Dynamische testen van applicatiebeveiliging - Dynamic application security testing

Een Dynamic Application Security Testing (DAST) -tool is een programma dat via de webfront-end communiceert met een webtoepassing om potentiële beveiligingsproblemen in de webtoepassing en architectonische zwakheden te identificeren. Het voert een black-box- test uit. In tegenstelling tot testtools voor statische applicatiebeveiliging , hebben DAST-tools geen toegang tot de broncode en detecteren ze daarom kwetsbaarheden door daadwerkelijk aanvallen uit te voeren.

DAST-tools maken geavanceerde scans mogelijk en detecteren kwetsbaarheden met minimale gebruikersinteracties nadat ze zijn geconfigureerd met hostnaam, crawlparameters en authenticatiegegevens. Deze tools zullen proberen om kwetsbaarheden te detecteren in queryreeksen, headers, fragmenten, werkwoorden (GET / POST / PUT) en DOM-injectie.

Klanten profiteren van het gemak van deze applicaties, terwijl ze stilzwijgend het risico nemen dat privé-informatie die is opgeslagen in webapplicaties wordt gecompromitteerd door hackeraanvallen en insider-lekken. Volgens het Privacy Rights Clearinghouse zijn in 2012 meer dan 18 miljoen klantrecords gecompromitteerd als gevolg van onvoldoende beveiligingscontroles op bedrijfsgegevens en webapplicaties.

Overzicht

DAST-tools vergemakkelijken de geautomatiseerde beoordeling van een webtoepassing met het uitdrukkelijke doel om beveiligingsproblemen te ontdekken en zijn vereist om te voldoen aan verschillende wettelijke vereisten. Webapplicatiescanners kunnen op zoek gaan naar een breed scala aan kwetsbaarheden, zoals invoer- / uitvoervalidatie: (bijv. Cross-site scripting en SQL-injectie ), specifieke applicatieproblemen en serverconfiguratiefouten.

In een auteursrechtelijk beschermd rapport dat in maart 2012 werd gepubliceerd door beveiligingsleverancier Cenzic, zijn de meest voorkomende kwetsbaarheden in toepassingen in recent geteste toepassingen:

37% Cross-site scripting
16% SQL injectie
5% Pad openbaarmaking
5% Denial-of-service
4% Code uitvoering
4% Geheugen corruptie
4% Vervalsing van cross-site-verzoeken
3% Vrijgeven van informatie
3% Willekeurig bestand
2% Lokale bestandsopname
1% Opname van externe bestanden
1% Bufferoverloop
15% Overig ( PHP-injectie , Javascript-injectie , etc.)

Commerciële en open-source scanners

Commerciële scanners zijn een categorie webbeoordelingsinstrumenten die voor een specifieke prijs (meestal vrij hoog) moeten worden gekocht. Sommige scanners bevatten enkele gratis functies, maar de meeste moeten worden gekocht voor volledige toegang tot de kracht van de tool.

En open-source scanners zijn een andere klasse die gratis van aard is. Ze zijn de beste van de categorie omdat hun broncode open is en de gebruiker leert wat er gebeurt, in tegenstelling tot commerciële scanners.

Beveiligingsonderzoeker Shay Chen heeft eerder een volledige lijst samengesteld van zowel commerciële als open-source beveiligingsscanners voor webtoepassingen. De lijst geeft ook aan hoe elk van de scanners presteerde tijdens zijn benchmarktests ten opzichte van de WAVSEP.

Het WAVSEP-platform is openbaar beschikbaar en kan worden gebruikt om de verschillende aspecten van webapplicatiescanners te evalueren: technologische ondersteuning, prestaties, nauwkeurigheid, dekking en resultaatconsistentie.

DAST sterke punten

Deze tools kunnen kwetsbaarheden van de definitieve release-kandidaatversies detecteren voordat ze worden verzonden. Scanners simuleren een kwaadwillende gebruiker door ze aan te vallen en te onderzoeken, waarbij ze resultaten identificeren die geen deel uitmaken van de verwachte resultatenset, waardoor een realistische aanvalsimulatie mogelijk is. Het grote voordeel van dit soort tools is dat ze het hele jaar door kunnen scannen om constant op zoek te gaan naar kwetsbaarheden. Omdat regelmatig nieuwe kwetsbaarheden worden ontdekt, kunnen bedrijven kwetsbaarheden opsporen en patchen voordat ze kunnen worden uitgebuit.

Als dynamische testtool zijn webscanners niet taalafhankelijk. Een webapplicatiescanner kan door motoren aangedreven webapplicaties scannen. Aanvallers gebruiken dezelfde tools, dus als de tools een kwetsbaarheid kunnen vinden, kunnen aanvallers dat ook.

DAST-zwakke punten

Tijdens het scannen met een DAST-tool kunnen gegevens worden overschreven of kunnen kwaadwillende ladingen in de betreffende site worden geïnjecteerd. Sites moeten worden gescand in een productieachtige maar niet-productieomgeving om nauwkeurige resultaten te garanderen en tegelijkertijd de gegevens in de productieomgeving te beschermen.

Omdat de tool een dynamische testmethode implementeert , kan deze niet 100% van de broncode van de applicatie en vervolgens de applicatie zelf dekken. De penetratietester moet kijken naar de dekking van de webapplicatie of van het aanvalsoppervlak om te weten of de tool correct was geconfigureerd of de webapplicatie kon begrijpen.

De tool kan niet alle varianten van aanvallen implementeren voor een bepaalde kwetsbaarheid. De tools hebben dus over het algemeen een vooraf gedefinieerde lijst met aanvallen en genereren niet de aanvalspayloads, afhankelijk van de geteste webapplicatie. Sommige tools zijn ook vrij beperkt in hun begrip van het gedrag van applicaties met dynamische inhoud zoals JavaScript en Flash .

Uit een rapport uit 2012 bleek dat de belangrijkste applicatietechnologieën die door de meeste webapplicatiescanners over het hoofd worden gezien, JSON (zoals jQuery ), REST en Google WebToolkit in AJAX- applicaties, Flash Remoting (AMF) en HTML5 zijn , evenals mobiele apps en webservices die gebruikmaken van JSON en REST. XML-RPC- en SOAP-technologieën die worden gebruikt in webservices en complexe workflows zoals een winkelwagentje en XSRF / CSRF- tokens.

Referenties

Externe links