Security Professionals
- ipfw add deny all from eindgebruikers to any
Website testers
18-06-2016, 17:29 door Anoniem, 4 reacties
Met enige regelmaat kom je op dit forum websites tegen die op specifieke aspecten van websitebeveiligingen testen.
Zo zag ik al voorbij komen:
* internet.nl (TLS, IPv6, DNSSEC)
* securityheaders.io (HPKP, CSP en andere headers)
* SSLLabs.com (TLS)
* htbridge.com (TLS)
Ook ken ik inmiddels verschillende sites die maar 1 heel specifiek iets testen zoals:
* weakdh.org (DH onderdeel in TLS)
* sritest.io (SRI)
Ik was benieuwd: zijn er nog meer van die sites die een algemeen beeld kunnen geven? En hoe zijn je ervaringen met die sites?
Zo zag ik al voorbij komen:
* internet.nl (TLS, IPv6, DNSSEC)
* securityheaders.io (HPKP, CSP en andere headers)
* SSLLabs.com (TLS)
* htbridge.com (TLS)
Ook ken ik inmiddels verschillende sites die maar 1 heel specifiek iets testen zoals:
* weakdh.org (DH onderdeel in TLS)
* sritest.io (SRI)
Ik was benieuwd: zijn er nog meer van die sites die een algemeen beeld kunnen geven? En hoe zijn je ervaringen met die sites?
Reacties (4)
19-06-2016, 12:43 door
Ron625
Niet zozeer de beveiliging, maar wel de correctheid van de verzonden pagina.
Het W3C kan zowel de HTML als de CSS controleren op de standaarden.
https://validator.w3.org
Het W3C kan zowel de HTML als de CSS controleren op de standaarden.
https://validator.w3.org
20-06-2016, 00:16 door
Erik van Straten
Enkele die mij zo te binnen schieten:
https://www.whynopadlock.com/ - waar zit de "mixed content" -al een tijd niet meer gebruikt, kan oorzaak ontbreken slotje vaak niet goed aangeven.
https://weakdh.org/sysadmin.html - LogJam check
https://www.poodletest.com/
https://virustotal.com/ vooral bij shared hosting: op op het IP-adres "onder" jouw site malware is aangetroffen. Geeft ook inzicht in eerdere domainnames gekoppeld aan het huidige IP-adres. Voor malware onderzoek van een site, Google naar:
test website security
https://www.whynopadlock.com/ - waar zit de "mixed content" -al een tijd niet meer gebruikt, kan oorzaak ontbreken slotje vaak niet goed aangeven.
https://weakdh.org/sysadmin.html - LogJam check
https://www.poodletest.com/
https://virustotal.com/ vooral bij shared hosting: op op het IP-adres "onder" jouw site malware is aangetroffen. Geeft ook inzicht in eerdere domainnames gekoppeld aan het huidige IP-adres. Voor malware onderzoek van een site, Google naar:
test website security
Een paar linkjes, zolang het hyperlinken nog niet verboden is.
Voor eigen gebruik.
Voor asp. sites: https://asafaweb.com/
Voor een ruwe check op cloaking, iFrame and spammy links: isithacked.com
Voor een SHA vuln. check: https://shaaaaaaaaaaaaa.com/check/
Voor een DROWn vuln. check: https://test.drownattack.com/?site=
DNS (sub)domein test: http://www.dnsinspect.com/
Code testen http://www.cipscis.com/fallout/utilities/validator.aspx
Website File Viewer: https://aw-snap.info/file-viewer/?tgt=
Een andere SSL check: https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp
jQuery Libraries retirable check: retire.insecurity.today
WordPress en Joomla CMS check: https://hackertarget.com/
Er is nog veel meer, maar dit is een eerste aanzet voor een zogenaamde "koude" website verkenning.
Vraag altijd expliciete toestemming voor een scan anders dan voor de eigen website,
ook voor het uitvoeren van zogeheten publiek toegankelijke third party scans.
Hou je altijd aan de wettelijke regels.
