Oglas
Ko se internet razvija in sisteme, na katerih se poganja, postaja vse težje vdorov, boste pomislili, da bi bila spletna mesta manj vložena! V resnici je ravno obratno, saj težava številka ena ni v programski opremi, temveč v človekovi samozadovoljnosti.
Ko odkrijemo morebiten kramp, se lahko širi kot divji požar skozi hekerske skupnosti, zato je posodabljanje vašega spletnega mesta in reševanje latentnih varnostnih lukenj absolutno najboljša obramba.
Glede na to, kako lahko veste, ali je vaše spletno mesto ranljivo? Tu je brezplačna storitev HackerTarget.com pride noter.
Omejitve in zamenjave pri prijavi:
Z brezplačnimi računi lahko sprožite do 4 skeniranja na dan, edina druga določba pa je, da določenih pregledov ne morete uporabljati z brezplačnim e-poštnim naslovom, kot so Hotmail, Yahoo ali Gmail. WordPress skeniranje je na voljo vsem.
Drugič, dejansko se vam ni treba prijaviti - samo sprožite varnostno skeniranje (opisano kasneje) in prejeli boste avtomatsko e-pošto. Ko prvič uporabite storitev, bo to e-poštno sporočilo vsebovalo povezavo za potrditev vašega e-poštnega naslova. S klikom na to povezavo boste morali znova začeti skeniranje. Nekoliko je zmedeno, vendar smo vsi odrasli, tako da sem prepričan, da ga bomo prebrodili.
Kakšne vrste pregledov lahko storite:
Ta neverjetna storitev pravzaprav ponuja precej obsežen komplet varnostnih pregledov:
- WordPress / Drupal / Joomla
- Profiliranje domen
- WhatWeb Scan
- BlindElephant Fingerprinting
- Nikto Server Scan
- SQL injekcijski test
- OpenVAS ranljivost skeniranje
- Nmap Port Scanner
Nimamo prostora za vse skeniranje, zato si bom danes ogledal varnostni pregled WordPressa, OpenVas in test injekcij SQL.
Varnostno skeniranje za WordPress:
Po zaključku samodejnega skeniranja WordPress-a dobite lepo predstavljeno poročilo. Poglejmo, kaj vam pove:
Informacije o spletnem mestu
Prikaže se osnovna različica strežnika in različica WordPress-a, če jo najde. Prav tako vam bo povedal, ali je vaša WordPress zastarela. To je pomembno, saj varnostne ranljivosti najdemo v starejših različicah in izvajanje samodejnih pregledov, kot je ta, je tako enostavno, da lahko hitro najdete cilj kraje.
Povezave do spletnih mest in skripte
Prikaže poročilo o zunanjih povezavah, ki jih najdete na vašem spletnem mestu, kot tudi vse zlonamerne programske opreme, ki je bila morda vstavljena v vaše stran (ali vgrajena v vašo temo!) - ne pozabite preveriti seznama in preverite, če ne boste takoj prepoznati.
Informacije o gostovanju
V zadnjem razdelku so navedene osnovne informacije o vašem gostitelju in drugih spletnih mestih, ki imajo enak IP kot vaše.
SQL injekcijski test:
Precej vse nedavnih heks Sony Pictures Online Hacked z uporabo ranljivosti "primitivno in skupno", nedekriptirani podatki [novice]V četrtek zvečer je hekerska skupina "LulzSec" prek Twitterja objavila, da so pridobili dostop do SonyPictures.com in ukradli več kot milijon računov, gesel in občutljivih podatkov o uporabnikih. Kmalu po tem, ko so novice poletele, kopije ... Preberi več o katerih ste slišali v novicah zloglasne varnostne skupine Lulzsec, ki so jo izvajali s pomočjo injekcije SQL. V bistvu to pomeni, da se ukazi SQL lahko na strežniku zaženejo neposredno s prilagajanjem parametrov URL ali vnosom v iskalno polje. Deluje, ker številni sistemi ne bodo preverili, kaj jim je dano, temveč jih bodo prebrali naravnost. XKCD to razloži bolje!
Če bomo imeli srečo, bo e-poštno poročilo, ki ga dobite s testom injekcije SQL, kratko in sladko, saj pravi, da ni našlo ranljivosti. Ugotovljeno je bilo, da je WordPress z leti ranljiv, vendar so te ponavadi zakrpane takoj, ko jih najdejo - zato je pouk kot vedno - VEDNO SPODNJEN.
OpenVAS IP Scanner:
Ta je morda bolj zanimiv za prikaz na vašem domačem naslovu IP (ki ga lahko najdete na whatismyipaddress.com), saj je v bistvu skener vrat. V njem bodo prikazana vsa odprta vrata v svetu, ki so nato le še ena dostopna pot hekerja do vašega računalnika. Ko heker ve, katera vrata so odprta in za kaj se uporabljajo, lahko začne preizkušati vsakega posebej, da bi na njih našli ranljivosti. Zaženite na svojem domačem IP-ju, morda boste našli celo nekaj lopih procesov, ki skrivaj pošiljajo neželeno e-pošto.
Upam, da boste preizkusili nekaj teh neverjetnih brezplačnih pregledov, še posebej, če vodite blog in so razmeroma pojma o celotni varnosti. Rekel bi, da objavite tukaj, če dobite zaskrbljujoče rezultate, vendar bi to lahko postalo cilj - zato je najbolje, da objavite anonimno in pustite svoj spletni naslov! Ali poznate kakšna podobna uporabniku prijazna, brezplačna spletna (in vredna zaupanja vredna) orodja za izvajanje teh pregledov? Delite to znanje!
Kreditna slika: ShutterStock
James ima doktorat iz področja umetne inteligence in ima certifikat CompTIA A + in Network +. Je vodilni razvijalec MakeUseOf in svoj prosti čas preživlja z igranjem VR paintball in družabnih iger. Z računalniki gradi že od malih nog.