Alte zece scanari gratuite de securitate

[gupi]

Ofer din nou celor interesați zece scanări de securitate ale site-urilor sau serverelor (câte unul de căciulă, sa nu ne lăcomim).

Condiții:
- să fii printre primii 10 care comentează aici și solicită scanarea;
- să faci dovada că ești proprietarul site-ului sau serverului (vom găsi o modalitate tehnică relativ simplă pentru verificare);
- să-mi trimiți un document quasi-formal de absolvire a responsabilității (daca serverul nu face față testării, nu mă dai în judecată);
- dacă ai ai site-ul pe un server de tip shared, să anunți furnizorul despre scanare;
- să pui în whitelist adresa IP de la care voi scana, pentru a nu corupe rezultatele prin blocare automată (ex. csf);

Scanarea durează în medie 1-2 ore și va fi programată de comun acord, pentru impact minim.

Ce obții
- un raport PDF cu principalele vulnerabilități găsite, atât pe partea de OS (ex: versiune openssl vulnerabilă), cât și pe partea de aplicație (ex: Wordpress-ul tău este 4.2.1, dar între timp a apărut 4.2.2); raportul este tehnic, dar suficient de explicit pentru a putea iniția măsuri de securizare ulterioară.


Bonus:
cei ce au încredere totală (asta însemnând acces administrativ pe server pentru scanner) primesc și un raport detaliat de conformitate cu recomandările de securitate de la cisecurity.org.

Un exemplu de recomandare:
Capture.PNG

[gupi]

Intrebare #1

Buna, ce se intampla daca serverul shared cade in urma testarii sau hostingul ma da afara pt chestii deastea?

==

Scanarea de securitate efectuată este una foarte "light", singurul efect vizibil fiind o usoară crestere a numarului de accesări a site-ului.
De-a lungul a peste 18 luni de scanări pe diverse servere (inclusiv shared) nu am avut cazuri în care serviciile să fi fost afectate de scanare.
De altfel, orice site făcut public are parte de astfel de scanări din partea altor "binevoitori" ce vor să găsească portițe de intrare.

Cât privește furnizorul de servicii de găzduire "shared hosting", va trebui obligatoriu să obții acceptul lui înainte de scanare.
Vei primi detaliile scannerului (adresa IP), astfel încqt vom putea programa -de comun acord- cea mai potrivită perioadă pentru teste.

Dacă mai ai dubii, îi poți contacta pe cei care au dorit acest serviciu anul trecut (vezi aici discutiile) să-ți explice impactul testelor.


// === funny stuff === //
Am avut totusi un caz de server afectat: scanam o retea internă cu infrastructură Windows și un server MS SQL a fost blocat imediat după scanare.
Analiza ulterioară a dovedit că baza de date instalată pe server rula cu user-ul "sa" (user implicit în MS SQL).
În urma testelor de tip "brute-force" cu userul implicit, user-ul "sa" a fost blocat automat, ducând la blocarea bazei de date.

Desi discutiile au fost destul de aprinse la început, clientul a înțeles că nu scannerul e vinovat, ci modalitatea de implementare.
În acest caz, măsurile luate imediat au fost
- limitarea accesului la serverul SQL doar pentru clienții care îl foloseau (anterior, serverul putea fi accesat din toata reteaua)
- utilizarea unui user dedicat pentru baza de date folosită, diferit de "sa"
- dezactivarea user-ului implicit "sa"
// ================= //