Securitatea online este un subiect de discuție destul de aprins în zilele noastre. Dacă acum ”n” ani ne era frică să ieșim din casă fără să încuiem ușa sau și mai rău să pierdem cheile, același lucru se poate spune despre securitatea datelor care se află în tranzit pe Internet, trebuie să avem grijă unde și pe ce dăm click. Dacă la conectarea cu serviciile online folosim SPER parolă și autentificarea în doi pași, la telefon avem amprentă de exemplu, atunci când accesăm o pagină web ce găzduiește o aplicație la ce să ne așteptăm?
Pentru un simplu utilizator cu un anume grad de responsabilitate răspunsul este destul de simplu: securitate. Dacă vedem lacătul verde la URL (sau https), adresa URL este cea corectă și dacă avem opțiunea de logare în mai mulți pași atunci putem spune că suntem în regulă. În spatele cortinei totuși situația este alta, iar eu unul ca și deținător al unui umil site, de fapt chiar două, mă gândesc că pe lângă opțiunile de securitate implementate de furnizorul serviciului de găzduire web am și eu o responsabilitate la rândul meu.
Curiozitatea este motivul care a dus la apariția acestui articol și pune în centrul atenției două programe menite să verifice vulnerabilitățile web: Tenable Nessus® Essentials și Mozilla HTTP Observatory.
Tenable Nessus® Essentials, este versiunea gratuită a programului Tenable Nessus® care costă, în viziunea MEA desigur, pe an lejer cât un calculator de înaltă performanță. Totuși când compania trăiește efectiv dintr-un produs software care face aceiași sumă de bani zilnic atunci cel mai probabil acest cost nu e chiar așa de mare. Pentru mine este, drept urmare pentru testare am ales versiunea gratis pentru care am primit o licență valabilă un an de zile. După ce am obținut licența am descărcat programul și am instalat aplicația pe calculator, pasul final fiind pornirea ei. Aceasta se configurează singură și este accesibilă din browser la adresa https://localhost:8834/#/
Pentru a verifica vulnerabilitătile unei pagini sau aplicații expuse pe internet (web), am urmat câțiva pași simpli, după ce am apăsat butonul ”New Scan” din interfața web:
În acest ”Template” am completat câmpurile necesare și cel mai important lucru la ”Target” am pus adresa pe care o doresc verificată. Această adresă poate fi un IP sau una canonică (a.k.a belicos.ro)
După ce am salvat acest scenariu, nu a rămas decât să pornesc scanarea.
Mozilla HTTP Observatory este o unealtă asemănătoare, accesibilă online, fără instalare locală. Acum dacă aș fi început din prima cu Mozilla HTTP Observatory probabil că nu ar mai fi aruncat nimeni un ochi mai în jos prin acest articol, drept urmare am ales să pun pe locul doi acest produs momentan gratuit oferit de Mozilla.
Utilizarea este destul de simplă: se introduce numele domeniului pe care îl dorim verificat și apăsăm butonul Scan.
Diferența pe care am observat-o între cele două este că pentru Tenable Nessus® Essentials a fost nevoie să transmit tichet de suport la furnizorul de găzduire web să îmi deblocheze adresa IP 😂 pam-pam.
