גילוי נקודות תורפה של הזרקת SQL ביישומי אינטרנט באמצעות OWASP ZAP.
הסורק מזהה נקודות תורפה של הזרקות SQL שנמצאות ביישומי אינטרנט על ידי סריקה וביצוע בדיקה מעמיקה של דפי אינטרנט ופרמטרים.
ביצוע מהיר של מבחן חדירה לאתר האינטרנט שלך באמצעות סורק מתקדם וחכם. הסריקה מבוצעות תוך אופטימיזציה לקבלת התוצאות והביצועים הטובים ביותר שיציגו לך את מצב אתרך, לרבות המלצות לביצוע תיקונים ושיפורי אבטחה מידע.
דו"ח הסריקה יאפשר לך לבצע הערכה עצמית של מצב אבטחת המידע באתר, על מנת לאתר חולשות ביישוםה web שלך. באמצעות המידע יתאפשר לך לתקן את הפגיעויות לפני שתוקפים אמיתיים (האקרים ואפילו מתחרים) יבצעו סריקה לאתרך ויפגעו בך.
אם הינך חברה לפיתוח/עיצוב אתרים או קידום אתרים, תוכל להזמין בדיקת חדירות עבור לקוחותיך ולהוכיח שיישמת את אמצעי האבטחה המתאימים ביותר עבור יישום ה web אותו הינך מתפעל עבורם והעלות את רמת המקצועיות והשרידות של האתר.
שירות סריקת הפגיעות באתרים עושה שימוש בכלים מתקדמים המאפשרים סריקה איכותית והערכת מצב האבטחה של אתר האינטרנט. השירות כולל הפקת דו"ח מפורט המועבר למזמין ובו מגוון רחב של בדיקות מתוחכמות שאנו מבצעים. להלן רשימת הבדיקות אותן נבצע לאתרך במסגרת שירות ה Pen Test: ** ציון שמות הבדיקות הכלולות במבחן החדירות מופיע באנגלית מכיוון שאלו מונחים טכניים בעיקרם. עימכם הסליחה 🙂
לתשומת ליבך: הסריקה מייצרת כמות גדולה של פניות לאתר. ייתכן כי מערכות ה- IDS המוגדרים עבור האתר יאתרו סריקה זו כפעילות התקפה. יחד עם זאת, המבדק אינו מבצע כל נזק לאתר.
המחירים אינם כוללים מע"מ ובחלק מהשירותים ייתכנו עלויות התקנה.
בדיקה באמצעות כלי העושה שימוש ב- SQLMap כדי לבדוק מגוון תצורות בדיקה מול המטרה כדי לקבוע אילו פרמטרים פגיעים. לאחר שנמצאו ונבדקו כל הפרמטרים, אם לפחות אחד מהם אושר כפגיע, הוא ישמש בכדי לחלץ את המידע שצוין ממסד הנתונים.
הכלי הוא ממשק רשת עבור SQLMap הידוע, שמבוצע עם הפרמטרים המתאימים על מנת לספק מהירות ודיוק.
מידע מפורט אודות הזרקת SQL, כולל פתרונות כיצד לתקן פגיעות זו, נמצא בדף הזרקת SQL של OWASP.
בבדיקה אנו יכולים לסרוק הן מסדי נתונים מסוג SQL Server
כמו גם מסדי נתונים מסוג MySQL. סוגי מסדי נתונים נוספים פגיעים עשויים להיות Oracle ו SQLite.
סורק ה- SQL Injection שלנו משתמש במנוע של OWASP ZAP, אחד מכלי האבטחה בקוד פתוח הפופולרי בעולם, המתוחזק באופן פעיל על ידי מאות מפתחים בינלאומיים וחברי קהילה פעילים אחרים.
הכלי OWASP ZAP נוצר בכדי לעזור למשתמשים לאתר באופן אוטומטי פגיעויות אבטחה ביישומי אינטרנט תוך פיתוח ובדיקה.
הכלי יכול לבצע בדיקת הזרקת SQL על ידי הכנסת תווים מיוחדים (למשל ', ", 2 * 3) בכל שדות הקלט של יישום היעד ופיקוח על התנהגות דף האינטרנט. אם יתגלו שגיאות באתר, זה יכול להיות התרחיש של התקפת הזרקת SQL.
על מנת לאמת את הפגיעות שנמצאה, סורק הזרקת SQL מנסה לבנות שאילתת SQL נכונה תחבירית המדגימה שההזרקה הצליחה. לכן התוצאות הבאות יוצגו:
http://vulnapp.example.com/bookings.php?cat=4 AND 1 = 1 —
סורק הזרקת SQL אינו מנסה לנצל את הזרקת SQL, אלא פשוט מגלה נוכחות של כל פגיעות העלולה להשפיע על מסד הנתונים של ה- backend שלך. אם מתגלים פגמים, הכלי המקוון שלנו מציע מידע מפורט אודות הסיכונים אליהם אתם נחשפים והמלצות כיצד לבצע תהליך תיקון יעיל. SQL Injection מאפשרת להאקרים להתעסק במידע רגיש (כגון שמות משתמש, סיסמאות ותעודות חיוניות אחרות) על ידי גילוי או מחיקה.
במסגרת הזמנת מבחן חדירות לאתר האינטרנט שלך נבצע עבורך מבדק הכולל את כל הבדיקות הרלוונטיות הבאות לאתר ולנושאים הקשורים וללא תוספת עלות.
גילוי קבצים וספריות מוסתרים וקבלת גישה נוחה לתוכן מוסתר המתארח באחסון שלך
למידע נוסףבדיקה מקיפה של ליבת הקוד, הרכיבים והמודולים של ג'ומלה וכן פגיעויות ידועות
למידע נוסףבמסגרת הזמנת מבחן חדירות לרשת הארגונית שלך נבצע עבורך מבדק הכולל את כל הבדיקות הרלוונטיות הבאות לרשת ולנושאים הקשורים וללא תוספת עלות.
איתור שירותי רשת מיושנים, עדכוני אבטחה חסרים, קינפוג לקוי של שרתים ופגיעויות
למידע נוסף(CVE-2020-5902) זיהוי התקן F5 BIG-IP פגיע, המושפע מהרצת קוד מרוחק ב TMUI
למידע נוסף(CVE-2019-19781) איתור רכיבי Citrix ADC / Netscaler הפגיעים להרצת קוד מרחוק
למידע נוסף