Tekintettel arra, hogy az összes ismert incidens nagyjából egyharmada egy sikeres webalkalmazás-támadás közvetlen eredménye, kiemelten fontos a webalkalmazások és API-k biztonságának tesztelése.
Nemcsak arról kell gondoskodnia, hogy webalkalmazásai szabályozói okokból biztonságosak legyenek, hanem ügyfelei adataival és vállalata kockázati kitettségével is (kell) foglalkoznia.
Minden bizonnyal rengeteg lehetőség áll rendelkezésére a webalkalmazások biztonságossá tétele terén, mindezek előnyeivel és hátrányaival együtt. Egyes megoldások az alkalmazások forráskódjában található biztonsági problémák azonosításán alapulnak. Mások védik alkalmazásait a támadások ellen. Mások pedig a webalkalmazások biztonságának dinamikus tesztelésében támaszkodnak futás közben, akár egy hacker tenné.
E cikk középpontjában ez utóbbi eset áll, nevezetesen a Valószínűleg. Ami a Probely-t másokkal összehasonlítva érdekessé teszi, az az, hogy a webes sebezhetőség-ellenőrzők két fő problémájával foglalkozik: a modern webalkalmazások vizsgálati lefedettségével és az eredmények minőségével.
A Probelynek két különböző kiadása van: egy önkiszolgáló, amely a kis- és középvállalkozásokat célozza, a másik pedig a vállalatokat vagy a sok webalkalmazással és API-val rendelkező vállalatokat célozza meg.
A Probely arra összpontosít, hogy kivételes lefedettséget biztosítson a modern fejlesztői környezetekben, és kiküszöbölje a hamis pozitív eredményeket az Evidence-Based Scanning eredményeivel, miközben lehetővé teszi a DAST-vizsgálat integrálását a fejlesztési életciklusába.
Túl szép, hogy igaz legyen?
Olvasson tovább, ha többet szeretne megtudni a Probely-elemzésemről.
Tartalomjegyzék
Mit csinál pontosan a Probely?
A fejlesztőket és minden vállalkozásméretet szem előtt tartva a Probely teszteli alkalmazásait és API-jait, átvizsgálja azokat, hogy megtalálja a biztonsági problémákat és a sebezhetőséget. Amikor a tesztelés befejeződött, útmutatást ad a talált problémák megoldásához.
Fejlesztői és biztonsági mérnökei az intuitív felhasználói felületen keresztül dolgozhatnak a Probely-vel. De ha teljesítményre és rugalmasságra van szüksége, támaszkodhat a teljes funkcionalitású API-jukra, mivel az API-első fejlesztési megközelítést követik. Az API-juk a felhasználói felületen látható összes szolgáltatást biztosítja, lehetővé téve a Probely integrálását egy CI/CD folyamatba, sebezhetőségkezelő eszközbe, irányítóba vagy problémakövetőbe. Ha a népszerűeket használja, előfordulhat, hogy egy kész integrációval rendelkezik. Ez a helyzet az olyan eszközök esetében, mint a JIRA, a Jenkins, az Azure DevOps, a DefectDojo, a CircleCI és a Slack. De ha saját problémakövetőt vagy hangszerelőt fejlesztett ki, akkor az API a megfelelő út.
Lefedettség, feltérképezés és pontosság
A Probely egy következő generációs pókot használ a gazdag Javascript-alkalmazások navigálásához, ugyanúgy, mint egy normál böngésző, ami kiváló lefedettséget eredményez a webhelyen, ami sok más DAST-eszköznél probléma. Ez a pók ideális egyoldalas alkalmazásokhoz, például a React vagy az Angular JS alapú alkalmazásokhoz.
Ne feledje, hogy a szkenner csak a talált oldalak sérülékenységét tudja azonosítani. Ezért a jó pók rendkívül fontos.
A Probe különböző szkennelési profilokat is kínál attól függően, hogy melyik környezetet szeretné tesztelni. Beállíthat egy kevésbé tolakodó vizsgálati profilt, ha át szeretné vizsgálni az éles környezetet. Ha a minőségbiztosítási környezetet teszteli, alaposabb profilt állíthat be a teljesebb vizsgálatokhoz. A gyártás előtti környezet tesztelésével azonosíthatja és kijavíthatja a biztonsági réseket, mielőtt az alkalmazást éles környezetben üzembe helyezné.
Jelentés
Bár a Probely a sebezhetőségek kiterjedt listáját észleli, a lényegesek jelentésére összpontosít, és hamis pozitív eredmények nélkül. Bizonyos sérülékenységi osztályok esetében bizonyítja, hogy a sérülékenység valódi, így a csapat idejét megtakaríthatja annak ellenőrzésében, hogy a sérülékenységek valódiak és relevánsak-e.