De resultaten van de volgende twee online scanners bijv. mogen niet zomaar worden vrijgegeven:
Dazzlepod.com/ip/ en https://www.ssllabs.com/ssltest/ tenminste volgens de website disclaimer en voorwaarden.
Scan gegevens mogen nooit een website in gevaar brengen of tegen de veiligheid van een website worden ingezet.
Breek altijd alle live links in de scan resultaten (met "-" of "hxtp://...") en
geef code weer in de vorm van een onschadelijke image file als blabla.jpg enz.
Personen die websites scannen dienen integer te zijn.
Bescherm daarnaast steeds uw eigen persoonlijke identiteit tegen onheuse bejegening.
Iemand kan het bij voorbeeld niet fijn vinden dat zijn of haar baas ziet,
dat men niet zoveel van website beveiliging weet, als hij of zij heeft voorgegeven.
Verwijder in voorkomende gevallen de scan resultaten.
Voor eigen gebruik.
Voor asp. sites: https://asafaweb.com/
Voor een ruwe check op cloaking, iFrame and spammy links: isithacked.com
Voor een SHA vuln. check: https://shaaaaaaaaaaaaa.com/check/
Voor een DROWn vuln. check: https://test.drownattack.com/?site=
DNS (sub)domein test: http://www.dnsinspect.com/
Code testen http://www.cipscis.com/fallout/utilities/validator.aspx
Website File Viewer: https://aw-snap.info/file-viewer/?tgt=
Een andere SSL check: https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp
jQuery Libraries retirable check: retire.insecurity.today
WordPress en Joomla CMS check: https://hackertarget.com/
Er is nog veel meer, maar dit is een eerste aanzet voor een zogenaamde "koude" website verkenning.
Vraag altijd expliciete toestemming voor een scan anders dan voor de eigen website,
ook voor het uitvoeren van zogeheten publiek toegankelijke third party scans.
Hou je altijd aan de wettelijke regels.
De resultaten van de volgende twee online scanners bijv. mogen niet zomaar worden vrijgegeven:
Dazzlepod.com/ip/ en https://www.ssllabs.com/ssltest/ tenminste volgens de website disclaimer en voorwaarden.
Scan gegevens mogen nooit een website in gevaar brengen of tegen de veiligheid van een website worden ingezet.
Breek altijd alle live links in de scan resultaten (met "-" of "hxtp://...") en
geef code weer in de vorm van een onschadelijke image file als blabla.jpg enz.
Personen die websites scannen dienen integer te zijn.
Bescherm daarnaast steeds uw eigen persoonlijke identiteit tegen onheuse bejegening.
Iemand kan het bij voorbeeld niet fijn vinden dat zijn of haar baas ziet,
dat men niet zoveel van website beveiliging weet, als hij of zij heeft voorgegeven.
Verwijder in voorkomende gevallen de scan resultaten.
Wat ook een fijne scan is, is een scan op potentiële DOM gebaseerde cross-site script (XSS) kwetsbaarheden met de DOM XSS Scanner: http://www.domxssscanner.com/ Daar komt veel uit!
Later kan men de javascript errors eruit spitten bij bijvoorbeeld verouderde externe scripts met een javascript unpacker, als jsunpack.
Kijk ook waar iets toegang zou kunnen hebben (denk aan de "same origin" regel en gekende javascript onveiligheid).
Meestal is er geen tijd om alles goed diep uit te testen en worden CMS plug-ins en externe scripts aangeleverd als "klaar om te gebruiken", maar niet meer dan dat. Kernel software is meestal, mits up to date, vrij betrouwbaar en terdege getest.
Stackoverflow is een site met een bron van veel praktische kennis voor zowel codeurs als website beveiligers en "fouten jagers". Ik kom er graag om eens kijken en na te lezen over script fouten en hoe die doorwerken.
