vulnérabilités que d’autres. C’est une autre raison – en plus de la durée de l’analyse – de commencer à décomposer votre domaine. Vous devez identifier les sous-domaines les plus critiques et créer un profil d’analyse pour chacun d’eux.

Faites attention à la liste « Hôtes découverts », car elle peut vous montrer des résultats inattendus. Par exemple, des systèmes dont vous ignoriez l’existence. Cette liste est utile pour identifier les applications les plus cruciales qui méritent une analyse plus approfondie et, par conséquent, un profil d’analyse individuel.

Detectify suggère qu’il est préférable de définir des étendues plus petites pour chaque profil d’analyse, car cela permet d’obtenir des résultats plus précis et cohérents. C’est également une bonne idée de décomposer les étendues en conservant ensemble des technologies ou des cadres similaires au sein de chaque profil. De cette façon, le scanner pourra exécuter des tests plus pertinents pour chaque profil de numérisation.

Conclusion

L’inventaire et la surveillance des actifs sont cruciaux pour toutes les tailles et tous les sites Web, y compris le commerce électronique, le SaaS, la vente au détail, la finance et le marché. Ne gardez aucun actif sans surveillance ; essaie le essai pendant 2 semaines pour voir comment cela peut vous aider à trouver des failles pour améliorer la sécurité des applications Web.