Ulasan & peringkat Immuniweb

Jika bisnis Anda bergantung pada situs web Anda - seperti halnya sebagian besar bisnis lainnya - Anda berhutang kepada diri Anda sendiri untuk memastikan itu tidak dipenuhi dengan celah keamanan. ImmuniWeb, pemindai kode dari High-Tech Bridge, memberikan usaha kecil penilaian kerentanan menyeluruh untuk mengungkap masalah situs dengan harga terjangkau $ 639 (langsung).

Ada banyak alasan untuk menargetkan situs web. Penjahat dunia maya dapat mencoba merusak situs Anda dengan malware yang akan menginfeksi pengunjung situs Anda dan mencuri kredensial perbankan online mereka. Mungkin seseorang tidak menyukai bisnis Anda dan ingin merusak situs Anda. Mungkin penyerang mengejar data berharga yang disimpan dalam database Anda dan situs web adalah cara mudah. ​​Apapun, situs web semakin diserang, dan bisnis perlu memastikan kelemahan keamanan yang belum ditambal dan kesalahan konfigurasi tidak membuatnya mudah bagi yang buruk guys untuk berjalan masuk

Penilai High-Tech Bridge menggunakan pemindai ImmuniWeb untuk melakukan pemindaian otomatis atau manual. Mereka memberikan semua hasil dalam laporan komprehensif, bersama dengan rekomendasi tentang cara memperbaiki masalah yang mereka temukan. Laporannya mudah dibaca dan cukup detail. Bergantung pada sifat bisnis Anda, laporan akhir ImmuniWeb mungkin terasa sedikit untung-untungan, tetapi, secara keseluruhan, mendapatkan bahwa penilaian dasar tidak menyakitkan dan bermanfaat. Banyak bisnis kecil memperkirakan bahwa penilaian kerentanan adalah sesuatu yang perlu dikhawatirkan oleh "orang besar", tetapi ImmuniWeb menunjukkan bahwa organisasi yang lebih kecil juga mampu menangani keamanan dengan serius.

Inti dari ImmuniWeb adalah untuk melihat lokasi produksi. Jalan berbatu saya bersama situs uji tidak akan masuk akal karena situs tersebut tidak akan cukup kuat dan hasilnya akan palsu. Saya menjangkau dua bisnis kecil - sangat berbeda satu sama lain - yang setuju untuk melakukan penilaian ImmuniWeb, asalkan mereka mendapat kesempatan untuk melihat laporan yang dihasilkan dan memperbaiki masalah. Di situs pertama, pengguna dapat membeli buku, menonton video, dan berpartisipasi dalam forum komunitas. Situs kedua didasarkan pada WordPress dan menampilkan posting artikel, klip video, dan podcast.

Portal ImmuniWeb

Portal ImmuniWeb adalah pusat dari semua komunikasi dengan tim penilai. Saya mendaftar untuk sebuah akun, menentukan URL situs, dan memberikan informasi dasar. Walaupun ada bagian untuk opsi lanjutan (seperti mengatakan apakah sebagian dari situs disembunyikan di balik prompt login), saya tidak peduli dengan semua itu: Hanya detail kontak saya, informasi pembayaran, dan memilih tanggal di kalender untuk memulai penilaian. Sangat mudah.

Secara keseluruhan, portal ini terlihat sedikit ketinggalan jaman, dan tidak selipis yang Anda harapkan dari aplikasi Web, tetapi, di sisi lain, mudah dinavigasi dan melakukan persis pekerjaan yang dirancang untuk itu. Saya melihat status penilaian dan mendapat peringatan ketika tim ImmuniWeb mengirim pesan. Saya bisa menjadwalkan beberapa penilaian dan melacak masing-masing secara terpisah. Saya juga bisa mengunduh laporan setelah selesai.

Ada satu kekhasan aneh yang membuatku jengkel. Menu tarik-turun awalan, yang merupakan bidang wajib diisi, tidak memberikan opsi untuk "Ms." Hanya Nona atau Ny. Jadi, selama peninjauan, saya adalah "Prof."

Penilaian ImmuniWeb

Saya mendapat pemberitahuan email saat tes dimulai, dan lagi ketika selesai. Saya juga diperingatkan bahwa situs tersebut harus mengizinkan akses untuk segelintir alamat IP. Butuh satu atau dua hari untuk laporan siap. Saya menghargai komunikasi reguler.

