С обзиром на то да је отприлике једна трећина свих познатих кршења директан резултат успешног напада на веб апликацију, најважније је да тестирате безбедност својих веб апликација и АПИ-ја.
Не само да морате да се уверите да су ваше веб апликације безбедне из регулаторних разлога, већ (требало би) да бринете о подацима вашег клијента и изложености ризику за вашу компанију.
Сигурно имате много опција када је у питању обезбеђење ваших веб апликација, све са својим предностима и недостацима. Нека решења се ослањају на идентификацију безбедносних проблема у изворном коду ваших апликација. Други штите ваше апликације од напада. А други се ослањају на динамичко тестирање безбедности ваших веб апликација током извршавања, баш као што би то урадио хакер.
Фокус овог чланка је на овом последњем случају, односно на Пробели. Оно што Пробели чини занимљивим у поређењу са другима јесте то што се бави два главна питања скенера рањивости на вебу: покривеност скенирањем модерних веб апликација и квалитет резултата.
Пробели има два различита издања: једно самоуслужно намењено малим и средњим предузећима и друго намењено предузећима или компанијама са много веб апликација и АПИ-ја.
Пробели се фокусира на пружање изузетне покривености у савременим развојним окружењима и елиминисање лажних позитивних резултата помоћу резултата скенирања заснованог на доказима, док вам омогућава да интегришете ДАСТ скенирање у свој развојни животни циклус.
Сувише добро да би било истинито?
Читајте даље да бисте сазнали више о мојој анализи Пробели.
Преглед садржаја
Шта тачно Пробели ради?
Имајући на уму програмере и сваку величину предузећа, Пробели тестира ваше апликације и АПИ-је, скенирајући их како би пронашао безбедносне проблеме и рањивости. Када се тестирање заврши, оно пружа упутства о томе како да решите пронађене проблеме.
Ваши програмери и безбедносни инжењери могу да раде са Пробели-ом преко његовог интуитивног корисничког интерфејса. Али ако вам је потребна снага и флексибилност, можете се ослонити на њихов АПИ са пуним функцијама јер прате развојни приступ који је први АПИ. Њихов АПИ пружа све функције које видите на корисничком интерфејсу, омогућавајући вам да интегришете Пробели у ЦИ/ЦД цевовод, алат за управљање рањивостима, оркестратор или праћење проблема. Ако користите популарне, можда ћете имати интеграцију из кутије. То је случај са алаткама као што су ЈИРА, Јенкинс, Азуре ДевОпс, ДефецтДојо, ЦирцлеЦИ и Слацк. Али ако сте развили сопствени алат за праћење проблема или оркестратор, онда је АПИ прави пут.
Покривеност, индексирање и тачност
Пробели користи паук следеће генерације за навигацију богатим Јавасцрипт апликацијама на исти начин на који би то урадио нормалан претраживач, што резултира одличном покривеношћу сајта, што је проблем за многе друге ДАСТ алате. Овај паук је идеалан за апликације на једној страници, као што су оне засноване на Реацт-у или Ангулар ЈС-у.
Имајте на уму да скенер може да идентификује само рањивости на страницама које су пронађене. Зато је добар паук од највеће важности.
Пробели такође нуди различите профиле скенирања, у зависности од окружења које желите да тестирате. Можете поставити мање наметљив профил скенирања ако желите да скенирате своје производно окружење. Ако тестирате своје окружење обезбеђења квалитета, можете да поставите детаљнији профил за потпуније скенирање. Тестирањем претпродуктивног окружења можете идентификовати и поправити рањивости пре него што примените апликацију у продукцији.
Извештавање
Иако Пробели открива широку листу рањивости, фокусира се на извештавање о томе шта је релевантно и без лажних позитивних резултата. За одређене класе рањивости, он пружа доказ да је рањивост стварна, штедећи време вашег тима у провери да ли су рањивости стварне и релевантне.
Пробели пружа опсежно извештавање из интерфејса, али такође може да синхронизује информације о рањивости са алатом за праћење проблема или алатом за управљање рањивостима, омогућавајући вам да уклопите Пробели у постојеће безбедносне и развојне токове.
Пробели може да тестира ваш софтвер на рањивости као што су оне наведене у ОВАСП ТОП 10 и још много тога. Такође вам може помоћи да постигнете усклађеност провером специфичних захтева ПЦИ-ДСС, ГДПР, ХИПАА и ИСО270-01.
Преузето из извештаја ОВАСП ТОП 10, на први поглед ћете видети шта није у реду у вези са овом усклађеношћу.
Интерфејс
Интерфејс је једноставан и лак за навигацију, што вам омогућава да брзо почнете да радите. Ентерприсе издање вам омогућава да контролишете кориснике, улоге и подесите прилагођене улоге. Такође можете да користите ознаке да организујете кориснике, средства и рањивости како бисте боље управљали безбедношћу веб апликације. Пошто су све функције доступне преко АПИ-ја, можете лако да интегришете Пробели у друге безбедносне апликације и процесе предузећа.
Ако користите Јира или Азуре плоче, можете да конфигуришете Пробели да аутоматски шаље све рањивости на ваш алат за праћење проблема. Када програмер поправи и затвори проблем на алату за праћење проблема, он ће аутоматски покренути поновно тестирање на Пробели-у, који ће проверити да ли је рањивост исправно поправљена. Ако није, проблем се поново отвара у програму за праћење проблема. Ово омогућава вашем развојном тиму да рукује извештајем о рањивости као и било коју другу грешку, директно на алату за праћење проблема, чак и без коришћења Пробели интерфејса. Лепо, а? 🙂
Почетак рада 🚀
За потребе тестирања користио сам Пробели Ентерприсе издање.
Они такође нуде стандардно издање и различите планове за избор, укључујући бесплатни план. У бесплатном плану, скенирање тестира само три класе рањивости: ознаке колачића, безбедносна заглавља и ССЛ/ТЛС проблеми. Про план нуди већину функција и фокусира се на мала и средња предузећа и организације које имају пет или мање циљева за скенирање.
Ентерприсе издање се фокусира на организације које имају велики број циљева и укључује додатне функције попут оних које су уобичајене у софтверу предузећа: кориснике, групе, улоге и дозволе. Такође вам омогућава да скенирате интерне циљеве (на вашој приватној мрежи) инсталирањем агента који је обезбеђен.
Додавање циља
Додавање мете је лако. Када се пријавите са својим налогом, потребно је да одете до странице Циљеви и кликнете на Додај. Затим наведете име, УРЛ и једну или више ознака — тј. Тестирање, Производња, Развој, итд. — за нови циљ. Да бисте дозволили да Пробели скенира овај циљ као самостални АПИ без подржане веб апликације, требало би да означите одговарајућу опцију да бисте га идентификовали као АПИ циљ.
Ако ваш циљ није изложен на Интернету, а ви сте инсталирали Пробели агент на своју приватну мрежу, можете да изаберете који агент ћете користити док додајете циљ.
Након што додате циљ, морате да потврдите његово власништво јер Пробели-у је потребан доказ да имате потребне привилегије да покренете скенирање на њему. Постоје две алтернативне методе за валидацију циља: учитавање датотеке са обезбеђеним садржајем у корен циља или додавање ТКСТ уноса у ваш ДНС запис, са именом домена и неким специфичним садржајем записа. Када је циљ потврђен, спремни сте да га скенирате само притиском на дугме Скенирај.
Можете да проверите напредак и статус скенирања тако што ћете отићи на картицу Скенирања на контролној табли Пробели-а. Ова страница ће вам показати када је скенирање почело и шта је до сада пронађено. Налази су обојени озбиљношћу, тако да на први поглед можете видети да ли постоје критични проблеми које треба одмах решити.
Ако ваша веб локација има страницу за пријаву и желите да Пробели изврши скенирање иза ње, морате да наведете акредитиве који му омогућавају да попише веб локацију као аутентификовани корисник. Пробели подржава већину метода аутентификације за странице за пријаву.
Скенирање АПИ-ја
Да бисте скенирали АПИ циљ, Пробели треба да наведете његову шему. Ово радите када додате АПИ циљ, било давањем УРЛ-а ОпенАПИ шеме или отпремањем шеме ако сте је претходно сачували као локалну датотеку. Опција УРЛ омогућава Пробели-у да преузме шему пре сваког скенирања, осигуравајући да увек ради са најновијом верзијом ваше шеме.
Такође постоје различите опције у погледу метода аутентификације за приступ АПИ-ју. Пробели подржава не само статичке токене већ и омогућава динамичку конфигурацију аутентификације приликом скенирања АПИ-ја. Можете да конфигуришете крајњу тачку за пријаву где Пробели може да добије токен за аутентификацију или можете да подесите прилагођено заглавље са фиксним АПИ кључем у њему. Такође можете да обезбедите прилагођене вредности параметара које ће Пробели користити за оне које се налазе у шеми.
Када завршите са конфигурисањем АПИ аутентикације и параметара, можете започети скенирање притиском на дугме Скенирај сада. Након неколико секунди, моћи ћете да пратите напредак скенирања на истој страници Скенирање. Када се скенирање заврши, можете преузети извештај о покривености који приказује све пронађене крајње тачке и сваки код одговора. Овај извештај ће такође рећи да ли је било неуспешних крајњих тачака.
Проверавам своје налазе
Страница са налазима приказује резултате скенирања чим се пронађу, чак и када су скенирања у току. Сваки налаз показује озбиљност (високу, средњу или ниску), одговарајући циљ и УРЛ, опис налаза, време и датум када је пронађен, његово стање (фиксно или нефиксно) и носиоца, као и да ли утиче на ПЦИ- ДСС или ОВАСП усклађеност.
Осим што вас обавештава о откривеним рањивостима, страница са налазима је такође корисна за додељивање рањивости вашем тиму да их отклони. Да бисте то урадили, кликните на поље за потврду са леве стране и изаберите примаоца из падајућег менија.
Пробели такође пружа информације о томе како да поправите рањивости које су пронађене. Уз ова упутства можете видети комплетан захтев и одговор, као и доказе.
На страници Контролна табла можете видети различите графиконе који сумирају безбедносни ризик скенираних циљева. Графикони показују трендове у различитим интересантним метрикама, као што су оцене ризика, просечно време за решавање проблема и нивои озбиљности. Такође можете да погледате сајтове који захтевају највише пажње и топ 5 рангирања рањивости са највећом учесталошћу.
Коначно, на страници Интеграције можете да конфигуришете Пробели да се интегрише са много различитих алата за управљање пројектима, тимску комуникацију, праћење проблема и још много тога. Доступне интеграције укључују Азуре Боардс, ДефецтДојо, Слацк, Јира, Јенкинс и ЦирцлеЦИ.
Алат за програмере и безбедносне тимове
За агилне развојне тимове, време до пуштања на тржиште је главни приоритет. Све што можете да урадите да смањите време потребно да ваш софтвер крене у производњу без угрожавања квалитета, веома је добродошло. Пробели нуди управо то – исплатив начин да побољшате безбедност ваших веб локација и АПИ-ја, помажући вам да одржите обећања везана за распоред и испоручите софтверске производе високог квалитета.
За безбедносне тимове, Пробели вам пружа платформу за заштиту ваших веб апликација и управљање рањивостима које захтевају санацију. Такође вам омогућава да неке од безбедносних тестирања пребаците директно на развојне тимове док имате улогу надзора.
Пробели нуди бесплатне пробне верзије, лиценце за процену предузећа и демонстрације производа. Контакт Пробели започети.