Immuniweb granskning och betyg

Om ditt företag förlitar sig på din webbplats - som de flesta företag gör - är du skyldig dig själv att se till att den inte är full av säkerhetshål. ImmuniWeb, en kodskanner från High-Tech Bridge, ger små företag en noggrann bedömning av sårbarhet för att avslöja webbplatsfrågor till ett överkomligt pris på 639 $ (direkt).

Det finns många skäl för att rikta in sig på webbplatser. Cyberbrottslingar kan försöka skada din webbplats med skadlig programvara som kan smitta dina besökare på webbplatsen och stjäla deras onlinebankuppgifter. Kanske gillar någon inte ditt företag och vill skämpa bort din webbplats. Kanske är angriparna efter värdefulla data lagrade i din databas och webbplatsen är ett enkelt sätt i. Oavsett, webbplatser blir alltmer attackerade, och företag måste se till att oöverträffade säkerhetsbrister och konfigurationsfel inte gör det lätt för det dåliga killar att promenera direkt in.

High-Tech Bridges bedömare använder ImmuniWeb-skannern för att utföra antingen en automatiserad eller manuell skanning. De ger alla resultat i en omfattande rapport, tillsammans med rekommendationer om hur man löser alla problem de upptäcker. Rapporterna är lätta att läsa och ganska detaljerade. Beroende på vilken typ av företag du har, kan ImmuniWebs slutrapport känna sig lite träffad, men totalt sett är det smärtfritt och användbart att få den grundläggande bedömningen. Många småföretag anser att bedömning av sårbarhet är något för de "stora killarna" att oroa sig för, men ImmuniWeb visar att de mindre organisationerna har råd att ta säkerhet på allvar.

Hela poängen med ImmuniWeb är att titta på en produktionsplats. Att jag samlade en testplats skulle inte riktigt vara meningsfullt eftersom webbplatsen inte skulle vara tillräckligt robust och resultaten skulle vara konstgjorda. Jag nådde ut till två småföretag - väldigt olika från varandra - som gick med på att göra en ImmuniWeb-utvärdering, förutsatt att de fick möjlighet att se de resulterande rapporterna och lösa problemen. På den första sajten kunde användare köpa böcker, titta på videor och delta i ett communityforum. Den andra sajten baserades på WordPress och innehöll artikelposter, videoklipp och podcast.

ImmuniWeb Portal

ImmuniWeb-portalen är centrum för all kommunikation med bedömningsteamet. Jag registrerade mig för ett konto, angav webbplatsens URL och lämnade grundläggande information. Medan det fanns ett avsnitt för avancerade alternativ (som att säga om delar av webbplatsen var dolda bakom en inloggningsprompt) bryr jag mig inte om något av det: Bara min kontaktinformation, betalningsinformationen och valet av ett datum i kalendern för att påbörja utvärderingen. Det är så enkelt.

Totalt sett ser portalen lite daterad ut och är inte så snygg som du förväntar dig att webbapplikationer ska vara, men å andra sidan är det lätt att navigera och gör exakt det jobb det är utformat för. Jag såg bedömningens status och fick varningar när ImmuniWeb-teamet skickade ett meddelande. Jag kunde schemalägga flera utvärderingar och hålla reda på var och en separat. Jag kunde också ladda ner rapporterna när de var klar.

Det var en konstig skrik som irriterade mig. Listrutan för prefix, som var ett obligatoriskt fält, gav inte ett alternativ för "Ms." Bara fröken eller fru. Så under hela granskningen var jag en "professor"

ImmuniWeb-bedömningen

Jag fick ett e-postmeddelande när testet startade och igen när det slutfördes. Jag varnade också för att webbplatsen måste tillåta åtkomst för en handfull IP-adresser. Det tog en dag eller två innan rapporten var klar. Jag uppskattade den vanliga kommunikationen.

För den första utvärderingen var webbplatsen i fråga (bokhandeln webbplats) värd på Amazon EC2, och ImmuniWeb-skannern kunde inte se den. Det kan finnas flera orsaker till det, till exempel ett system för intrångsdetektering som blockerar åtkomst eller något annat system som begränsar automatisk skanning. Teamet bytte till en manuell utvärdering och slutade utan att jag skulle behöva göra något. Skannern hade inga problem med att se den andra webbplatsen (WordPress-bloggen), också på en molnplattform.

Webbplatsadministratörerna sa att det inte fanns några fel eller problem med webbplatsens prestanda under utvärderingen. Detta är en mycket bra sak eftersom det sista ett företag vill är att hantera driftstopp.

Rapportens resultat

När rapporterna var färdiga laddade jag ner dem för att se hur webbplatserna gick. Ingen av webbplatserna hade några kritiska brister, vilket var en lättnad, men båda hade några medel- och lågprioriterade problem. För vissa områden kändes bedömningen lite för hög, eftersom rapporten inte innehöll någon djupare analys, till exempel sårbarhet angrepp mot våld. Sammantaget omfattade rapporten en hel del grunder, men några av de enskilda uppgifterna kändes lite nitpicky och en hit-eller-miss för organisationen. Det fanns saker som märktes som frågor som helt klart inte var när de beaktades i samband med verksamheten eller webbplatsarkitekturen.

Till exempel hade bokhandelssidan både e-handels- och wiki-element, och rapporten gjorde webbplatsen upprepade gånger för att vem som helst kunde skapa en sida - den mest grundläggande funktionen i en wiki. Det hade varit trevligt om det fanns ett sätt att specificera vissa saker som skulle lämna rapporten, särskilt eftersom webbplatsen hade skannats manuellt. Istället tog ImmuniWeb en tillvägagångssätt som passar alla, och det tog inte hänsyn till att det här fallet att skapa en sida var en funktion, inte ett problem. Jag oroar mig för att småföretag inte skulle ha tålamod att söka igenom rapporten och leta efter faktiska problem om de står inför poster som inte matchar deras användningsfall.

En annan "fråga" var det faktum att båda webbplatserna som skannades visade några e-postadresser på sina sidor, till exempel för marknadsföringsteamet, försäljning och till och med VD. Skannern skilde inte mellan en generisk e-postadress som kunder behöver för att kontakta företaget och ett potentiellt dataproblem. Återigen är det mycket att fråga från ett automatiserat system, men det skapar en fullsatt rapport.

Å andra sidan, för WordPress-webbplatsen identifierade ImmuniWeb webbplatsen, baserad på WordPress, med en hög nivå SQL-injektionssårbarhet. De flesta plattformar för bedömning av sårbarhet tillhandahåller CVE (Common Vulnerabilities and Exposures) -identifieraren och en länk till en beskrivning av problemet, och lämnar det upp till webbplatsadministratören att ta reda på var problemet är och hur man löser det. Inte ImmuniWeb. Rapporten gav mycket tydliga instruktioner för WordPress-administratören: uppdatera AdRotate-plugin. Detta är exakt den typ av korrigeringsdetaljer som icke-tekniska administratörer behöver, och ImmuniWeb kunde ge den informationen.

Rapporterna har också information om webbplatsens SSL-konfiguration samt om squatters kontrollerade liknande klingande domäner. För vissa företag är den senare detalj bra att veta.

Ett bra steg framåt

För de flesta företag är ImmuniWeb en bra start. Om du inte har någon aning om hur din säkerhetsbild ser ut så är det värt att få den bedömningen - särskilt till det övergripande överkomliga priset på 639 dollar. Även om du fortfarande måste göra några bedömningsanrop om vilka delar av rapporten som är relevanta för ditt företag, är den information som tillhandahålls lätt att läsa och förstå, vilket icke-tekniska administratörer kommer att uppskatta.