Immuniweb مراجعة وتقييم

إذا كان عملك يعتمد على موقع الويب الخاص بك - كما تفعل معظم الشركات - فأنت مدين لك بنفسك للتأكد من أنه غير مليء بالثغرات الأمنية. يوفر برنامج ImmuniWeb ، وهو ماسح ضوئي من High-Tech Bridge ، للشركات الصغيرة تقييمًا دقيقًا للضعف للكشف عن مشكلات الموقع بسعر معقول قدره 639 دولارًا (مباشر).

هناك العديد من الأسباب لاستهداف المواقع. قد يحاول مجرمو الإنترنت إفساد موقعك ببرامج ضارة قد تصيب زوار موقعك وتسرق بيانات اعتمادهم المصرفية عبر الإنترنت. ربما شخص ما لا يحب عملك ويريد تشويه موقعك. ربما يكون المهاجمون بعد البيانات القيمة المخزنة في قاعدة البيانات الخاصة بك والموقع الإلكتروني هو وسيلة سهلة. وبغض النظر عن ذلك ، فإن مواقع الويب تتعرض للهجوم بشكل متزايد ، والشركات بحاجة إلى التأكد من أن الثغرات الأمنية غير المسبوقة وأخطاء التكوين لا تجعل من السهل على السيئة الرجال في نزهة في حق.

يستخدم مقيمو High-Tech Bridge الماسح الضوئي ImmuniWeb لإجراء فحص تلقائي أو يدوي. ويقدمون جميع النتائج في تقرير شامل ، إلى جانب توصيات حول كيفية حل أي مشكلات يكتشفونها. التقارير سهلة القراءة ومفصلة إلى حد ما. اعتمادًا على طبيعة عملك ، قد يشعر التقرير النهائي لـ ImmuniWeb بالقليل من النجاح أو الخسارة ، ولكن بشكل عام ، الحصول على هذا التقييم الأساسي غير مؤلم ومفيد. تشير العديد من الشركات الصغيرة إلى أن تقييم الثغرات الأمنية يعد أمرًا يجب على "الرجال الكبار" القلق بشأنه ، لكن ImmuniWeb تُظهر أن المؤسسات الأصغر يمكنها تحمل تكلفة الأمان بجدية أيضًا.

بيت القصيد من ImmuniWeb هو أن ننظر إلى موقع الإنتاج. لن يكون من المعقول حقًا أن امتلاك موقع للاختبار معيّن لأن الموقع لن يكون قوياً بما فيه الكفاية وستكون النتائج مصطنعة. لقد تواصلت مع شركتين تجاريتين صغيرتين - يختلفان عن بعضهما البعض - الذين وافقوا على الحصول على تقييم من ImmuniWeb ، بشرط أن تكون لديهم الفرصة لرؤية التقارير الناتجة وحل المشكلات. على الموقع الأول ، يمكن للمستخدمين شراء الكتب ومشاهدة مقاطع الفيديو والمشاركة في منتدى مجتمعي. كان الموقع الثاني مبنيًا على ووردبريس ومشاركة المقالات المنشورة ومقاطع الفيديو والبودكاست.

بوابة ImmuniWeb

بوابة ImmuniWeb هي مركز جميع الاتصالات مع فريق التقييم. لقد اشتركت في حساب ، وحددت عنوان URL للموقع ، وقدمت المعلومات الأساسية. على الرغم من وجود قسم للخيارات المتقدمة (مثل تحديد ما إذا كانت أجزاء من الموقع مخفية وراء مطالبة تسجيل الدخول) ، إلا أنني لم أزعج أيًا من ذلك: فقط معلومات الاتصال الخاصة بي ومعلومات الدفع واختيار التاريخ على التقويم لبدء التقييم. انه من السهل.

بشكل عام ، يبدو المدخل قديمًا بعض الشيء ، ولا يمثل البقعة كما تتوقع أن تكون تطبيقات الويب ، ولكن ، من ناحية أخرى ، من السهل التنقل ويقوم بالمهمة التي صممها بالضبط. لقد رأيت حالة التقييم وحصلت على تنبيهات عندما أرسل فريق ImmuniWeb رسالة. يمكنني جدولة تقييمات متعددة وتتبع كل تقييم على حدة. يمكنني أيضًا تنزيل التقارير بمجرد الانتهاء منها.

كان هناك واحد غريب الغريب الذي أغضبني. القائمة المنسدلة للبادئة ، والتي كانت حقلًا مطلوبًا ، لم توفر خيارًا لـ "Ms." فقط ملكة جمال أو السيدة ، طوال فترة المراجعة ، كنت "بروفيسور"

تقييم ImmuniWeb

تلقيت إشعارًا بالبريد الإلكتروني عند بدء الاختبار ، ومرة ​​أخرى عند اكتماله. لقد حذرت أيضًا من أن الموقع يجب أن يسمح بالوصول إلى عدد قليل من عناوين IP. استغرق الأمر يومًا أو يومين حتى يصبح التقرير جاهزًا. أنا أقدر التواصل العادي.

