Cum să scanați viruși printr-un serviciu API antivirus

de
Tweet
Share
Share
Pin

Web-ul este plin de pagini rău intenționate. Din păcate, acestea pot exista și pe site-urile dvs. client/furnizor.

Nicio afacere de astăzi nu este lipsită de o integrare care se alimentează sau furnizează intrări către site-ul web al unui client sau al furnizorului. Desigur, afacerea ta nu va exista fără aceste servicii, dar uneori este o amenințare din cauza acestor servicii. Site-urile externe cu care interacționați pot avea conținut rău intenționat pe ele (indiferent dacă este instalat intenționat sau compromis de o terță parte), iar dacă acel conținut își găsește drumul către locul prestabilit, consecințele pot fi dezastruoase.

Nu putem scana manual site-urile web pentru pagini rău intenționate?

S-ar putea părea că un dezvoltator competent ar trebui să fie capabil să scaneze paginile pentru vulnerabilități. Din păcate, acest lucru nu este nici măcar aproape de realitate din multe motive:

  • Dezvoltatorii nu sunt specializați în detectarea/securitatea. Expertiza lor este în construirea de software complex prin punerea laolaltă a multor subsisteme mai mici; cu alte cuvinte, pur și simplu nu au setul de abilități.
  • Chiar dacă ar fi să dai peste un dezvoltator suficient de talentat, sarcina ar fi pur și simplu prea mare. O pagină web tipică, bogată în funcții, conține mii de linii de cod – a le uni pe toate pentru a rezolva imaginea de ansamblu, precum și micile lacune este un coșmar. Ai putea la fel de bine să porunci cuiva să mănânce un elefant întreg la prânz!
  • Pentru a reduce timpii de încărcare a paginilor, site-urile web comprimă și reduc adesea fișierele CSS și JavaScript. Acest lucru are ca rezultat o astfel de mizerie de cod, încât este perfect imposibil de citit.

Ce crezi că face acest cod? :kappa: (Sursa elgg.org)

Dacă acest lucru încă pare lizibil, este pentru că sufletele bune de acolo au decis să păstreze numele variabilelor într-un context larg. Încercați codul sursă pentru jQuery, pe care cineva îl poate găzdui pe site-ul său web și îl poate modifica (două rânduri undeva mai jos în această mizerie):

Ca să nu mai vorbim de faptul că sursa este aproape de 5.000 de linii de cod. 😎

Acesta este doar un singur scenariu despre care vorbim. O pagină web are de obicei atașate 5-15 scripturi și este probabil să lucrați cu 10-20 de pagini web în total. Imaginează-ți că trebuie să faci asta în fiecare zi. . . Sau mai rău, de câteva ori pe zi!

Din fericire, este posibil să scanați adrese URL rapid și ușor prin intermediul API-urilor. Puteți scana nu doar pagini web, ci și fișiere care vă sunt furnizate pentru descărcare. Să ne uităm la unele dintre instrumentele API care vă ajută să faceți acest lucru. Și o, deoarece acestea sunt API-uri, eforturile dezvoltatorului dvs. vor fi servite mult mai bine dacă le cereți să creeze un instrument de scanare a site-urilor web folosind aceste API-uri. 😀

Google Web Risk

Nu e deloc surprinzător că un verificator de pagini web ar veni de la compania care practic deține internetul (toate paginile sale web, vreau să spun). Dar există o captură: Google Web Risk este încă în versiune beta și este disponibil pe cerere numai. A fi în versiune beta înseamnă mai multe schimbări radicale.

  Urmărește ce alimente ai arse cu nivelul tău de activitate zilnic

Totuși, având în vedere că API-ul este destul de simplu, orice modificare poate fi abordată de dezvoltator folosind un instrument de monitorizare API și câteva minute de timp de dezvoltare. 🙂

Utilizarea API-ului este, de asemenea, foarte ușoară. Pentru a verifica o singură pagină folosind linia de comandă, pur și simplu trimiteți o solicitare după cum urmează:

curl -H "Content-Type: application/json" "https://webrisk.googleapis.com/v1beta1/uris:search?key=YOUR_API_KEY&threatTypes=MALWARE&uri=http%3A%2F%2Ftestsafebrowsing.appspot.com%2Fs%2Fmalware.html"

Dacă solicitarea a avut succes, API-ul răspunde cu tipul de vulnerabilitate de pe pagină:

{
  "threat": {
    "threatTypes": [
      "MALWARE"
    ],
    "expireTime": "2019-07-17T15:01:23.045123456Z"
  }
}

După cum puteți vedea, API-ul confirmă faptul că se știe că pagina conține programe malware.