Bedenk dat de kwetsbaarheden ook ten gevolge van onveilige hosting kunnen zijn. Grote bulkhosters met alleen interesse om snel te "cashen" en weinig prioriteit voor beveiliging, zeker op shared hosting met heel veel mogelijk verdachte "domein-buren", zijn wat dat aangaat berucht. Zelf geïnstalleerde speelgoed certificaatjes, lekke onveilige IDs trackling, enz. doen dan de rest. Scan eens met http://toolbar.netcraft.com/site_report?url=
Een van de meest voorkomende oorzaken van website onveiligheid blijft i.m.o. het verzuimen door admins e.a. om volledig te updaten en patchen.Men komt vaak ook pas in actie als het code-kalf al verdronken is.
Ook verkeerde configuraties van website software en server software zijn aanleiding tot groot risico op compromitatie.
De eerste scans zijn meestal een VT scan, gevolgd door een Quttera scan en een Sucuri scan: ttps://sitecheck.sucuri.net/
Daarna misschien nog een urlquery.net scan of eentje met http://zulu.zscaler.com/
waarna men meer specifiek gaat scannen naar aanleiding van wat gevonden wordt. Voor SE redirects en defacements is killmalware.com meer aangewezen, maar let op dat de scan resultaten recent zijn, scan anders met iets anders na. Real time scan info is dat wat telt.
Verder is het een kwestie van de mogelijkheden goed deduceren en combineren, maar dat zal verbeteren door het vele doen en achtergrond info inlezen, waardoor de relevante kennis en expertise gestaag toenemen.
Scannen met alles behalve de gootsteen is echt niet nodig.
Iedereen hier, die in het onderwerp is geïnteresseerd, veel scanplezier en veel toegenomen website veiligheid toegewenst,
Later kan men de javascript errors eruit spitten bij bijvoorbeeld verouderde externe scripts met een javascript unpacker, als jsunpack.
Kijk ook waar iets toegang zou kunnen hebben (denk aan de "same origin" regel en gekende javascript onveiligheid).
Meestal is er geen tijd om alles goed diep uit te testen en worden CMS plug-ins en externe scripts aangeleverd als "klaar om te gebruiken", maar niet meer dan dat. Kernel software is meestal, mits up to date, vrij betrouwbaar en terdege getest.
Stackoverflow is een site met een bron van veel praktische kennis voor zowel codeurs als website beveiligers en "fouten jagers". Ik kom er graag om eens kijken en na te lezen over script fouten en hoe die doorwerken.
Bedenk dat de kwetsbaarheden ook ten gevolge van onveilige hosting kunnen zijn. Grote bulkhosters met alleen interesse om snel te "cashen" en weinig prioriteit voor beveiliging, zeker op shared hosting met heel veel mogelijk verdachte "domein-buren", zijn wat dat aangaat berucht. Zelf geïnstalleerde speelgoed certificaatjes, lekke onveilige IDs trackling, enz. doen dan de rest. Scan eens met http://toolbar.netcraft.com/site_report?url=
Een van de meest voorkomende oorzaken van website onveiligheid blijft i.m.o. het verzuimen door admins e.a. om volledig te updaten en patchen.Men komt vaak ook pas in actie als het code-kalf al verdronken is.
Ook verkeerde configuraties van website software en server software zijn aanleiding tot groot risico op compromitatie.
De eerste scans zijn meestal een VT scan, gevolgd door een Quttera scan en een Sucuri scan: ttps://sitecheck.sucuri.net/
Daarna misschien nog een urlquery.net scan of eentje met http://zulu.zscaler.com/
waarna men meer specifiek gaat scannen naar aanleiding van wat gevonden wordt. Voor SE redirects en defacements is killmalware.com meer aangewezen, maar let op dat de scan resultaten recent zijn, scan anders met iets anders na. Real time scan info is dat wat telt.
Verder is het een kwestie van de mogelijkheden goed deduceren en combineren, maar dat zal verbeteren door het vele doen en achtergrond info inlezen, waardoor de relevante kennis en expertise gestaag toenemen.
Scannen met alles behalve de gootsteen is echt niet nodig.
Iedereen hier, die in het onderwerp is geïnteresseerd, veel scanplezier en veel toegenomen website veiligheid toegewenst,
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
