Dynamiczne testy bezpieczeństwa aplikacji - Dynamic application security testing

Testowania bezpieczeństwa aplikacji dynamiczny (DAST) narzędzie to program, który komunikuje się z aplikacją internetową poprzez web front-end w celu identyfikacji potencjalnych luk w zabezpieczeniach aplikacji internetowych i słabości architektonicznych. Wykonuje test czarnej skrzynki . W przeciwieństwie do statycznych narzędzi do testowania bezpieczeństwa aplikacji, narzędzia DAST nie mają dostępu do kodu źródłowego, a zatem wykrywają luki w zabezpieczeniach poprzez faktyczne przeprowadzanie ataków.

Narzędzia DAST umożliwiają zaawansowane skanowanie, wykrywanie luk w zabezpieczeniach przy minimalnej liczbie interakcji użytkownika po skonfigurowaniu nazwy hosta, parametrów indeksowania i danych uwierzytelniających. Te narzędzia będą próbowały wykryć luki w ciągach zapytań, nagłówkach, fragmentach, czasownikach (GET / POST / PUT) i wstrzyknięciu DOM.

Klienci czerpią korzyści z wygody tych aplikacji, a jednocześnie milcząco podejmują ryzyko, że prywatne informacje przechowywane w aplikacjach internetowych zostaną narażone na ataki hakerów i wycieki informacji poufnych. Według Privacy Rights Clearinghouse ponad 18 milionów rekordów klientów zostało naruszonych w 2012 roku z powodu niewystarczających kontroli bezpieczeństwa danych firmowych i aplikacji internetowych.

Przegląd

Narzędzia DAST ułatwiają zautomatyzowany przegląd aplikacji internetowej w celu wykrycia luk w zabezpieczeniach i są zobowiązane do przestrzegania różnych wymogów prawnych. Skanery aplikacji internetowych mogą wyszukiwać wiele różnych luk w zabezpieczeniach, takich jak sprawdzanie poprawności danych wejściowych / wyjściowych: (np. Skrypty między witrynami i wstrzykiwanie SQL ), problemy z określonymi aplikacjami i błędy w konfiguracji serwera.

W raporcie chronionym prawem autorskim opublikowanym w marcu 2012 r. Przez dostawcę zabezpieczeń Cenzic, najczęstsze luki w zabezpieczeniach aplikacji w ostatnio testowanych aplikacjach obejmują:

37% Skrypty między witrynami
16% Wstrzyknięcie SQL
5% Ujawnienie ścieżki
5% Odmowa usługi
4% Wykonanie kodu
4% Uszkodzenie pamięci
4% Fałszowanie żądań między lokacjami
3% Ujawnienie informacji
3% Dowolny plik
2% Włączanie plików lokalnych
1% Zdalne dołączanie plików
1% Przepełnienie bufora
15% Inne ( wtrysk PHP , wtrysk JavaScript , etc.)

Skanery komercyjne i open source

Skanery komercyjne to kategoria narzędzi do oceny sieci, które trzeba kupić za określoną cenę (zwykle dość wysoką). Niektóre skanery zawierają kilka bezpłatnych funkcji, ale większość z nich należy kupić, aby uzyskać pełny dostęp do mocy narzędzia.

A skanery open source to kolejna klasa, która ma charakter darmowy. Są najlepsi w tej kategorii, ponieważ ich kod źródłowy jest otwarty, a użytkownik dowiaduje się, co się dzieje w przeciwieństwie do komercyjnych skanerów.

Badacz bezpieczeństwa Shay Chen wcześniej sporządził wyczerpującą listę skanerów bezpieczeństwa aplikacji internetowych, zarówno komercyjnych, jak i open source. Lista podkreśla również, jak każdy ze skanerów radził sobie podczas testów porównawczych z WAVSEP.

Platforma WAVSEP jest publicznie dostępna i może być używana do oceny różnych aspektów skanerów aplikacji internetowych: wsparcia technicznego, wydajności, dokładności, pokrycia i spójności wyników.

Mocne strony DAST

Narzędzia te mogą wykrywać luki w zabezpieczeniach gotowych wersji kandydujących do wydania przed ich wysłaniem. Skanery symulują złośliwego użytkownika, atakując i sondując, identyfikując wyniki, które nie są częścią oczekiwanego zestawu wyników, umożliwiając realistyczną symulację ataku. Dużą zaletą tego typu narzędzi jest to, że mogą one skanować przez cały rok w celu ciągłego wyszukiwania luk w zabezpieczeniach. Regularne odkrywanie nowych luk umożliwia firmom znajdowanie i łatanie luk w zabezpieczeniach, zanim będą mogły zostać wykorzystane.

Jako narzędzie do testowania dynamicznego, skanery internetowe nie są zależne od języka. Skaner aplikacji internetowych może skanować aplikacje internetowe oparte na silniku. Atakujący używają tych samych narzędzi, więc jeśli narzędzia mogą znaleźć lukę, to samo mogą zrobić to osoby atakujące.

Słabości DAST

Podczas skanowania za pomocą narzędzia DAST dane mogą zostać nadpisane lub złośliwe ładunki wprowadzone do witryny, której dotyczy temat. Witryny należy skanować w środowisku produkcyjnym, ale nieprodukcyjnym, aby zapewnić dokładne wyniki przy jednoczesnej ochronie danych w środowisku produkcyjnym.

Ponieważ narzędzie implementuje dynamiczną metodę testowania , nie może objąć 100% kodu źródłowego aplikacji, a następnie samej aplikacji. Tester penetracji powinien przyjrzeć się pokryciu aplikacji internetowej lub jej powierzchni ataku, aby wiedzieć, czy narzędzie zostało poprawnie skonfigurowane lub czy było w stanie zrozumieć aplikację internetową.

Narzędzie nie może zaimplementować wszystkich wariantów ataków na daną lukę. Dlatego narzędzia te mają na ogół predefiniowaną listę ataków i nie generują ładunków ataku w zależności od testowanej aplikacji internetowej. Niektóre narzędzia mają również dość ograniczone rozumienie zachowania aplikacji z zawartością dynamiczną, taką jak JavaScript i Flash .

Raport z 2012 roku stwierdził, że technologie top aplikacyjne pomijane przez większość skanerów aplikacji internetowych obejmuje JSON (takich jak jQuery ), REST i Google WebToolkit w AJAX aplikacji Flash Remoting (AMF) oraz HTML5 , jak również aplikacje mobilne i usług sieci Web przy użyciu JSON i REST. Technologie XML-RPC i SOAP używane w usługach sieci Web oraz złożone przepływy pracy, takie jak koszyk i tokeny XSRF / CSRF .

Bibliografia

Linki zewnętrzne