אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » פיתוח אינטרנט » פתרונות ומאמרים על פיתוח אינטרנט » מודול לבדיקת אבטחה של ספריות צד לקוח של אתר

מודול לבדיקת אבטחה של ספריות צד לקוח של אתר

רן בר-זיק נובמבר 24, 2019 7:07 am אין תגובות

כלי חינמי ופשוט לבדיקת חולשות באתרים שכדאי להכיר

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

רוב האתרים בעולם משתמשים בספריות צד לקוח של ג'אווהסקריפט. בין אם מדובר ב-jQuery הותיקה והפופולרית או בין אם מדובר בפריימוורק כמו אנגולר או בספריות שהן בין לבין -axios, jQuery UI וכו'. מטבע הדברים, הספריות האלו מתיישנות ומתגלים בהן חורי אבטחה שונים, מפתחי הספריות יוצאים עם גרסאות חדשות אך לא תמיד אנו מקפידים או זוכרים לעדכן. לפעמים מערכת האתר שלנו מכשילה אותנו – כך למשל וורדפרס באה עם גרסה ישנה של jQuery.

גם לא כל החולשות נולדו שוות. יש גרסאות שיש בהן חור אחד ויש כאלו שיותר. לא חסרים כלים שמאבחנים את החולשות האלו. גם גוגל כרום הוציאה כלי כזה שנמצא בכלי המפתחים שלה. אבל יש כלי נוסף שתופס תאוצה בגיטהאב וגם ממש ממש קל להשתמש בו. הכלי עושה שימוש במאגר הנתונים של חברת סניק, שעליה כבר כתבתי בעבר. מי שכתב את הכלי הזה הוא לירן טל, מומחה אבטחה שעובד בסניק (גילוי נאות: היה ראש צוות שלי ב-HPE לפני כמה שנים).

אם יש לכם Node.js מותקן במחשב, ואמור להיות לכם. (ואם לא, קל להתקין אותו). הכנסו אל הטרמינל שלכם, בחלונות או במק/לינוקס והקלידו:

npx is-website-vulnerable HTTPS://MY-SITE.COM

עם כתובת האתר שלכם כמובן. לאחר התקנה קצרצרה, יופיע דו"ח מסודר על האתר שבחרתם עם החולשות שיש. אם האתר שלכם תקין, תראו משהו כזה:

npx is-website-vulnerable https://internet-israel.com
✔ Set up completed in 1.16 seconds!
✔ Auditing completed in 5.30 seconds!

  Website: https://internet-israel.com/
  ○ No JavaScript libraries detected with publicly known security vulnerabilities

  [0] Total vulnerabilities
  [5100.73ms] execution time

אם יש בעיות באתר שלכם – כלומר אתם משתמשים בספרית ג'אווהסקריפט שיש בה חולשות ידועות, תראו את התוצאה הבאה:

npx is-website-vulnerable https://www.leumi.co.il
✔ Set up completed in 0.72 seconds!
✔ Auditing completed in 7.93 seconds!

  Website: https://www.leumi.co.il/

    ⎡ ✖ jQuery@1.9.1
    ⎜ ■■■  2  vulnerabilities
    ⎣ ▶︎ https://snyk.io/vuln/npm:jquery?lh=1.9.1

  [2] Total vulnerabilities
  [7715.06ms] execution time
אתר אקראי לחלוטין שהאבטחה שלו לא מאוד חשובה, כנראה. לפחות לא כמו הבלוג שלי

אם יש בעיות, הכלי מספק קישור ישיר למאגר הנתונים של סניק ואז אפשר לבצע הערכת סיכונים ולתקן את זה.

כיוון שמדובר בכלי שרץ בשורת הפקודה, אפשר גם להריץ אותו כחלק מבילד או תהליך שרץ כל תקופה מסוימת. הוא יעבוד יפה עם כל כלי דיווח שהם כי הוא יכול להוציא פלט ב-JSON:

npx is-website-vulnerable https://internet-israel.com –json

מידע נוסף על המודול הזה אפשר למצוא בדוקומנטציה הקצרה שלו בדף הגיטהאב שלו. לפי דעתי? שווה בדיקה במיוחד לתהליכי תחזוקה אוטומטית אם יש לכם אתרים שאתם מתחזקים. שורה אחת פשוטה וזה הכל – אם אתם פרילנסרים אפשר ורצוי להציע את השירות הזה ללקוחות.

יחד עם npm audit, שבודק את המודולים שלכם ב-Node.js ושירותים נוספים לבדיקת תלויות, אין שום סיבה שיהיו לכם ספריות מיושנות באתר. ספריות כאלו, אגב, הן מוקד גדול להתקפות אוטומטיות או חצי אוטומטיות על אתרים. הסורקים האוטומטיים של התוקפים עושים בדיוק את אותה הבדיקה שהכלי הזה עושה. במידה והם מגלים חולשה, הם משגרים אוטומטית מתקפה שתנצל אותה. החולשות האלו ידועות וההתקפות עליהן גם. זו הסיבה שעדיף שלא לזלזל ולהריץ תהליך כזה באופן קבוע על האתרים שלכם ושל הלקוחות שלכם.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
אבטחת מידע סקריפטים

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד