Vzhledem k tomu, že zhruba jedna třetina všech známých narušení je přímým důsledkem úspěšného útoku na webovou aplikaci, je prvořadé otestovat zabezpečení webových aplikací a API.
Nejen, že se musíte ujistit, že vaše webové aplikace jsou bezpečné z regulačních důvodů, ale (měli byste) se také starat o data vašich klientů a riziko, kterému je vaše společnost vystavena.
Určitě máte spoustu možností, pokud jde o zabezpečení vašich webových aplikací, všechny s jejich klady a zápory. Některá řešení spoléhají na identifikaci bezpečnostních problémů ve zdrojovém kódu vašich aplikací. Jiné chrání vaše aplikace před útoky. A další spoléhají na dynamické testování zabezpečení vašich webových aplikací za běhu, stejně jako by to udělal hacker.
Tento článek se zaměřuje na tento druhý případ, konkrétně na Probely. Probely je ve srovnání s ostatními zajímavými tím, že řeší dva z hlavních problémů skenerů zranitelnosti webu: pokrytí skenováním moderních webových aplikací a kvalitu výsledků.
Probely má dvě různé edice: samoobslužnou, která je zaměřena na malé a střední podniky a druhá na podniky nebo společnosti s mnoha webovými aplikacemi a rozhraními API.
Probely se zaměřuje na poskytování výjimečného pokrytí napříč moderními vývojovými prostředími a eliminaci falešných poplachů s výsledky skenování založeného na důkazech a zároveň vám umožňuje integrovat skenování DAST do vašeho životního cyklu vývoje.
Příliš dobré, aby to byla pravda?
Čtěte dále a dozvíte se o mé analýze Probely.
Table of Contents
Co přesně Probely dělá?
S ohledem na vývojáře a každou velikost firmy testuje Probely vaše aplikace a rozhraní API, skenuje je, aby zjistila bezpečnostní problémy a zranitelnosti. Po dokončení testování poskytuje návod, jak zjištěné problémy opravit.
Vaši vývojáři a bezpečnostní inženýři mohou pracovat se systémem Probely prostřednictvím jeho intuitivního uživatelského rozhraní. Ale pokud potřebujete výkon a flexibilitu, můžete se spolehnout na jejich plnohodnotné API, protože se řídí vývojovým přístupem API-first. Jejich API poskytuje všechny funkce, které vidíte v uživatelském rozhraní, a umožňuje vám integrovat Probely do kanálu CI/CD, nástroje pro správu zranitelnosti, orchestrátoru nebo sledování problémů. Pokud používáte oblíbené, můžete mít integraci ihned po vybalení. To je případ nástrojů, jako jsou JIRA, Jenkins, Azure DevOps, DefectDojo, CircleCI a Slack. Ale pokud jste vyvinuli svůj vlastní nástroj pro sledování problémů nebo orchestrátor, pak je API správnou cestou.
Pokrytí, procházení a přesnost
Probely používá pavouka nové generace k navigaci v bohatých Javascriptových aplikacích stejným způsobem jako normální prohlížeč, což má za následek vynikající pokrytí webu, což je problém pro mnoho dalších nástrojů DAST. Tento pavouk je ideální pro jednostránkové aplikace, jako jsou ty založené na React nebo Angular JS.
Mějte na paměti, že skener dokáže identifikovat slabá místa pouze na nalezených stránkách. Dobrý pavouk je proto nanejvýš důležitý.
Probely také nabízí různé profily skenování v závislosti na prostředí, které chcete testovat. Pokud chcete skenovat produkční prostředí, můžete nastavit méně rušivý profil skenování. Pokud testujete prostředí QA, můžete nastavit důkladnější profil pro kompletnější kontroly. Testováním předprodukčního prostředí můžete identifikovat a opravit zranitelnosti před nasazením aplikace do produkce.
Hlášení
Přestože Probely detekuje rozsáhlý seznam zranitelností, zaměřuje se na hlášení toho, co je relevantní a bez falešných poplachů. U určitých tříd zranitelnosti poskytuje důkaz, že zranitelnost je skutečná, což šetří vašemu týmu čas při ověřování, zda jsou zranitelnosti skutečné a relevantní.
