รีวิวและให้คะแนน

หากธุรกิจของคุณต้องพึ่งพาเว็บไซต์ของคุณเช่นเดียวกับที่ธุรกิจส่วนใหญ่ทำคุณเป็นหนี้ตัวคุณเองเพื่อให้แน่ใจว่าไม่มีช่องโหว่ด้านความปลอดภัย ImmuniWeb เครื่องสแกนรหัสจาก High-Tech Bridge มอบการประเมินความเสี่ยงอย่างละเอียดแก่ธุรกิจขนาดเล็กเพื่อค้นหาปัญหาเกี่ยวกับไซต์ในราคา 639 ดอลลาร์ (โดยตรง)

มีสาเหตุหลายประการในการกำหนดเป้าหมายเว็บไซต์ อาชญากรไซเบอร์อาจพยายามทำให้ไซต์ของคุณเสียหายด้วยมัลแวร์ที่อาจทำให้ผู้เยี่ยมชมไซต์ของคุณเสียหายและขโมยข้อมูลรับรองธนาคารออนไลน์ของพวกเขา บางทีมีคนไม่ชอบธุรกิจของคุณและต้องการทำให้ไซต์ของคุณเป็นที่น่ารังเกียจ บางทีผู้โจมตีอาจตามข้อมูลที่มีค่าซึ่งจัดเก็บไว้ในฐานข้อมูลของคุณและเว็บไซต์ก็เป็นวิธีที่ง่ายไม่ว่าเว็บไซต์จะถูกโจมตีมากขึ้นหรือไม่และธุรกิจจำเป็นต้องทำให้แน่ใจว่าข้อบกพร่องด้านความปลอดภัยที่ไม่ตรงกัน คนที่จะเดินเล่นทันที

ผู้ประเมินไฮเทคบริดจ์ใช้เครื่องสแกน ImmuniWeb เพื่อทำการสแกนอัตโนมัติหรือด้วยตนเองพวกเขาให้ผลลัพธ์ทั้งหมดในรายงานที่ครอบคลุมพร้อมกับคำแนะนำเกี่ยวกับวิธีการแก้ไขปัญหาใด ๆ ที่พบ รายงานนั้นอ่านง่ายและมีรายละเอียดพอสมควร รายงานขั้นสุดท้ายของ ImmuniWeb อาจขึ้นอยู่กับลักษณะของธุรกิจของคุณอาจรู้สึกว่าน่าผิดหวัง แต่โดยรวมแล้วการได้รับการประเมินขั้นพื้นฐานนั้นไม่เจ็บปวดและเป็นประโยชน์ ธุรกิจขนาดเล็กจำนวนมากคิดว่าการประเมินความเสี่ยงนั้นเป็นสิ่งที่ "ผู้ยิ่งใหญ่" ต้องกังวล แต่ ImmuniWeb แสดงให้เห็นว่าองค์กรขนาดเล็กสามารถให้ความปลอดภัยได้อย่างจริงจังเช่นกัน

จุดทั้งหมดของ ImmuniWeb คือการดูเว็บไซต์ผลิต การทดสอบก้อนกรวดของฉันเข้าด้วยกันเป็นเว็บไซต์ทดสอบไม่สมเหตุสมผลเพราะไซต์นั้นไม่แข็งแรงพอและผลลัพธ์จะเป็นสิ่งประดิษฐ์ ฉันติดต่อธุรกิจขนาดเล็กสองแห่งซึ่งแตกต่างกันมากซึ่งตกลงที่จะรับการประเมิน ImmuniWeb หากพวกเขามีโอกาสได้เห็นรายงานที่เกิดขึ้นและแก้ไขปัญหา ในไซต์แรกผู้ใช้สามารถซื้อหนังสือดูวิดีโอและมีส่วนร่วมในฟอรัมชุมชน ไซต์ที่สองนั้นใช้ WordPress และบทความบทความวิดีโอคลิปและพอดแคสต์

