Dynamisk applikationssikkerhedstest - Dynamic application security testing

Et dynamisk applikationssikkerhedstestværktøj (DAST) er et program, der kommunikerer med en webapplikation via webfronten for at identificere potentielle sikkerhedssårbarheder i webapplikationen og arkitektoniske svagheder. Det udfører en sort-boks test. I modsætning til statiske applikationssikkerhedstestværktøjer har DAST-værktøjer ikke adgang til kildekoden og registrerer derfor sårbarheder ved faktisk at udføre angreb.

DAST-værktøjer tillader sofistikerede scanninger, der opdager sårbarheder med minimale brugerinteraktioner, når de er konfigureret med værtsnavn, gennemsøgningsparametre og godkendelsesoplysninger. Disse værktøjer vil forsøge at opdage sårbarheder i forespørgselsstrenge, overskrifter, fragmenter, verber (GET / POST / PUT) og DOM-injektion.

Kunder drager fordel af bekvemmeligheden ved disse applikationer, mens de stiltiende påtager sig risikoen for, at private oplysninger, der er gemt i webapplikationer, kompromitteres gennem hackerangreb og insiderlækager. Ifølge Privacy Rights Clearinghouse er mere end 18 millioner kundeoptegnelser blevet kompromitteret i 2012 på grund af utilstrækkelig sikkerhedskontrol af virksomhedsdata og webapplikationer.

Oversigt

DAST-værktøjer letter den automatiske gennemgang af en webapplikation med det udtrykte formål at opdage sikkerhedssårbarheder og er forpligtet til at overholde forskellige lovgivningsmæssige krav. Webapplikationsscannere kan se efter en lang række sårbarheder, såsom validering af input / output: (f.eks. Cross-site scripting og SQL-injektion ), specifikke applikationsproblemer og serverkonfigurationsfejl.

I en copyrightbeskyttet rapport, der blev offentliggjort i marts 2012 af sikkerhedsleverandøren Cenzic, inkluderer de mest almindelige applikationssårbarheder i nyligt testede applikationer:

37% Cross-site scripting
16% SQL-injektion
5% Vejoplysning
5% Denial-of-service
4% Kodeudførelse
4% Hukommelseskorruption
4% Forfalskning på tværs af websteder
3% Offentliggørelse af oplysninger
3% Vilkårlig fil
2% Lokal filinddragelse
1% Fjernfilinddragelse
1% Bufferoverløb
15% Andet ( PHP-injektion , Javascript-injektion osv.)

Kommercielle og open source scannere

Kommercielle scannere er en kategori af webvurderingsværktøjer, der skal købes til en bestemt pris (normalt ret høj). Nogle scannere indeholder nogle gratis funktioner, men de fleste skal købes for at få fuld adgang til værktøjets strøm.

Og open source-scannere er en anden klasse, som er gratis i naturen. De er de bedste i kategorien, da deres kildekode er åben, og brugeren får at vide, hvad der sker i modsætning til kommercielle scannere.

Sikkerhedsforsker Shay Chen har tidligere samlet en udtømmende liste over både kommercielle og open source-sikkerhedsscannere til webapplikationer. Listen fremhæver også, hvordan hver af scannerne udførte i løbet af hans benchmarkingtest mod WAVSEP.

WAVSEP-platformen er offentligt tilgængelig og kan bruges til at evaluere de forskellige aspekter af webapplikationsscannere: teknologisupport, ydeevne, nøjagtighed, dækning og resultatkonsistens.

DAST styrker

Disse værktøjer kan opdage sårbarheder i den endelige version af kandidatversioner inden forsendelse. Scannere simulerer en ondsindet bruger ved at angribe og undersøge, identificere resultater, der ikke er en del af det forventede resultatsæt, hvilket muliggør en realistisk angrebssimulering. Den store fordel ved disse typer værktøjer er, at de kan scanne året rundt for konstant at søge efter sårbarheder. Da nye sårbarheder opdages regelmæssigt, giver det virksomheder mulighed for at finde og patch sårbarheder, inden de kan blive udnyttet.

Som et dynamisk testværktøj er webscannere ikke sprogafhængige. En webapplikationsscanner er i stand til at scanne motordrevne webapplikationer. Angribere bruger de samme værktøjer, så hvis værktøjerne kan finde en sårbarhed, så kan angribere også.

DAST svagheder

Under scanning med et DAST-værktøj kan data overskrives eller ondsindede nyttelast indsprøjtes på emnets websted. Websteder skal scannes i et produktionslignende men ikke-produktionsmiljø for at sikre nøjagtige resultater, samtidig med at dataene i produktionsmiljøet beskyttes.

Da værktøjet implementerer en dynamisk testmetode , kan det ikke dække 100% af applikationens kildekode og derefter selve applikationen. Indtrængningstesteren skal se på dækningen af ​​webapplikationen eller dens angrebsflade for at vide, om værktøjet var konfigureret korrekt eller var i stand til at forstå webapplikationen.

Værktøjet kan ikke implementere alle varianter af angreb for en given sårbarhed. Så værktøjerne har generelt en foruddefineret liste over angreb og genererer ikke angrebets nyttelast afhængigt af den testede webapplikation. Nogle værktøjer er også ret begrænsede i deres forståelse af applikationsadfærd med dynamisk indhold som JavaScript og Flash .

En rapport fra 2012 viste, at de bedste applikationsteknologier, der overses af de fleste webapplikationsscannere, inkluderer JSON (såsom jQuery ), REST og Google WebToolkit i AJAX- applikationer, Flash Remoting (AMF) og HTML5 samt mobilapps og Web Services ved hjælp af JSON og REST. XML-RPC og SOAP-teknologier, der bruges i webservices, og komplekse arbejdsgange såsom indkøbskurv og XSRF / CSRF- tokens.

Referencer

eksterne links