סורק הפגיעות באתרים מבצע סריקת אבטחת רשת פסיבית במטרה לזהות בעיות ופגיעויות כגון:
תוכנת שרת מיושנת, כותרות HTTP לא מאובטחות, הגדרות קובצי cookie לא מאובטחות,
איתור הזרקות SQL, בעיות XSS, קבצים זדוניים, יכולת הזרקת פקודות ישירות למערכת ההפעלה ועוד.
ביצוע מהיר של מבחן חדירה לאתר האינטרנט שלך באמצעות סורק מתקדם וחכם. הסריקה מבוצעות תוך אופטימיזציה לקבלת התוצאות והביצועים הטובים ביותר שיציגו לך את מצב אתרך, לרבות המלצות לביצוע תיקונים ושיפורי אבטחה מידע.
דו"ח הסריקה יאפשר לך לבצע הערכה עצמית של מצב אבטחת המידע באתר, על מנת לאתר חולשות ביישוםה web שלך. באמצעות המידע יתאפשר לך לתקן את הפגיעויות לפני שתוקפים אמיתיים (האקרים ואפילו מתחרים) יבצעו סריקה לאתרך ויפגעו בך.
אם הינך חברה לפיתוח/עיצוב אתרים או קידום אתרים, תוכל להזמין בדיקת חדירות עבור לקוחותיך ולהוכיח שיישמת את אמצעי האבטחה המתאימים ביותר עבור יישום ה web אותו הינך מתפעל עבורם והעלות את רמת המקצועיות והשרידות של האתר.
שירות סריקת הפגיעות באתרים עושה שימוש בכלים מתקדמים המאפשרים סריקה איכותית והערכת מצב האבטחה של אתר האינטרנט. השירות כולל הפקת דו"ח מפורט המועבר למזמין ובו מגוון רחב של בדיקות מתוחכמות שאנו מבצעים. להלן רשימת הבדיקות אותן נבצע לאתרך במסגרת שירות ה Pen Test: ** ציון שמות הבדיקות הכלולות במבחן החדירות מופיע באנגלית מכיוון שאלו מונחים טכניים בעיקרם. עימכם הסליחה 🙂
לתשומת ליבך: הסריקה מייצרת כמות גדולה של פניות לאתר. ייתכן כי מערכות ה- IDS המוגדרים עבור האתר יאתרו סריקה זו כפעילות התקפה. יחד עם זאת, המבדק אינו מבצע כל נזק לאתר.
המחירים אינם כוללים מע"מ ובחלק מהשירותים ייתכנו עלויות התקנה.
מבדק החוסן והחדירה כולל בדיקות אבטחה מורכבות ביותר. תחילה מתבצעת סריקה לאתר היעד ולאחר מכן הזרקת פרמטרים לעמודים השונים תוך חיפוש נקודות תורפה ספציפיות כגון: הזרקת SQL Iinjection ו Cross Site Scripting, בחינת קבצים מקומיים, הזרקת פקודות מערכת הפעלה ועוד. יתר על כן, הבדיקה מנסה לאתר קבצים רגישים מהשרת כמו קבצי גיבוי, קבצים ישנים, ממשקי מנהל, קבצי ארכיון וכו'. הסריקה שמתבצעת הינה אגרסיבית ושולחת עד 10,000 בקשות HTTP. פעולות מרובות אלו עשויות להפעיל את מערכות ה IDS (ככל שכאלו קיימות ומקונפגות היטב), אך תשומת ליבכם כי לא מדובר בסריקה הרסנית. מכיוון שהמבדק הוא מקיף וכולל הערכת אתר מקיפה, הוא עשוי להימשך עד מספר שעות.
בעת ביצוע ה Penetration Test לאתר, ישנה אפשרות לסריקה מורכבת יותר הכוללת התנהגות של משתמש רשום ומאומת במערכת. בכך הסריקה הופכת למעמיקה יותר וכוללת גם דפים פנימיים שהגישה אליהם היא רק למשתמשים רשומים באתר. ניתן להגדיר את האימות בשתי דרכים:
אימות משתמש / סיסמה: כאשר נבחרה אפשרות זו, הסורק ינסה תחילה לאמת את כתובת הכניסה שסופקה ולקבל קובץ cookie תקף. קובץ cookie זה ישמש עם כל בקשות ה- HTTP הנעשות לשרת, ויבצע סריקה מאומתת. כמובן שנבצע אימות התחברות לפני התחלת הסריקה בפועל.
אימות קובצי cookie: עם אפשרות זו יצויין קובץ cookie פעיל (או קובצי cookie מרובים) שכבר תקף שיישלח עם כל בקשת HTTP לשרת. תחילה נשיג את קובץ ה- cookie על ידי כניסה ידנית לאתר היעד באמצעות דפדפן אינטרנט והעברת ה cookie מהדפדפן לכלי המבדק.
אימות Headers: אפשרות זו מאפשרת לציין כותרות HTTP מותאמות אישית שיישלחו עם כל בקשה לאתר הנבחן. אלה יכולים לשמש לאימות (למשל JWT tokens, Basic Authentication וכו') או לפונקציונליות יישומית ספציפית אחרת.
אימות מוקלט: שיטה זו פועלת על בסיס תיעוד והקלטת הצעדים הנדרשים על מנת לאמת את המטרה. הסורק ישתמש בהקלטה זו על ידי הפעלה חוזרת של הפעולות ולקבלת הפעלה תקפה בכל פעם שהוא מזהה כניסה מחודשת.
במסגרת הזמנת מבחן חדירות לאתר האינטרנט שלך נבצע עבורך מבדק הכולל את כל הבדיקות הרלוונטיות הבאות לאתר ולנושאים הקשורים וללא תוספת עלות.
גילוי קבצים וספריות מוסתרים וקבלת גישה נוחה לתוכן מוסתר המתארח באחסון שלך
למידע נוסףבדיקה מקיפה של ליבת הקוד, הרכיבים והמודולים של ג'ומלה וכן פגיעויות ידועות
למידע נוסףבמסגרת הזמנת מבחן חדירות לרשת הארגונית שלך נבצע עבורך מבדק הכולל את כל הבדיקות הרלוונטיות הבאות לרשת ולנושאים הקשורים וללא תוספת עלות.
איתור שירותי רשת מיושנים, עדכוני אבטחה חסרים, קינפוג לקוי של שרתים ופגיעויות
למידע נוסף(CVE-2020-5902) זיהוי התקן F5 BIG-IP פגיע, המושפע מהרצת קוד מרוחק ב TMUI
למידע נוסף(CVE-2019-19781) איתור רכיבי Citrix ADC / Netscaler הפגיעים להרצת קוד מרחוק
למידע נוסף