للتقييم الأول ، تم استضافة الموقع المعني (موقع بيع الكتب) على Amazon EC2 ، ولم يتمكن ImmuniWeb Scanner من رؤيته. قد يكون هناك عدة أسباب لذلك ، مثل نظام الكشف عن الاختراق الذي يمنع الوصول ، أو بعض الأنظمة الأخرى التي تقيد المسح التلقائي. انتقل الفريق إلى التقييم اليدوي وانتهى دون الاضطرار إلى القيام بأي شيء. لم تواجه الماسحة الضوئية أي مشكلة في رؤية الموقع الثاني (مدونة WordPress) ، وأيضًا على منصة سحابية.

قال مسؤولو الموقع إنه لم تكن هناك أي مشاكل أو مشكلات في أداء الموقع أثناء التقييم. هذا شيء جيد للغاية لأن آخر شيء تريده شركة ما هو التعامل مع فترات التوقف.

نتائج التقرير

عندما كانت التقارير جاهزة ، قمت بتنزيلها لمعرفة كيفية عمل المواقع. لم يكن لدى أي موقع أي عيوب حرجة ، مما كان بمثابة ارتياح ، لكن كلاهما كان لديه بعض المشكلات ذات الأولوية المتوسطة والمنخفضة. بالنسبة لبعض المناطق ، شعر التقييم بمستوى عالٍ جدًا ، حيث لم يتضمن التقرير أي تحليل أعمق ، مثل التعرض لهجمات القوة المفرطة. بشكل عام ، غطى التقرير الكثير من الأساسيات ، ولكن بعض الإدخالات الفردية شعرت بقليل من النتن والتغلب على المنظمة. كانت هناك أشياء تم الإشارة إليها على أنها مشكلات لم تكن واضحة عند النظر إليها في سياق العمل أو بنية الموقع.

على سبيل المثال ، يحتوي موقع بيع الكتب على عناصر التجارة الإلكترونية وعناصر الويكي ، وكان التقرير يقرع الموقع مرارًا وتكرارًا لحقيقة أنه يمكن لأي شخص إنشاء صفحة - أهم ميزة أساسية في الويكي. كان من الجيد لو كانت هناك طريقة لتحديد بعض الأشياء يجب تركها خارج التقرير ، خاصة وأن الموقع قد تم مسحه يدويًا. بدلاً من ذلك ، اتبعت ImmuniWeb أسلوبًا واحدًا يناسب الجميع ، ولم يأخذ في الاعتبار أن القدرة على إنشاء صفحة كانت ميزة وليست مشكلة في هذه الحالة. أخشى أن الشركات الصغيرة لن يكون لديها الصبر لتصفح التقرير بحثًا عن المشكلات الفعلية إذا كانت تواجه إدخالات لا تتناسب مع حالة استخدامها.

كانت هناك "مشكلة" أخرى تتمثل في أن كلا الموقعين الممسوحين ضوئيًا عرضوا بعض عناوين البريد الإلكتروني على صفحاتهم ، مثل فريق التسويق والمبيعات وحتى الرئيس التنفيذي. لم يفرق الماسح الضوئي بين عنوان البريد الإلكتروني العام الذي يحتاج العملاء إلى الاتصال بالعمل والمشكلة المحتملة للبيانات. مرة أخرى ، هناك الكثير مما يجب طرحه من نظام أوتوماتيكي ، ولكنه يجعل الإبلاغ مكتظًا.

من ناحية أخرى ، بالنسبة لموقع WordPress ، حدد ImmuniWeb أن الموقع ، بناءً على WordPress ، لديه ثغرة أمنية عالية في حقن SQL. توفر معظم أنظمة تقييم الثغرات الأمنية معرّف CVE (نقاط الضعف والتعرض الشائع) ورابطًا لوصف المشكلة ، ويترك الأمر لمسؤول الموقع لمعرفة مكان المشكلة وكيفية حلها. لا ImmuniWeb. قدم التقرير تعليمات واضحة جدًا لمسؤول WordPress: قم بتحديث المكون الإضافي AdRotate. هذا هو بالضبط نوع تفاصيل الإصلاح الذي يحتاجه المسؤولون غير التقنيين ، وكانت شركة ImmuniWeb قادرة على توفير تلك المعلومات.

تحتوي التقارير أيضًا على معلومات حول تكوين طبقة المقابس الآمنة للموقع بالإضافة إلى ما إذا كان المستقطنون يتحكمون في مجالات السبر المشابهة. بالنسبة لبعض الشركات ، من المفيد معرفة التفاصيل الأخيرة.

خطوة جيدة إلى الأمام

بالنسبة لمعظم الشركات ، تعد ImmuniWeb بداية جيدة. إذا لم تكن لديك أي فكرة عما تبدو عليه صورة الأمان الخاصة بك ، فمن الجدير بالحصول على هذا التقييم - خاصةً بسعر 639 دولارًا. على الرغم من أنك ستحتاج إلى إجراء بعض مكالمات الحكم على أجزاء التقرير ذات الصلة بعملك ، فإن المعلومات المقدمة سهلة القراءة والفهم ، والتي سيقدرها المسؤولون غير التقنيين.