Rețineți că API-ul Google Web Risk nu efectuează o diagnosticare la cerere pentru o adresă URL sau fișier la alegerea dvs. Acesta consultă o listă neagră menținută de Google pe baza rezultatelor căutării și rapoarte și raportează dacă adresa URL este sau nu în acea listă neagră. Cu alte cuvinte, dacă acest API spune că o adresă URL este sigură, este sigur să presupunem că este destul de sigură, dar nu există garanții.

VirusTotal

VirusTotal este un alt serviciu tare pe care îl puteți folosi pentru a scana nu doar URL-uri, ci și fișiere individuale (în acest sens, l-am pus deasupra Google Web Risk în ceea ce privește utilitatea). Dacă doriți să încercați serviciul, mergeți pe site și chiar pe pagina de pornire, există o opțiune pentru a începe.

În timp ce VirusTotal este disponibil ca o platformă gratuită construită și organizată de o comunitate vibrantă, oferă o versiune comercială a API-ului său. Iată de ce ați dori să plătiți pentru serviciul premium:

  • Rată flexibilă de solicitare și cotă zilnică (spre deosebire de cele patru solicitări pe minut pentru API-ul public)
  • Resursa trimisă este scanată de VirusTotal de către antivirusul său și sunt returnate informații suplimentare de diagnosticare.
  • Informații bazate pe comportament despre fișierele pe care le trimiteți (fișierele vor fi plasate în diferite medii sandbox pentru a monitoriza activitățile suspecte)
  • Interogați baza de date de fișiere VirusTotal pentru diferiți parametri (interogările complexe sunt acceptate)
  • SLA strict și timpi de răspuns (fișierele trimise către VirusTotal prin intermediul API-ului public sunt puse în coadă și necesită un timp considerabil pentru analiză)

Dacă alegeți API-ul privat VirusTotal, acesta poate fi una dintre cele mai bune investiții pe care le-ați făcut vreodată într-un produs SaaS pentru întreprinderea dvs.

Scanii

O altă recomandare pentru API-urile de scanare de securitate este Scanii. Este un simplu API REST care poate scana documentele/fișierele trimise pentru prezența amenințărilor. Gândiți-vă la el ca la un scanner de viruși la cerere care poate fi rulat și scalat fără efort!

Iată care sunt bunătățile oferite de Scanii:

  • Capabil să detecteze programe malware, scripturi de phishing, conținut spam, conținut NSFW (Nu este sigur pentru muncă) etc.
  • Este construit pe Amazon S3 pentru scalare ușoară și stocare de fișiere fără riscuri.
  • Detectați textul ofensator, nesigur sau potențial periculos în peste 23 de limbi.
  • O abordare simplă, fără ornamente, concentrată a scanării fișierelor bazate pe API (cu alte cuvinte, fără funcții „utile” inutil)
  Cum să-ți faci ușa de garaj inteligentă

Adevărat lucru bun este că Scanii este un metamotor; adică nu efectuează scanări pe cont propriu, ci folosește un set de motoare care stau la baza lucrului în picioare. Este un avantaj grozav, deoarece nu trebuie să fiți legat de un anumit motor de securitate, ceea ce înseamnă că nu trebuie să vă faceți griji cu privire la modificările API întrerupte și altele.

Văd Scanii ca un avantaj masiv pentru platformele care depind de conținutul generat de utilizatori. Un alt caz de utilizare este cel al scanării fișierelor generate de un serviciu de furnizor în care nu poți avea încredere 100%.

Metadefender

Pentru unele organizații, scanarea fișierelor și a paginilor web la un singur punct final nu este suficientă. Au un flux de informații complex și niciunul dintre punctele finale nu poate fi compromis. Pentru acele cazuri de utilizare, Metadefender este solutia ideala.

Gândiți-vă la Metadefender ca la un gatekeeper paranoic care se află între activele dvs. de date de bază și orice altceva, inclusiv rețea. Spun „paranoic” pentru că aceasta este filosofia de design din spatele Metadefender. Nu pot descrie asta mai bine decât ei, așa că iată:

Cele mai multe soluții de securitate cibernetică se bazează pe detectare ca funcție principală de protecție. Dezinfectarea datelor MetaDefender nu se bazează pe detectare. Se presupune că toate fișierele ar putea fi infectate și le reconstruiește conținutul folosind un proces sigur și eficient. Acceptă mai mult de 30 de tipuri de fișiere și scoate fișiere sigure și utilizabile. Dezinfectarea datelor este extrem de eficientă în prevenirea atacurilor direcționate, a ransomware-ului și a altor tipuri de amenințări malware cunoscute și necunoscute.

