Her web sitesi bir teknoloji yığını üzerine kuruludur: içerik yönetim sistemi, web çerçevesi, JavaScript kütüphaneleri, sunucu yazılımı, analiz araçları ve daha pek çok görünmez yapı taşı. Saldırganlar bunu bilir — bir siteyi hedef almadan önce yaptıkları ilk şey, sitenin tam olarak ne çalıştırdığını tespit etmektir. Sensagraph aynı keşif çalışmasını savunma tarafından yapar ve teknoloji yığınınızın ve içindeki gizli risklerin net, iş odaklı bir haritasını sunar.
Sensagraph'ın Teknoloji Yığını Risk Analizi, web sitenizi güçlendiren yazılımları otomatik olarak tespit eder, açıkta kalan sürüm numaralarını saptar, desteği biten veya güncel olmayan bileşenleri vurgular ve her tespit edilen teknolojiye bağlı bilinen güvenlik açıkları hakkında sizi uyarır. İçeriği bilmenize gerek yok — Sensagraph bulguları anlaşılır risk seviyelerine ve önerilen aksiyonlara dönüştürür.
Sitenizi tam olarak neyin çalıştırdığını bilin
Çoğu kurum, web sitesinin istemeden ne kadar bilgi ifşa ettiğini fark etmez. Sensagraph, bir başkası fark etmeden önce bunu sizin için ortaya koyar.
Kapsamlı Teknoloji Parmak İzi
Sensagraph, web varlığınızın tespit edilebilir her bileşenini belirleyerek sitenizin yapı taşlarına tam görünürlük sağlar.
- İçerik yönetim sistemleri (WordPress, Drupal, Joomla vb.)
- Web çerçeveleri, programlama dilleri ve çalışma ortamları
- JavaScript kütüphaneleri, arayüz çerçeveleri ve analiz scriptleri
- Web sunucuları, ters proxy'ler ve CDN sağlayıcıları
Eski ve Desteği Biten Yazılım Tespiti
Desteği biten yazılım kullanmak, büyük ihlallerin en sık görülen nedenlerinden biridir. Sensagraph artık güvenlik yaması almayan bileşenleri işaretler.
- Desteği biten CMS ve framework sürümlerinin tespiti
- Bilinen CVE'lere sahip eski kütüphanelerin belirlenmesi
- Risk önceliğine göre net yükseltme önerileri
Sürüm Bilgisi Sızıntısı
HTTP başlıklarında, meta etiketlerde veya hata sayfalarında sürüm numaralarını açığa çıkarmak, saldırganlara yol haritası sunar. Sensagraph bu sızıntıların nerede olduğunu gösterir.
- HTTP başlık ifşaları (Server, X-Powered-By vb.)
- HTML kaynağında, generator etiketlerinde ve varlıklarda sürüm bilgileri
- Gereksiz banner'ları gizleme veya kaldırma rehberliği
Bilinen Güvenlik Açıklarıyla Eşleştirme
Tespit edilen her teknoloji otomatik olarak kamuya açık güvenlik açığı veri tabanlarıyla eşleştirilir; böylece bugün hangi bileşenlerinizin istismar edilebilir olduğunu anında görürsünüz.
- Tespit edilen sürümler için CVE eşleştirmesi
- Önem derecesi (CVSS) ve istismar edilebilirlik göstergeleri
- Her riskin anlaşılır dilde özeti
Gölge BT ve Üçüncü Taraf Görünürlüğü
Modern web siteleri onlarca üçüncü taraf script yükler. Sensagraph, tedarik zinciri riski oluşturabilecek dış bağımlılıkları görmenizi sağlar.
- Takip pikselleri, etiket yöneticileri ve pazarlama araçları
- Harici CDN'ler, font ve script sağlayıcıları
- Beklenmedik veya yetkisiz entegrasyonlar
Teknoloji parmak izi işiniz için neden önemli
Saldırganlar keşif çalışmalarını büyük ölçekte otomatikleştirir. Popüler bir CMS veya kütüphane için kritik bir güvenlik açığı yayımlandığı anda, istismar denemeleri saatler içinde başlar. Eğer siteniz hâlâ o sürümü çalıştırıyor — ve bunu açıkça duyuruyorsa — kolay bir hedef hâline gelir. Sensagraph'ın sürekli analizi, geliştiricilerinize veya barındırma sağlayıcınıza iletebileceğiniz net düzeltme adımlarıyla bu riskleri saldırganlardan önce öğrenmenizi sağlar.