Dynamische Anwendungssicherheitstests - Dynamic application security testing
Ein DAST-Tool ( Dynamic Application Security Testing ) ist ein Programm, das über das Web-Front-End mit einer Webanwendung kommuniziert, um potenzielle Sicherheitslücken in der Webanwendung und Schwachstellen in der Architektur zu identifizieren. Es führt einen Black-Box- Test durch. Im Gegensatz zu statischen Tools zum Testen der Anwendungssicherheit haben DAST-Tools keinen Zugriff auf den Quellcode und erkennen daher Schwachstellen, indem sie tatsächlich Angriffe ausführen.
DAST-Tools ermöglichen ausgefeilte Scans und erkennen Schwachstellen mit minimalen Benutzerinteraktionen, sobald sie mit dem Hostnamen, den Crawling-Parametern und den Authentifizierungsdaten konfiguriert wurden. Diese Tools versuchen, Schwachstellen in Abfragezeichenfolgen, Headern, Fragmenten, Verben (GET / POST / PUT) und DOM-Injection zu erkennen.
Kunden profitieren von der Bequemlichkeit dieser Anwendungen und gehen stillschweigend das Risiko ein, dass private Informationen, die in Webanwendungen gespeichert sind, durch Hackerangriffe und Insiderlecks gefährdet werden. Laut dem Privacy Rights Clearinghouse wurden 2012 mehr als 18 Millionen Kundendatensätze aufgrund unzureichender Sicherheitskontrollen für Unternehmensdaten und Webanwendungen kompromittiert.
Überblick
DAST-Tools ermöglichen die automatisierte Überprüfung einer Webanwendung mit dem ausdrücklichen Ziel, Sicherheitslücken zu entdecken, und müssen verschiedene gesetzliche Anforderungen erfüllen. Webanwendungsscanner können nach einer Vielzahl von Schwachstellen suchen, z. B. nach Eingabe- / Ausgabeüberprüfung (z. B. Cross-Site-Scripting und SQL-Injection ), bestimmten Anwendungsproblemen und Fehlern bei der Serverkonfiguration.
In einem urheberrechtlich geschützten Bericht, der im März 2012 vom Sicherheitsanbieter Cenzic veröffentlicht wurde, sind die häufigsten Anwendungsschwachstellen in kürzlich getesteten Anwendungen:
| 37% | Cross-Site-Scripting |
| 16% | SQL-Injektion |
| 5% | Pfadoffenlegung |
| 5% | Denial of Service |
| 4% | Codeausführung |
| 4% | Speicherbeschädigung |
| 4% | Standortübergreifende Fälschung von Anfragen |
| 3% | Offenlegung von Informationen |
| 3% | Beliebige Datei |
| 2% | Aufnahme lokaler Dateien |
| 1% | Remote-Dateieinschluss |
| 1% | Pufferüberlauf |
| fünfzehn% | Andere ( PHP-Injektion , Javascript-Injektion usw.) |
Kommerzielle und Open-Source-Scanner
Kommerzielle Scanner sind eine Kategorie von Web-Assessment-Tools, die zu einem bestimmten Preis (normalerweise recht hoch) gekauft werden müssen. Einige Scanner bieten einige kostenlose Funktionen, die meisten müssen jedoch gekauft werden, um uneingeschränkten Zugriff auf die Leistung des Tools zu erhalten.
Und Open-Source-Scanner sind eine weitere Klasse, die von Natur aus kostenlos ist. Sie sind die Besten der Kategorie, da ihr Quellcode offen ist und der Benutzer weiß, was im Gegensatz zu kommerziellen Scannern passiert.
Der Sicherheitsforscher Shay Chen hat zuvor eine umfassende Liste von Sicherheitsscannern für kommerzielle und Open-Source-Webanwendungen zusammengestellt. Die Liste zeigt auch, wie sich jeder der Scanner während seiner Benchmarking-Tests gegen den WAVSEP verhalten hat.
Die WAVSEP-Plattform ist öffentlich verfügbar und kann zur Bewertung der verschiedenen Aspekte von Webanwendungsscannern verwendet werden: Technologieunterstützung, Leistung, Genauigkeit, Abdeckung und Ergebniskonsistenz.
DAST Stärken
Diese Tools können Schwachstellen der endgültigen Release Candidate- Versionen vor dem Versand erkennen. Scanner simulieren einen böswilligen Benutzer, indem sie angreifen und prüfen und Ergebnisse identifizieren, die nicht Teil der erwarteten Ergebnismenge sind, was eine realistische Angriffssimulation ermöglicht. Der große Vorteil dieser Art von Tools besteht darin, dass sie das ganze Jahr über scannen können, um ständig nach Schwachstellen zu suchen. Da regelmäßig neue Schwachstellen entdeckt werden, können Unternehmen Schwachstellen finden und beheben, bevor sie ausgenutzt werden können.
Als dynamisches Testwerkzeug sind Webscanner nicht sprachabhängig. Ein Webanwendungsscanner kann motorgesteuerte Webanwendungen scannen. Angreifer verwenden dieselben Tools. Wenn die Tools also eine Sicherheitsanfälligkeit finden, können dies auch Angreifer tun.
DAST Schwächen
Beim Scannen mit einem DAST-Tool können Daten überschrieben oder böswillige Nutzdaten in die betreffende Site eingefügt werden. Standorte sollten in einer produktionsähnlichen, aber nicht produktionsbezogenen Umgebung gescannt werden, um genaue Ergebnisse zu gewährleisten und gleichzeitig die Daten in der Produktionsumgebung zu schützen.
Da das Tool eine dynamische Testmethode implementiert , kann es nicht 100% des Quellcodes der Anwendung und dann der Anwendung selbst abdecken. Der Penetrationstester sollte anhand der Abdeckung der Webanwendung oder ihrer Angriffsfläche feststellen, ob das Tool korrekt konfiguriert wurde oder die Webanwendung verstehen konnte.
Das Tool kann nicht alle Angriffsvarianten für eine bestimmte Sicherheitsanfälligkeit implementieren. Daher verfügen die Tools im Allgemeinen über eine vordefinierte Liste von Angriffen und generieren abhängig von der getesteten Webanwendung keine Angriffsnutzdaten. Einige Tools sind auch in ihrem Verständnis des Verhaltens von Anwendungen mit dynamischen Inhalten wie JavaScript und Flash sehr eingeschränkt .
In einem Bericht aus dem Jahr 2012 wurde festgestellt, dass JSON (wie jQuery ), REST und Google WebToolkit in AJAX- Anwendungen, Flash Remoting (AMF) und HTML5 sowie mobile Apps und Webdienste , die von den meisten Webanwendungsscannern übersehen werden, zu den wichtigsten Anwendungstechnologien gehören JSON und REST. XML-RPC- und SOAP-Technologien, die in Webdiensten verwendet werden, sowie komplexe Workflows wie Einkaufswagen und XSRF / CSRF- Token.
Verweise
Externe Links
- Bewertungskriterien für den Web Application Security Scanner des Web Application Security Consortium (WASC)
- Vulnerability Scanner für Webanwendungen , ein vom NIST betriebenes Wiki
- Herausforderungen bei der automatisierten Sicherheitsbewertung von Webanwendungen von Robert Auger
- Die WASC-Sicherheitsscannerliste