Există câteva caracteristici bune pe care le oferă Metadefender:

  • Prevenirea pierderii datelor: În termeni simpli, aceasta este capacitatea de a suprascrie și de a proteja informațiile sensibile detectate în conținutul fișierului. De exemplu, o chitanță PDF cu numărul cărții de credit vizibil va fi ofuscată de Metadefender.
  • Implementați local sau în cloud (în funcție de cât de paranoic sunteți!).
  • Priviți direct peste 30 de tipuri de formate de arhivare (zip, tar, rar etc.) și 4.500 de trucuri de falsificare a tipurilor de fișiere.
  • Implementări pe mai multe canale — securizați doar fișierele sau faceți năzuință cu controlul e-mailului, rețelei și autentificărilor.
  • Fluxuri de lucru personalizate pentru a aplica diferite tipuri de conducte de scanare bazate pe reguli personalizate.

Metadefender include peste 30 de motoare, dar le extrage frumos, așa că nu trebuie să vă gândiți niciodată la ele. Dacă sunteți o întreprindere medie până la mare, care pur și simplu nu își poate permite coșmaruri de securitate, Metadefender este o opțiune excelentă.

Urlscan.io

Dacă aveți de-a face în principal cu pagini web și ați dorit întotdeauna o privire mai aprofundată asupra a ceea ce fac acestea în culise, Urlscan.io este o armă excelentă în arsenalul tău.

  Cum să partajați locația pe iPhone

Cantitatea de informații pe care Urlscan.io o aruncă este impresionantă. Printre altele, puteți vedea:

  • Un număr total de adrese IP contactate de pagină.
  • Lista zonelor geografice și a domeniilor către care pagina a trimis informații.
  • Tehnologii utilizate pe front-end și backend-ul site-ului (nu se fac afirmații de acuratețe, dar este alarmant de precis!).
  • Informații despre domeniul și certificatul SSL
  • Interacțiuni HTTP detaliate, împreună cu sarcina utilă a cererii, numele serverelor, timpii de răspuns și multe altele.
  • Redirecționări ascunse și solicitări nereușite
  • Link-uri de ieșire
  • Analiza JavaScript (variabilele globale utilizate în scripturi etc.)
  • Analiza arborelui DOM, conținutul formularelor și multe altele.

Iată cum arată totul:

API-ul este simplu și direct, permițându-vă să trimiteți o adresă URL pentru scanare, precum și să verificați istoricul de scanare al acelei adrese URL (scanări efectuate de alții, adică). În întregime, Urlscan.io oferă o mulțime de informații pentru orice companie sau persoană interesată.

SUCURI

SUCURI este o platformă bine-cunoscută când vine vorba de scanarea online a site-urilor web pentru amenințări și malware. Ceea ce poate nu știți este că au o API-ul REST de asemenea, permițând ca aceeași putere să fie valorificată în mod programatic.

Nu sunt multe de vorbit aici, cu excepția faptului că API-ul este simplu și funcționează bine. Desigur, Sucuri nu se limitează la un API de scanare, așa că, în timp ce sunteți la el, vă recomand să verificați unele dintre caracteristicile sale puternice, cum ar fi scanare pe partea serverului (Practic, furnizați acreditările FTP și se conectează și scanează toate fișierele pentru amenințări!).

Quttera

Ultima noastră intrare din această listă este Quttera, care oferă ceva ușor diferit. În loc să scaneze domeniul și paginile trimise la cerere, Quttera poate efectua și monitorizare continuă, ajutându-vă să evitați vulnerabilitățile zero-day.

API-ul REST este simplu și puternic și poate returna câteva formate mai multe decât JSON (XML și YAML, de exemplu). Multithreadingul complet și concurența sunt acceptate în scanări, permițându-vă să executați mai multe scanări exhaustive în paralel. Deoarece serviciul rulează în timp real, este de neprețuit pentru companiile care se bucură de oferte esențiale în care timpul de nefuncționare înseamnă dispariție.

Concluzie

Instrumentele de securitate precum cele abordate în acest articol sunt pur și simplu o linie suplimentară de apărare (sau precauție, dacă doriți). La fel ca un program antivirus, acestea pot face multe, dar nu există nicio posibilitate ca acestea să ofere o metodă de scanare fără erori. Acest lucru se datorează faptului că un program scris cu intenție rău intenționată este același pentru computer cu cel scris pentru un impact pozitiv – ambii solicită resurse de sistem și fac solicitări de rețea; diavolul se află în context, care nu este ca computerele să funcționeze cu succes.

Acestea fiind spuse, aceste API-uri oferă o acoperire de securitate robustă, care este de dorit în majoritatea cazurilor – atât pentru site-urile web externe, cât și pentru ale dvs.! 🙂