Probely poskytuje rozsáhlé hlášení z rozhraní, ale může také synchronizovat informace o zranitelnosti s nástrojem pro sledování problémů nebo nástrojem pro správu zranitelnosti, což vám umožní začlenit Probely do vašich stávajících bezpečnostních a vývojových pracovních postupů.
Probely může otestovat váš software proti zranitelnostem, jako jsou ty uvedené v OWASP TOP 10 a mnohem více. Může vám také pomoci dosáhnout shody kontrolou konkrétních požadavků PCI-DSS, GDPR, HIPAA a ISO270-01.
Převzato ze zprávy OWASP TOP 10, budete mít na první pohled, co je na této shodě špatně.
Rozhraní
Rozhraní je jednoduché a snadno ovladatelné, což vám umožní rychle začít pracovat. Verze Enterprise vám umožňuje ovládat uživatele, role a nastavovat vlastní role. Štítky můžete také použít k uspořádání uživatelů, aktiv a zranitelných míst, abyste mohli lépe spravovat zabezpečení webových aplikací. Vzhledem k tomu, že všechny funkce jsou dostupné prostřednictvím API, můžete Probely snadno integrovat do vašich dalších podnikových bezpečnostních aplikací a procesů.
Pokud používáte Jira nebo Azure Boards, můžete nakonfigurovat Probely tak, aby automaticky odeslala všechny chyby zabezpečení do vašeho nástroje pro sledování problémů. Když vývojář opraví a zavře problém na nástroji pro sledování problémů, automaticky spustí nový test na Probely, který zkontroluje, zda je chyba zabezpečení správně opravena. Pokud tomu tak není, problém se znovu otevře na nástroji pro sledování problémů. To umožňuje vašemu vývojovému týmu zpracovat zprávu o zranitelnosti jako jakoukoli jinou chybu přímo v nástroji pro sledování problémů, aniž byste museli používat rozhraní Probely. Pěkné, co? 🙂
Začínáme 🚀
Pro účely testování jsem používal edici Enterprise společnosti Probely.
Nabízejí také standardní edici a různé plány na výběr, včetně bezplatného plánu. V bezplatném plánu test testuje pouze tři třídy zranitelnosti: příznaky souborů cookie, hlavičky zabezpečení a problémy se SSL/TLS. Plán Pro nabízí většinu funkcí a zaměřuje se na malé a střední podniky a organizace, které mají pět nebo méně cílů ke skenování.
Edice Enterprise se zaměřuje na organizace, které mají velký počet cílů, a zahrnuje další funkce, jako jsou ty, které jsou běžné v podnikovém softwaru: uživatelé, skupiny, role a oprávnění. Umožňuje vám také skenovat interní cíle (ve vaší privátní síti) instalací agenta, který je k dispozici.
Přidání cíle
Přidání cíle je snadné. Jakmile se přihlásíte pomocí svého účtu, musíte přejít na stránku Cíle a kliknout na Přidat. Poté zadáte název, adresu URL a jeden nebo více štítků – např. Testování, Výroba, Vývoj atd. – pro nový cíl. Chcete-li nechat Probely skenovat tento cíl jako samostatné API bez podpůrné webové aplikace, měli byste zaškrtnout odpovídající možnost a identifikovat jej jako cíl API.
Pokud váš cíl není vystaven na internetu a nainstalovali jste agenta Probely do své privátní sítě, můžete při přidávání cíle vybrat, kterého agenta chcete použít.
Po přidání cíle musíte ověřit jeho vlastnictví, protože Probely potřebuje důkaz, že máte potřebná oprávnění ke spuštění kontroly. Existují dvě alternativní metody ověření cíle: načtení souboru s poskytnutým obsahem do kořenového adresáře cíle nebo přidání položky TXT do vašeho záznamu DNS s názvem domény a určitým obsahem konkrétního záznamu. Jakmile je cíl ověřen, jste připraveni jej skenovat pouhým stisknutím tlačítka Skenovat.
Průběh a stav skenování můžete zkontrolovat přechodem na kartu Skenování na ovládacím panelu Probely. Tato stránka vám ukáže, kdy skenování začalo a co zatím nalezlo. Nálezy jsou zabarveny podle závažnosti, takže můžete na první pohled vidět, zda existují kritické problémy, které je třeba okamžitě řešit.
