מבדק האם יישום אינטרנט פגיע ל- XSS באמצעות OWASP ZAP הסורק זה האם יישום האינטרנט מושפע מפגיעויות של Cross Site Scripting. אנו משלבים מבדק זה כחלק ממבחן החדירות לאתר אינטרנט הוא מהווה מבחן חשוב בשל כך שהפגיעות נפוצה.
ביצוע מהיר של מבחן חדירה לאתר האינטרנט שלך באמצעות סורק מתקדם וחכם. הסריקה מבוצעות תוך אופטימיזציה לקבלת התוצאות והביצועים הטובים ביותר שיציגו לך את מצב אתרך, לרבות המלצות לביצוע תיקונים ושיפורי אבטחה מידע.
דו"ח הסריקה יאפשר לך לבצע הערכה עצמית של מצב אבטחת המידע באתר, על מנת לאתר חולשות ביישוםה web שלך. באמצעות המידע יתאפשר לך לתקן את הפגיעויות לפני שתוקפים אמיתיים (האקרים ואפילו מתחרים) יבצעו סריקה לאתרך ויפגעו בך.
אם הינך חברה לפיתוח/עיצוב אתרים או קידום אתרים, תוכל להזמין בדיקת חדירות עבור לקוחותיך ולהוכיח שיישמת את אמצעי האבטחה המתאימים ביותר עבור יישום ה web אותו הינך מתפעל עבורם והעלות את רמת המקצועיות והשרידות של האתר.
מבדק זה מרחיב את מבחן החדירות לאתר. הסורק שלנו מוגדר עם ההגדרות האופטימליות לקבלת התוצאות והביצועים הטובים ביותר למבחן ה XSS. להלן רשימת הבדיקות אותן נבצע לאתרך במסגרת שירות ה Pen Test: להלן רשימת הבדיקות אותן נבצע לאתרך במסגרת שירות ה Pen Test:
לתשומת ליבך: הסריקה מייצרת כמות גדולה של פניות לאתר. ייתכן כי מערכות ה- IDS המוגדרים עבור האתר יאתרו סריקה זו כפעילות התקפה. יחד עם זאת, המבדק אינו מבצע כל נזק לאתר.
המחירים אינם כוללים מע"מ ובחלק מהשירותים ייתכנו עלויות התקנה.
Scripting Cross-Site (XSS) הוא אחת הפגיעות הידועות ביותר באפליקציות אינטרנט. יש לו אפילו פרק ייעודי בפרויקט OWASP Top 10 וזאת פגיעות נפוצה ביותר במחקרים רבים שנעשים על פלטפורמות Web.
הסיכון לפגיעות של סקריפטים בין אתרים יכול לנוע בין גניבת קובצי cookie, שינוי תוכן זמני לאתר, הזרקת סקריפטים זדוניים או קריאת תוכן רגיש של משתמש-קורבן.
סורק ה- XSS משתמש במנוע הסריקה של OWASP ZAP שהוא אחד מכלי האבטחה הנפוצים בעולם, המתוחזק באופן פעיל על ידי מאות מפתחים בינלאומיים. איתור XSS מתבצע עם כמה בקשות. ראשית, הסורק מזריק פרמטר פשוט בפרמטר שנבדק ובודק אם הוא משתקף חזרה בדף התגובה. אם הפרמטר משתקף, הסורק יזריק פיסת קוד JavaScript הכוללת מספר תווי HTML מיוחדים (>, <, ", ') והוא ינסה לראות אם הם מוחזרים בדף התגובה. אם אכן כך, אזי הדף והפרמטר מוכרזים כפגיעים.
הסורק עובד בשני שלבים:
1. הכלי מנסה לזהות את כל הדפים ביישום האינטרנט, כולל פרמטרים הניתנים להזרקה בטפסים, כתובות URL, כותרות וכו'.
2. מבחן ל- XSS: עבור כל עמוד שהתגלה בשלב הקודם, הסורק ינסה לזהות אם הפרמטרים פגיעים לXSS.
במסגרת הזמנת מבחן חדירות לאתר האינטרנט שלך נבצע עבורך מבדק הכולל את כל הבדיקות הרלוונטיות הבאות לאתר ולנושאים הקשורים וללא תוספת עלות.
גילוי קבצים וספריות מוסתרים וקבלת גישה נוחה לתוכן מוסתר המתארח באחסון שלך
למידע נוסףבדיקה מקיפה של ליבת הקוד, הרכיבים והמודולים של ג'ומלה וכן פגיעויות ידועות
למידע נוסףבמסגרת הזמנת מבחן חדירות לרשת הארגונית שלך נבצע עבורך מבדק הכולל את כל הבדיקות הרלוונטיות הבאות לרשת ולנושאים הקשורים וללא תוספת עלות.
איתור שירותי רשת מיושנים, עדכוני אבטחה חסרים, קינפוג לקוי של שרתים ופגיעויות
למידע נוסף(CVE-2020-5902) זיהוי התקן F5 BIG-IP פגיע, המושפע מהרצת קוד מרוחק ב TMUI
למידע נוסף(CVE-2019-19781) איתור רכיבי Citrix ADC / Netscaler הפגיעים להרצת קוד מרחוק
למידע נוסף