如何像黑客一样分析你的网站以查找漏洞（）

本文概述

检测功能
Detectify入门
运行安全扫描
探索检测报告
探索检测设置

使用Detectify安全漏洞扫描程序在Web应用程序中查找安全漏洞的分步指南。
TrustWave测试的应用程序中有97％易受一种或多种安全风险的影响。
这篇博客文章与Detectify合作。

文章图片
如果不及时补救, Web应用程序漏洞可能会给公司造成业务和声誉损失。
可悲的事实是, 大多数网站在大多数时间都是脆弱的。白帽安全公司(White Hat Security)的一份有趣的报告显示, 每个行业平均修复该漏洞的时间。

文章图片
如何确保你知道Web应用程序中的已知和未知漏洞？
有许多基于云的安全扫描程序可以帮助你。在本文中, 我将讨论最有前途的SaaS平台之一-Detectify。
Detectify与你的开发流程集成在一起, 可以在早期阶段(临时/非生产环境)发现安全风险, 因此你可以在上线之前减轻风险。
开发集成只是众多出色功能之一, 如果没有暂存环境, 则可以选择集成。
Detectify使用内置的搜寻器来爬行你的网站, 并根据Web应用程序中使用的技术优化测试。
进行爬网后, 将对你的网站进行500多个漏洞的测试, 其中包括OWASP排名前10位的漏洞, 并为你提供每个发现的可行报告。
检测功能一些值得一提的功能是：
报告–你可以将扫描结果导出为摘要或完整报告。你可以选择导出为PDF, JSON或Trello。你还可以按OWASP的前10名查看报告；如果你的目标是仅解决OWASP的发现, 那么这将很方便。
集成–你可以使用Detectify API与你的应用程序或以下应用程序集成。

Slack, Pager Duty, Hipchat –立即收到通知
JIRA –为调查结果创造问题
Trello –在Trello板中获得结果
Zapier-自动化工作流程

大量测试–如前所述, 它检查了500多个漏洞, 其中一些是：

SQL / Blind / WPML / NoSQL SQL注入
跨站点脚本(XSS)
跨站点伪造请求(CSRF)
远程/本地文件包含
SQL错误
未加密的登录会话
信息泄漏
电子邮件欺骗
电子邮件/用户枚举
会话中断
XPATH
恶意软件

不要一个人做任何事情-邀请你的团队表演并分享结果
自定义测试–每个应用程序都是唯一的, 因此如有必要, 你可以放置??自定义cookie /用户代理/标题, 更改测试行为以及从其他设备进行。
持续安全更新–该工具会定期更新, 以确保覆盖并测试了所有最新漏洞。例如, 就在上周, 已更新了10多个新测试。
CMS安全性–如果你正在运行博客, 信息网站, 电子商务, 那么很可能将使用WordPress, Joomla, Drupal, Magento等CMS, 而且好消息是它们已包含在安全测试中。
Detectify将执行CMS特定测试, 以确保你的网站不会受到在线威胁的威胁。
扫描受保护页面–浏览登录背后的页面
Detectify入门 Detectify提供14天的免费试用期(无需信用卡)。接下来, 我将创建一个试用帐户并在我的网站上执行安全测试。