Pokud má váš web přihlašovací stránku a chcete, aby za ní Probely provedl kontrolu, musíte poskytnout přihlašovací údaje, které mu umožní procházet web jako ověřený uživatel. Probely podporuje většinu metod ověřování pro přihlašovací stránky.
Skenování API
Pro skenování cíle API potřebuje Probely, abyste poskytli jeho schéma. To provedete, když přidáte cíl API, buď poskytnutím adresy URL schématu OpenAPI, nebo nahráním schématu, pokud jste jej dříve uložili jako místní soubor. Možnost URL umožňuje Probely načíst schéma před každým skenováním, což zajišťuje, že bude vždy fungovat s nejnovější verzí vašeho schématu.
Existují také různé možnosti, pokud jde o metody ověřování pro přístup k API. Probely podporuje nejen statické tokeny, ale umožňuje také dynamickou konfiguraci ověřování při skenování API. Můžete nakonfigurovat koncový bod přihlášení, kde může Probely získat ověřovací token, nebo můžete nastavit vlastní hlavičku s pevným klíčem API. Můžete také zadat hodnoty vlastních parametrů, které Probely použije pro ty, které se nacházejí ve schématu.
Jakmile dokončíte konfiguraci ověřování a parametrů API, můžete zahájit kontrolu stisknutím tlačítka Skenovat nyní. Po několika sekundách budete moci sledovat průběh skenování na stejné stránce skenování. Po dokončení skenování si můžete stáhnout zprávu o pokrytí, která zobrazuje všechny nalezené koncové body a každý kód odpovědi. Tato zpráva také řekne, zda došlo k selhání koncových bodů.
Kontrola vašich zjištění
Stránka nálezů zobrazuje výsledky skenování, jakmile jsou nalezeny, i když skenování probíhá. Každý nález ukazuje závažnost (vysoká, střední nebo nízká), odpovídající cíl a URL, popis nálezu, čas a datum, kdy byl nalezen, jeho stav (pevný nebo neopravený) a příjemce a zda ovlivňuje PCI- Soulad s DSS nebo OWASP.
Kromě toho, že vás informujeme o zjištěných zranitelnostech, je stránka nálezů také užitečná pro přiřazení zranitelností vašemu týmu k opravě. Chcete-li tak učinit, klikněte na zaškrtávací políčko vlevo a z rozbalovací nabídky vyberte příjemce.
Probely také poskytuje informace o tom, jak opravit nalezené chyby zabezpečení. Spolu s těmito pokyny můžete vidět celou žádost a odpověď a důkazy.
Na stránce Dashboard můžete vidět různé grafy, které shrnují bezpečnostní riziko skenovaných cílů. Grafy znázorňují trendy v různých zajímavých metrikách, jako jsou skóre rizik, průměrný čas na vyřešení problémů a úrovně závažnosti. Můžete se také podívat na stránky, které vyžadují největší pozornost, a do top 5 žebříčku zranitelností s nejvyšším výskytem.
Nakonec na stránce Integrace můžete nakonfigurovat Probely tak, aby se integrovala s mnoha různými nástroji pro správu projektů, týmovou komunikaci, sledování problémů a další. Dostupné integrace zahrnují Azure Boards, DefectDojo, Slack, Jira, Jenkins a CircleCI.
Nástroj pro vývojáře a bezpečnostní týmy
Pro agilní vývojové týmy je nejvyšší prioritou čas uvedení na trh. Cokoli můžete udělat pro to, abyste minimalizovali čas potřebný k uvedení vašeho softwaru do výroby, aniž by došlo ke snížení kvality, je velmi vítáno. Probely nabízí právě to – nákladově efektivní způsob, jak zlepšit zabezpečení vašich webových stránek a rozhraní API, což vám pomůže dodržet vaše sliby související s plánem a dodat vysoce kvalitní softwarové produkty.
Pro bezpečnostní týmy vám Probely poskytuje platformu pro zabezpečení vašich webových aplikací a správu zranitelností, které vyžadují nápravu. Umožňuje vám také přesunout některé bezpečnostní testy přímo do vývojových týmů a zároveň mít roli dohledu.
Probely nabízí bezplatné zkušební verze, podnikové zkušební licence a ukázky produktů. Kontakt Probely začít.