ImmuniWeb พอร์ทัล

ImmuniWeb Portal เป็นศูนย์กลางของการสื่อสารทั้งหมดกับทีมประเมิน ฉันสมัครใช้งานบัญชีระบุ URL ของเว็บไซต์และให้ข้อมูลพื้นฐาน ในขณะที่มีส่วนสำหรับตัวเลือกขั้นสูง (เช่นการบอกว่าส่วนของเว็บไซต์ถูกซ่อนอยู่หลังพรอมต์การเข้าสู่ระบบ) ฉันไม่ได้สนใจอะไรเลย: เพียงแค่รายละเอียดการติดต่อของฉันข้อมูลการชำระเงินและการเลือกวันที่ บนปฏิทินเพื่อเริ่มการประเมิน มันง่ายมาก

โดยรวมแล้วพอร์ทัลดูเหมือนล้าสมัยเล็กน้อยและไม่ลื่นอย่างที่คุณคาดหวังว่าเว็บแอปพลิเคชั่นจะสามารถทำได้ แต่ในทางกลับกันมันเป็นเรื่องง่ายที่จะนำทางและทำงานตรงตามที่ออกแบบไว้ ฉันเห็นสถานะของการประเมินและได้รับการแจ้งเตือนเมื่อทีม ImmuniWeb ส่งข้อความ ฉันสามารถกำหนดเวลาการประเมินหลายครั้งและติดตามการแยกกัน ฉันสามารถดาวน์โหลดรายงานได้เมื่อดำเนินการเสร็จ

มีเรื่องแปลกประหลาดอย่างหนึ่งที่ทำให้ฉันรำคาญ เมนูแบบเลื่อนลงส่วนนำหน้าซึ่งเป็นฟิลด์บังคับไม่มีตัวเลือกสำหรับ "นางสาว" เพียงแค่คิดถึงหรือนางดังนั้นในช่วงระยะเวลาของการตรวจสอบฉันเป็น "ศาสตราจารย์"

การประเมิน ImmuniWeb

ฉันได้รับอีเมลแจ้งเตือนเมื่อการทดสอบเริ่มต้นและอีกครั้งเมื่อการทดสอบเสร็จสิ้น ฉันถูกเตือนด้วยว่าไซต์จะต้องอนุญาตให้เข้าถึงที่อยู่ IP จำนวนหนึ่งได้ ใช้เวลาหนึ่งหรือสองวันเพื่อให้รายงานพร้อม ฉันชื่นชมการสื่อสารปกติ

สำหรับการประเมินครั้งแรกไซต์ที่เป็นปัญหา (เว็บไซต์ร้านหนังสือ) โฮสต์บน Amazon EC2 และเครื่องสแกน ImmuniWeb ไม่สามารถมองเห็นได้ อาจมีสาเหตุหลายประการเช่นระบบการตรวจจับการบุกรุกบล็อกการเข้าถึงหรือระบบอื่น ๆ ที่ จำกัด การสแกนอัตโนมัติ ทีมเปลี่ยนเป็นการประเมินด้วยตนเองและเสร็จสิ้นโดยที่ฉันไม่ต้องทำอะไรเลย สแกนเนอร์ไม่มีปัญหาในการดูไซต์ที่สอง (บล็อก WordPress) เช่นกันบนแพลตฟอร์มคลาวด์

ผู้ดูแลไซต์กล่าวว่าไม่มีการผิดพลาดหรือมีปัญหากับประสิทธิภาพของไซต์ในระหว่างการประเมิน นี่เป็นสิ่งที่ดีมากเพราะสิ่งสุดท้ายที่ธุรกิจต้องการคือการจัดการกับการหยุดทำงาน

รายงานผลการ

เมื่อรายงานพร้อมแล้วฉันดาวน์โหลดพวกเขาเพื่อดูว่าไซต์นั้นมีลักษณะอย่างไร ทั้งสองไซต์มีข้อบกพร่องที่สำคัญซึ่งเป็นการบรรเทาทุกข์ แต่ทั้งคู่มีปัญหาระดับปานกลางและระดับต่ำบางประเด็น สำหรับบางพื้นที่การประเมินระดับสูงเกินไปเล็กน้อยเนื่องจากรายงานไม่ได้มีการวิเคราะห์ที่ลึกเช่นช่องโหว่การโจมตีแบบบังคับเดรัจฉาน โดยรวมแล้วรายงานดังกล่าวครอบคลุมพื้นฐานหลายอย่าง แต่บางรายการก็รู้สึกว่าเป็นไม้จิ้มฟันและองค์กรที่พลาดไม่ได้ มีบางสิ่งที่ถูกตั้งค่าสถานะว่าเป็นปัญหาที่ไม่ชัดเจนเมื่อพิจารณาในบริบทของธุรกิจหรือสถาปัตยกรรมของไซต์