Untuk penilaian pertama, situs tersebut (situs toko buku) dihosting di Amazon EC2, dan ImmuniWeb Scanner tidak dapat melihatnya. Mungkin ada beberapa alasan untuk itu, seperti sistem pendeteksi intrusi memblokir akses, atau sistem lain yang membatasi pemindaian otomatis. Tim beralih ke penilaian manual dan selesai tanpa harus melakukan apa pun. Pemindai tidak kesulitan melihat situs kedua (blog WordPress), juga pada platform cloud.

Administrator situs mengatakan tidak ada kesalahan atau masalah dengan kinerja situs selama penilaian. Ini adalah hal yang sangat baik karena hal terakhir yang diinginkan sebuah bisnis adalah berurusan dengan downtime.

Hasil Laporan

Ketika laporan sudah siap, saya mengunduhnya untuk melihat bagaimana nasib situs tersebut. Tidak ada situs yang memiliki kelemahan kritis, yang melegakan, tetapi keduanya memiliki beberapa masalah prioritas menengah dan rendah. Untuk beberapa daerah, penilaian terasa agak terlalu tinggi, karena laporan itu tidak mengandung analisis yang lebih mendalam, seperti kerentanan terhadap serangan kekerasan. Secara keseluruhan, laporan tersebut mencakup banyak dasar-dasarnya, tetapi beberapa entri individu terasa sedikit membingungkan dan hit-or-miss untuk organisasi. Ada hal-hal yang ditandai sebagai masalah yang jelas tidak ketika dipertimbangkan dalam konteks bisnis atau arsitektur situs.

Misalnya, situs toko buku memiliki elemen e-commerce dan wiki, dan laporan itu berulang kali mengunjungi situs tersebut karena ada orang yang dapat membuat halaman - fitur paling dasar dari wiki. Alangkah baiknya jika ada cara untuk menentukan hal-hal tertentu yang harus ditinggalkan dalam laporan, terutama karena situs telah dipindai secara manual. Alih-alih, ImmuniWeb mengambil pendekatan satu ukuran untuk semua, dan tidak mempertimbangkan bahwa membuat halaman adalah fitur, bukan masalah, dalam hal ini. Saya khawatir bisnis kecil tidak akan memiliki kesabaran untuk menyaring laporan mencari masalah yang sebenarnya jika mereka dihadapkan dengan entri yang tidak cocok dengan kasus penggunaan mereka.

"Masalah" lainnya adalah fakta bahwa kedua situs yang dipindai menampilkan beberapa alamat email pada halaman mereka, seperti untuk tim pemasaran, penjualan, dan bahkan CEO. Pemindai tidak membedakan antara alamat email umum yang pelanggan perlu menghubungi bisnis dan masalah data potensial. Sekali lagi, banyak yang bertanya dari sistem otomatis, tetapi itu membuat laporan menjadi ramai.

Di sisi lain, untuk situs WordPress, ImmuniWeb mengidentifikasi situs, berdasarkan WordPress, memiliki kerentanan injeksi SQL tingkat tinggi. Sebagian besar platform penilaian kerentanan menyediakan pengidentifikasi CVE (Kerentanan dan Eksposur Umum) dan tautan ke deskripsi masalah, dan menyerahkannya kepada administrator situs untuk mencari tahu di mana masalahnya dan bagaimana cara memperbaikinya. Bukan ImmuniWeb. Laporan tersebut memberikan instruksi yang sangat jelas untuk administrator WordPress: perbarui plugin AdRotate. Ini adalah jenis remediasi yang dibutuhkan oleh administrator non-teknis, dan ImmuniWeb dapat memberikan informasi itu.

Laporan juga memiliki informasi tentang konfigurasi SSL situs serta apakah penghuni liar mengendalikan domain yang terdengar serupa. Untuk beberapa bisnis, detail terakhir sangat membantu untuk diketahui.

Langkah Maju yang Baik

Bagi sebagian besar bisnis, ImmuniWeb adalah awal yang baik. Jika Anda tidak tahu seperti apa gambaran keamanan Anda, layak mendapatkan penilaian itu - terutama dengan harga $ 639 yang sangat terjangkau. Meskipun Anda masih perlu melakukan penilaian pada bagian laporan mana yang relevan dengan bisnis Anda, informasi yang diberikan mudah dibaca dan dipahami, yang akan dihargai oleh administrator non-teknis.