ESSAY TAMU: Kepiye cara miwiti perusahaan nyedhiyakake pentest demokratisasi kanggo ngimunisasi situs web

Miturut Eden Zaraf

Jenengku Eden Zaraf. Aku wis mimpin dening passion kanggo teknologi kanggo anggere aku bisa ngelingi. Nang endi wae watara umur 13, aku sinau kanggo kode. Aku ngembangake skrip, situs web lan melu keamanan sing nuntun aku menyang tes penetrasi.

Tes Penetrasi minangka tantangan sing ora ana pungkasane. Limang taun kepungkur, kancaku Sahar Avitan wiwit ngembangake alat tes penetrasi otomatis kanggo panggunaan dhewe.

Setaun setengah kepungkur, kita mutusake kanggo ngowahi dadi platform komersial. Aku lungguh ing kelas nalika aku duwe wayahe Eureka iki. Aku temen maujud sing teknologi kita bener bisa bantuan wong. Aku mutusake kanggo ketemu karo tanggaku, Arik Assayag. Aku kandha ing atiku, yen dheweke ngira yen bisa dipasarake, ayo. Dheweke nindakake lan kita ngedegake Kayran.

Arik, sing duwe pengalaman puluhan taun ing pangembangan bisnis lan manajemen perusahaan, saiki dadi CEO Kayran. Kita nyedhiyakake scanner aplikasi web canggih sing unik ing jagad tes penetrasi web.

Vektor situs web

Saben perusahaan sing saiki makaryakke online kudu duwe akses menyang tes penetrasi web tanpa preduli saka ukuran utawa industri sing dioperasikake. Ing jaman digital, keamanan online kudu dadi hak, dudu hak istimewa. Pengujian penetrasi web ngidini para profesional keamanan lan pamilik situs web bisa nguji integritas aset web.

Ana investasi sing luar biasa kanggo latihan sales lan marketing pribadi. Dadi, kenapa ora nandur modal ing wakil sing paling penting, situs web sampeyan?

Situs web sampeyan minangka platform sing sampeyan nawakake layanan, komunikasi karo pelanggan sing ana lan potensial lan ngumpulake data kritis. Saben unsur aplikasi web sampeyan bisa ngemot kerentanan. Formulir ing situs web sampeyan bisa nyebabake injeksi.

Zaraf

Kerentanan ing header host situs web sampeyan bisa ngarahake pangguna menyang domain sing salah lan nyebabake bocor kredensial. Ora kaya aset fisik, aplikasi web duwe tingkat eksposur sing luwih dhuwur marang panyerang potensial mung amarga sapa wae sing duwe sambungan internet sing sregep bisa ngakses situs web sampeyan, sinau lan ngeksploitasi kerentanan sing ana.

Dadi, kita nyoba kabeh: kerentanan ing kode sampeyan, teknologi sing wis lawas, port mbukak lan subdomain online. Kita menehi alat supaya ora mikir kaping pindho babagan keamanan situs web sampeyan.

Demokratisasi pentest

Saiki, pentinge tes penetrasi wis dingerteni umume perusahaan. Komponen penting saka kepatuhan ISO 27001 yaiku nindakake tes penetrasi amarga bisa ngenali kanthi efektif ing ngendi kanggo nambah sistem manajemen keamanan informasi ing organisasi.

Nanging, akeh organisasi ngadhepi kesulitan nalika nyoba entuk akses menyang tes penetrasi web. Tes penetrasi manual larang banget lan nggawe angel kanggo organisasi nindakake tes luwih saka sepisan utawa kaping pindho saben taun, sanajan iki jelas gagal amarga kerentanan anyar katon saben dina.

Kayran demokratisasi akses menyang testing pen kanthi ngidini organisasi mindai domain lan subdomain kanthi mandiri lan ing skala tanpa watesan kanthi rega sing disetel lan terjangkau. Ana rong jinis situs web: aplikasi siji kaca lan sawetara aplikasi kaca, kita ndhukung loro-lorone.

Kita percaya karo keamanan sing bisa digunakake sing ora ngganggu aktivitas online, mula kanthi otomatis nyetel kacepetan panjalukan sing dikirim menyang situs web sampeyan supaya ora offline. Kita nganalisa kode sampeyan, mbukak payload sing disesuaikan adhedhasar kerentanan sing ana lan menehi saran cara patching.

Imunisasi situs web

Sawise sampeyan ndandani kerentanan tartamtu, sampeyan bisa mindhai maneh kanggo mriksa manawa ora ana maneh. Kita ndhukung luwih saka 20,000 kerentanan uga nol dina. Kayran nyederhanakake keamanan kanggo ngaktifake sapa wae, preduli manawa teknis utawa ora, entuk visibilitas babagan keamanan aset web.

Salajengipun, Kayran nyedhiyakake kemampuan kanggo nglanjutake tes pena menyang kaca mlebu supaya sesi kasebut terus sawise otentikasi rampung.

Ing mripatku, kabeh kudu diuji pen saka jaringan internal menyang aplikasi seluler, lan Kayran alon-alon nanging mesthi pindhah menyang nawakake infrastruktur lan pengujian pena aplikasi seluler. Ing Laporan Phishing Negara paling anyar, SlashNext nganalisa milyaran URL basis link, lampiran lan pesen basa alami ing saluran email, seluler lan browser sajrone nem sasi ing taun 2022 lan nemokake luwih saka 255 yuta serangan-peningkatan 61 persen ing tingkat serangan phishing dibandhingake karo 2021.

Siji-sijine cara kanggo nggawe serangan minangka fenomena ing jaman kepungkur yaiku njaluk perlindungan kanggo ngimunisasi awake dhewe saka tren iki lan pungkasane ngilangi utawa paling ora ngemot supaya ora ngganggu kegiatan online komersial lan pribadi.

Babagan penulis esai: Eden Zaraf umure 18 taun. Dheweke dadi co-founder lan CTO Kayran. Dheweke seneng mbantu individu lan organisasi ngatasi masalah kodhe Python sing rumit.

16 Januari 2023

Leave a Comment

Your email address will not be published. Required fields are marked *