ตัวอย่างเช่นเว็บไซต์ร้านหนังสือมีทั้งอีคอมเมิร์ซและองค์ประกอบ wiki และรายงานกำหนดไซต์ซ้ำ ๆ เนื่องจากผู้ใช้ทุกคนสามารถสร้างหน้าได้ซึ่งเป็นคุณสมบัติขั้นพื้นฐานที่สุดของวิกิ มันคงจะดีถ้ามีวิธีการระบุสิ่งที่ควรออกจากรายงานโดยเฉพาะอย่างยิ่งตั้งแต่เว็บไซต์ถูกสแกนด้วยตนเอง แต่ ImmuniWeb ใช้แนวทางเดียวที่เหมาะกับทุกคนและไม่ได้คำนึงถึงความสามารถในการสร้างหน้าเว็บที่เป็นคุณลักษณะไม่ใช่ปัญหาในกรณีนี้ ฉันกังวลว่าธุรกิจขนาดเล็กจะไม่มีความอดทนในการกลั่นกรองรายงานเพื่อค้นหาปัญหาที่แท้จริงหากพวกเขาประสบกับรายการที่ไม่ตรงกับกรณีการใช้งานของพวกเขา

"ปัญหา" อีกประการหนึ่งคือข้อเท็จจริงที่ว่าทั้งสองเว็บไซต์สแกนแสดงที่อยู่อีเมลบางส่วนในหน้าเว็บของตนเช่นสำหรับทีมการตลาดการขายและแม้แต่ CEO เครื่องสแกนไม่ได้แยกความแตกต่างระหว่างที่อยู่อีเมลทั่วไปที่ลูกค้าต้องติดต่อธุรกิจและปัญหาข้อมูลที่อาจเกิดขึ้น อีกครั้งที่ต้องถามจากระบบอัตโนมัติ แต่มีการรายงานที่แออัด

ในทางกลับกันสำหรับเว็บไซต์ WordPress ImmuniWeb ระบุว่าไซต์นั้นใช้ WordPress เป็นช่องโหว่ในการฉีด SQL ระดับสูง แพลตฟอร์มการประเมินความเสี่ยงส่วนใหญ่มีตัวระบุ CVE (ช่องโหว่ทั่วไปและการเปิดเผย) และลิงก์ไปยังคำอธิบายของปัญหาและปล่อยให้ผู้ดูแลไซต์ทราบถึงปัญหาและวิธีการแก้ไข ไม่ใช่ ImmuniWeb รายงานให้คำแนะนำที่ชัดเจนมากสำหรับผู้ดูแลระบบ WordPress: อัปเดตปลั๊กอิน AdRotate นี่เป็นประเภทของรายละเอียดการแก้ไขที่จำเป็นสำหรับผู้ดูแลระบบที่ไม่ใช่ด้านเทคนิคและ ImmuniWeb ก็สามารถให้ข้อมูลนั้นได้

รายงานดังกล่าวยังมีข้อมูลเกี่ยวกับการกำหนดค่า SSL ของไซต์รวมถึงการใช้ไพน์เตอร์ในการควบคุมโดเมนที่มีเสียงคล้ายกันหรือไม่ สำหรับบางธุรกิจรายละเอียดหลังมีประโยชน์ที่จะรู้

ก้าวไปข้างหน้าอย่างดี

สำหรับธุรกิจส่วนใหญ่ ImmuniWeb เป็นการเริ่มต้นที่ดี หากคุณไม่มีความคิดใด ๆ ภาพความปลอดภัยของคุณดูเหมือนว่าคุ้มค่าที่จะได้รับการประเมินโดยเฉพาะอย่างยิ่งในราคาที่ไม่แพงอย่างเห็นได้ชัดคือ $ 639 ในขณะที่คุณจะต้องทำการเรียกการตัดสินว่าส่วนใดของรายงานที่เกี่ยวข้องกับธุรกิจของคุณข้อมูลที่ให้นั้นง่ายต่อการอ่านและทำความเข้าใจซึ่งผู้ดูแลระบบที่ไม่ใช่ด้านเทคนิคจะประทับใจ