Динамическое тестирование безопасности приложений - Dynamic application security testing

А динамическое тестирование безопасности приложений Инструмент (DAST) - это программа, которая взаимодействует с веб-приложением через веб-интерфейс для выявления потенциальных уязвимостей безопасности в веб-приложении и архитектурных слабостей.[1] Он выполняет черный ящик тест. В отличие от статическое тестирование безопасности приложений инструменты, инструменты DAST не имеют доступа к исходному коду и поэтому обнаруживают уязвимости фактически выполняя атаки.

Инструменты DAST позволяют выполнять сложное сканирование, обнаруживая уязвимости с минимальным вмешательством пользователя, после настройки имени хоста, параметров сканирования и учетных данных для аутентификации. Эти инструменты будут пытаться обнаружить уязвимости в строках запроса, заголовках, фрагментах, глаголах (GET / POST / PUT) и внедрении DOM.

Клиенты извлекают выгоду из удобства этих приложений, при этом негласно принимая на себя риск того, что конфиденциальная информация, хранящаяся в веб-приложениях, будет скомпрометирована в результате хакерских атак и инсайдерских утечек. По данным Информационного центра прав конфиденциальности, в 2012 году было взломано более 18 миллионов записей клиентов. недостаточным контролем безопасности корпоративных данных и веб-приложений.[2]

Обзор

Инструменты DAST упрощают автоматический анализ веб-приложения с явной целью обнаружения уязвимостей безопасности и должны соответствовать различным нормативным требованиям. Сканеры веб-приложений могут искать широкий спектр уязвимостей, таких как проверка ввода / вывода: (например, межсайтовый скриптинг и SQL-инъекция ), специфические проблемы приложений и ошибки конфигурации сервера.

В отчете, защищенном авторским правом, опубликованном в марте 2012 года поставщиком средств безопасности Cenzic, наиболее распространенные уязвимости приложений в недавно протестированных приложениях включают:[3]

37%Межсайтовый скриптинг
16%SQL-инъекция
5%Раскрытие пути
5%Отказ в обслуживании
4%Выполнение кода
4%Повреждение памяти
4%Подделка межсайтовых запросов
3%Раскрытие информации
3%Произвольный файл
2%Включение локального файла
1%Удаленное включение файлов
1%Переполнение буфера
15%Другой (PHP-инъекция, Javascript-инъекция, так далее.)

Коммерческие сканеры и сканеры с открытым исходным кодом

Коммерческие сканеры - это категория инструментов веб-оценки, которые необходимо покупать по определенной цене (обычно довольно высокой). Некоторые сканеры включают в себя некоторые бесплатные функции, но большинство из них необходимо покупать, чтобы получить полный доступ к мощности инструмента.

А сканеры с открытым исходным кодом - это еще один класс, которые бесплатны по своей природе. Они являются лучшими в своей категории, поскольку их исходный код открыт, а пользователь знает, что происходит, в отличие от коммерческих сканеров.

Исследователь безопасности Шэй Чен ранее составил исчерпывающий список как коммерческих, так и открытых сканеров безопасности веб-приложений.[4] В списке также указывается, как каждый из сканеров работал во время тестов производительности с WAVSEP.

Платформа WAVSEP является общедоступной и может использоваться для оценки различных аспектов сканеров веб-приложений: технологической поддержки, производительности, точности, покрытия и согласованности результатов.[5]

Сильные стороны DAST

Эти инструменты могут обнаруживать уязвимости доработанных релиз-кандидат версии перед отправкой. Сканеры имитируют злонамеренного пользователя, атакуя и исследуя, выявляя результаты, которые не являются частью ожидаемого набора результатов.

Как инструмент динамического тестирования веб-сканеры не зависят от языка. Сканер веб-приложений может сканировать веб-приложения, управляемые движком. Злоумышленники используют одни и те же инструменты, поэтому, если инструменты могут найти уязвимость, то и злоумышленники могут.

Слабые стороны DAST

При сканировании с помощью инструмента DAST данные могут быть перезаписаны или вредоносная полезная нагрузка внедрена в тематический сайт. Сайты следует сканировать в производственной, но непроизводственной среде, чтобы гарантировать точные результаты и одновременно защитить данные в производственной среде.

Поскольку инструмент реализует динамическое тестирование метод, он не может покрывать 100% исходного кода приложения, а затем и самого приложения. Тестировщик на проникновение должен смотреть на охват веб-приложения или его поверхность атаки чтобы узнать, правильно ли настроен инструмент или может понять веб-приложение.

Инструмент не может реализовать все варианты атак для данной уязвимости. Таким образом, инструменты обычно имеют заранее определенный список атак и не генерируют полезные данные атаки в зависимости от протестированного веб-приложения. Некоторые инструменты также весьма ограничены в понимании поведения приложений с динамическим контентом, таких как JavaScript и Вспышка.

Отчет за 2012 год показал, что основные прикладные технологии, которые игнорируются большинством сканеров веб-приложений, включают: JSON (Такие как jQuery ), ОТДЫХ и Google WebToolkit в AJAX приложения, Flash Remoting (AMF) и HTML5, а также мобильные приложения и веб-службы, использующие JSON и ОТДЫХ. XML-RPC и технологии SOAP, используемые в веб-сервисах, и сложные рабочие процессы, такие как корзина для покупок и XSRF / CSRF жетоны.[6][7]

Рекомендации

  1. ^ Критерии оценки сканера безопасности веб-приложений версии 1.0, WASC, 2009 г.
  2. ^ «Хронология утечки данных». Информационный центр по правам конфиденциальности. 9 июля 2012 г.. Получено 9 июля 2012.
  3. ^ «Отчет о тенденциях 2012 года: риски безопасности приложений». Cenzic, Inc., 11 марта 2012 г. Архивировано с оригинал 17 декабря 2012 г.. Получено 9 июля 2012.
  4. ^ Сравнение облачных и локальных решений для сканирования безопасности веб-приложений. SecToolMarket.com Проверено 17 марта 2017 г.
  5. ^ Платформа WAVSEP Проверено 17 марта 2017 г.
  6. ^ Сканерам веб-приложений бросают вызов современные веб-технологии. SecurityWeek.Com (2012-10-25). Проверено 10 июня 2014.
  7. ^ Тестирование безопасности веб-приложений Проверено 4 ноября 2020 г.

внешняя ссылка