ENDERU

Інструкція користувача Сканера та Монітора безпеки веб-сайтів

Введення

Знімок прикладу звіту сканера вразливостей
  1. Ласкаво просимо на сторінку СКАНЕРА ТА МОНІТОРУ БЕЗПЕКИ ВЕБ-САЙТІВ від H-X Technologies! Ці професійні автоматизовані сервіси призначені для захисту ваших веб-сайтів. Ця інструкція допоможе вам використовувати наші сервіси найкращим чином, навіть якщо ви не фахівець з кібербезпеки.
  2. По-перше, якщо ви ще не читали сторінку частих питань, ми пропонуємо вам це зробити, тому що вона містить деяку важливу початкову інформацію про оцінку безпеки та вразливості інформаційної безпеки, також відомих як технічні уразливості. Потім ви можете переглянути сторінку Вікіпедії про уразливості. Ці знання допоможуть вам оптимально використовувати наші сервіси, хоча вони також призначені для новачків.
  3. Уразливості веб-сайтів - це вид комп'ютерних вразливостей, які можуть бути присутні в вихідному коді або конфігурації ваших веб-сторінок, веб-сервера, веб-додатків, баз даних, систем управління базами даних, бекенд-додатків, тощо. На вашому веб-сайті можуть бути уразливості безпеки, навіть якщо про це ніхто не знає. Завжди краще, коли постачальник компонентів вашого сайту або дослідники безпеки виявляють уразливості перш, ніж це зроблять хакери (Darknet, чорний ринок, тощо). Втім, рано чи пізно будь-яка вразливість стає відомою дослідникам безпеки, - до або після того, як хакери використовують цю вразливість для своїх атак. Дослідники безпеки в найкоротші терміни оновлюють спеціальні бази даних вразливостей, бази знань, сканери безпеки та скануючі движки, допомагаючи нам визначати, чи уразливі ваші сайти.
  4. Наш СКАНЕР БЕЗПЕКИ ВЕБ-САЙТІВ використовує кілька баз даних вразливостей та движків сканування для кращого виявлення різних вразливостей веб-сайтів. Деякі з движків: Nikto, SSLscan, DNS Bruteforcer, DNS Zone Transfer analyzer, DNS Harvester, Robots.txt Analyzer, Bruteforce predictables discovery, Sqlmap, Wpscan, Joomscan, OWASP ZAP (Zed Attack Proxy, zaproxy). Вам не потрібно встановлювати ці движки на свій комп'ютер, налаштовувати їх, налаштовувати розклад або запускати їх вручну. Ми робимо це за вас. Крім того, ми постійно контролюємо безпеку вашого сайту та повідомляємо вас про збільшення або зменшення кількості його вразливостей. Тепер давайте подивимося, як використовувати ці сервіси.

Як використовувати Сканер Безпеки Веб-сайтів

Инструкция по использованию сканера уязвимостей
  1. СКАНЕР БЕЗПЕКИ ВЕБ-САЙТІВ (Сканер вразливостей) надає безкоштовний автоматичний аналіз вашого веб-сайту на вимогу.
  2. Якщо коротко, просто зайдіть на головну сторінку Сканера, 1) виберіть ШВИДКЕ СКАНУВАННЯ або НОРМАЛЬНЕ СКАНУВАННЯ, 2) вставте URL-адресу вашого веб-сайту, введіть своє ім'я, адресу електронної пошти, 3) встановіть прапорець, що ви згодні з Умовами користування та Політикою конфіденційності, 4) встановіть прапорець ‘I'm not a robot’ («Я не робот», CAPTCHA), 5) натисніть «Почати сканування» та дотримуйтесь інструкцій.а
  3. У чому різниця між ШВИДКИМ СКАНУВАННЯМ та НОРМАЛЬНИМ СКАНУВАННЯМ? Швидке сканування займає всього 5 хвилин, не вимагає підтвердження електронною поштою, але дає дуже обмежені та ненадійні результати. Для нормального сканування потрібно, щоб ви прочитали повідомлення про активацію у вашій електронній пошті та натиснули посилання активації в ньому. Нормальне сканування може займати кілька годин, але дає більше результатів, включаючи зручний звіт.
  4. Навіщо вам необхідно повідомляти постачальника послуг хостингу веб-сайту про сканування вразливостей? Іноді постачальники блокують спроби сканування вразливостей. Звичайно, це добре для вас, тому що провайдер, ймовірно, також заблокує спроби хакера. Однак, що якщо хакери будуть використовувати складніші методи для обходу засобів контролю безпеки постачальника? Ніколи не покладайтеся лише на один шар безпеки! Ваш сайт повинен бути захищений сам по собі, незалежно від будь-якого провайдера.

    Таким чином, ми рекомендуємо зробити виняток для нашого сканера в засобах безпеки постачальника хостингу, таких як WAF або IPS, щоб отримувати більш об'єктивну інформацію про безпеку саме вашого веб-сайту, а не вашого хостинг-провайдера.

    Ще одне міркування, пов'язане з повідомленням постачальника про сканування вразливостей, полягає в тому, що іноді (дуже рідко) провайдери можуть розглядати сканування як реальну атаку та направляти скарги. Згідно з нашими Умовами використання, відповідальність за сканування вразливостей несемо не ми, а користувачі. Тому, якщо нам надійдуть будь-які скарги, ми змушені будемо перенаправляти їх користувачеві, який запустив сканування.
  5. Оскільки ми відправляємо безліч повідомлень про активацію, звітів і нотифікацій в поштові скриньки користувачів, іноді ці листи потрапляють в СПАМ. Вам слід завжди перевіряти ящик СПАМ, щоб не пропустити наші повідомлення. Ви можете використовувати кнопку «Не Спам» або аналогічну кнопку вашого поштового клієнта, щоб запобігти подальшій помилковій фільтрації спаму.
  6. Приклад звіту сканера Що якщо ви отримали наш звіт про сканування, в якому вказується, що ваш сайт потенційно вразливий? Що ж, не панікуйте! Не кожна вразливість небезпечна та може бути експлуатована. Вам слід показати звіт вашому аналітику інформаційної безпеки або хоча б вашій технічній підтримці для перевірки та оцінки вразливостей. Будь-які сканери вразливостей зазвичай дають багато помилкових спрацьовувань. Ми завжди наполягаємо на тому, що будь-які результати сканування повинні перевірятися вручну. Ми з задоволенням можемо допомогти вам.
  7. Що якщо в звіті зазначено, що ваш сайт потенційно ЗАХИЩЕНИЙ? Що ж, не розслабляйтеся! Не буває та ніколи не буде всезнаючих сканерів вразливостей. Однак наші скануючі системи постійно вчаться. Спробуйте виконати сканування пізніше, та ви можете отримати інші результати. Втомилися запускати сканування вручну? Тоді вам стане в нагоді Сервіс моніторингу вразливостей, що описано нижче.

Як використовувати Монітор Безпеки Веб-сайтів

  1. СКАНУЮЧИЙ МОНІТОР БЕЗПЕКИ ВЕБ-САЙТІВ – це корисний сервіс, який працює за передплатою та використовує движки Сканеру Безпеки для щоденних сеансів сканування, відстежує вразливості вашого сайту з плином часу та повідомляє вас про збільшення, зменшення або зміни вразливостей. Оскільки Монітор заснований на Сканері, під час роботи з Монітором ви можете використовувати наведені вище інструкції та ваш досвід зі Сканером. А саме: заповнення форм, оповіщення хостинг-провайдера, перевірка спаму, обробка звітів, тощо.
  2. Щоб використовувати МОНІТОР БЕЗПЕКИ, перейдіть за посиланням Сканер і Монітор, заповніть форму так само, як і для сканера, але натисніть перемикач «МОНІТОР». З'явиться спливаюче меню «Період», щоб ви могли вибрати необхідний період моніторингу - один або кілька місяців. Після натискання кнопки «Почати сканування» ви отримаєте електронною поштою повідомлення про активацію. Будь ласка, повідомте свого провайдера хостингу веб-сайту про сканування вразливостей та натисніть посилання активації, щоб перейти на сторінку оплати підписки.
  3. На сторінці оплати підписки ви побачите інформацію про параметри підписки, суму оплати, тощо, та запрошення продовжити процес оплати. Оскільки у нас немає доступу до даних платіжних карт VISA/Mastercard користувачів, все платежі обробляються професійним процесинговим центром. Відразу ж після успішної оплати моніторинг активується, та перший сеанс сканування поміщається в чергу.
  4. В електронному листі з повідомленням про активацію ви отримаєте інформацію про вашу підписку, та, крім іншого, посилання на панель управління моніторингом.
  5. Не перенаправляйте нікому та зберігайте конфіденційно наші повідомлення та інші електронні листи, щоб не дозволити неуповноваженим користувачам отримати доступ до вашої панелі управління та відомостям про уразливості.
  6. Після завершення першого сеансу сканування ви отримаєте відповідний звіт з інформацією про поточний статус безпеки вашого веб-сайту. Цей звіт дуже схожий на звичайний звіт СКАНЕРА, що описано вище. Зокрема, як і будь-який звіт про оцінку вразливостей, звіти моніторингу можуть містити помилкові спрацьовування.
  7. Одна з основних ідей нашого сервісу МОНІТОРИНГУ полягає в тому, що повідомлення не повинні відправлятися, якщо немає змін у вразливості вашого сайту. Наприклад, якщо ви проаналізували звіт один раз і вирішили, що деякі з результатів - помилкові спрацьовування, ви отримаєте нове повідомлення моніторингу, тільки коли з'являться нові уразливості або зникнуть існуючі. Тим не менш, ви можете відкривати щоденні звіти про моніторинг з панелі моніторингу, коли захочете, протягом періоду зберігання.
  8. Зверніть увагу, що, коли ваш сайт або його компоненти тимчасово або частково недоступні для наших скануючих движків, вони можуть отримувати менше інформації про уразливості, тому вам може прийти помилкове повідомлення про підвищення безпеки. Монітор виконує підтверджуючи сканування, але ви також можете самі порівнювати кілька звітів від різних дат для перевірки вразливостей.
  9. Якщо ви збираєтесь робити істотні зміни у своєму веб-сайті, такі як міграція або заміна движка веб-сайта, ми рекомендуємо призупинити заздалегідь, хоча б за день, моніторинг уразливостей за допомогою панелі управління та відновити моніторинг після закінчення змін.

Розпочати Сканування або Моніторинг Безпеки вашого веб-сайту.


Хто ми, що робимо та що пропонуємо.

Про тести на проникнення.


Наші сертифікати:

(ISC)2
CISSP
Offensive Security
OSCP
ISACA
CISA
CISM
Microsoft
PECB
LPTP
Qualys
PECB
LPTP
BSI
LPTP
BSI