A Probely kiterjedt jelentéseket biztosít a felületről, de szinkronizálhatja a sebezhetőségi információkat egy problémakövetővel vagy sebezhetőség-kezelő eszközzel, lehetővé téve a Probely beillesztését a meglévő biztonsági és fejlesztési munkafolyamatokhoz.
A Probely képes tesztelni a szoftvert olyan sebezhetőségek ellen, mint például az OWASP TOP 10-ben felsoroltak és még sok más. A PCI-DSS, a GDPR, a HIPAA és az ISO270-01 specifikus követelményeinek ellenőrzésével is segíthet a megfelelőség elérésében.
Az OWASP TOP 10 jelentéséből egy pillantással láthatja, mi a baj ezzel a megfelelőséggel.
Felület
A kezelőfelület egyszerű és könnyen navigálható, lehetővé téve a gyors üzembe helyezést. Az Enterprise kiadás lehetővé teszi a felhasználók, szerepkörök vezérlését és egyéni szerepkörök beállítását. A címkék segítségével rendszerezheti a felhasználókat, az eszközöket és a sebezhetőségeket, így jobban kezelheti webalkalmazása biztonságát. Mivel minden funkció elérhető az API-n keresztül, a Probely könnyen integrálható más vállalati biztonsági alkalmazásaiba és folyamataiba.
Ha Jira- vagy Azure-táblákat használ, beállíthatja a Probely-t úgy, hogy az összes sebezhetőséget automatikusan elküldje a problémakövetőnek. Amikor a fejlesztő kijavítja és bezárja a problémát a problémakövetőben, automatikusan újratesztet indít a Probely-n, amely ellenőrzi, hogy a biztonsági rést megfelelően javították-e. Ha nem, a probléma újra megnyílik a problémakövetőben. Ez lehetővé teszi a fejlesztőcsapat számára, hogy a sebezhetőségi jelentéseket úgy kezelje, mint bármely más hibát, közvetlenül a hibakövetőn, anélkül, hogy a Probely felületét használná. Szép, mi? 🙂
Kezdés 🚀
Tesztelési célokra a Probely Enterprise kiadását használtam.
Emellett szabványos kiadást és különféle csomagokat is kínálnak, amelyek közül választhat, beleértve az ingyenes csomagot is. Az ingyenes tervben a vizsgálat csak három sebezhetőségi osztályt tesztel: cookie-jelzőket, biztonsági fejléceket és SSL/TLS-problémákat. A Pro-terv a legtöbb szolgáltatást kínálja, és azokra a KKV-kra és szervezetekre összpontosít, amelyek öt vagy annál kevesebb célponttal rendelkeznek.
Az Enterprise kiadás azokra a szervezetekre összpontosít, amelyek nagy számú céllal rendelkeznek, és további funkciókat is tartalmaz, például a vállalati szoftverekben megszokottakat: felhasználókat, csoportokat, szerepköröket és engedélyeket. Lehetővé teszi a belső célpontok vizsgálatát (a magánhálózatán) egy mellékelt ügynök telepítésével.
Cél hozzáadása
Cél hozzáadása egyszerű. Miután bejelentkezett fiókjával, lépjen a Célok oldalra, és kattintson a Hozzáadás gombra. Ezután adjon meg egy nevet, egy URL-t és egy vagy több címkét – azaz Tesztelés, Gyártás, Fejlesztés stb. – az új célhoz. Ha engedélyezni szeretné, hogy a Probely önálló API-ként vizsgálja ezt a célt támogató webalkalmazás nélkül, jelölje be a megfelelő beállítást, hogy API-célként azonosítsa.
Ha a célpont nincs elérhető az interneten, és Probely-ügynököt telepített a magánhálózatára, kiválaszthatja, hogy melyik ügynököt használja a cél hozzáadása során.
A cél hozzáadása után érvényesítenie kell a tulajdonjogát, mert a Probelynek bizonyítékra van szüksége, hogy rendelkezik a szükséges jogosultságokkal a vizsgálat futtatásához. Két alternatív módszer létezik a cél érvényesítésére: a megadott tartalommal rendelkező fájl betöltése a cél gyökérkönyvtárába, vagy egy TXT bejegyzés hozzáadása a DNS-rekordhoz a tartomány nevével és bizonyos rekordtartalommal. A cél érvényesítése után készen áll a beolvasásra a Scan gomb megnyomásával.
A vizsgálat előrehaladását és állapotát a Probely irányítópultján a Vizsgálatok lapra navigálva ellenőrizheti. Ez az oldal megmutatja, hogy mikor indult a vizsgálat, és mit talált eddig. A megállapításokat a súlyosság szerint színezi, így egy pillantással láthatja, hogy vannak-e olyan kritikus problémák, amelyeket azonnal orvosolni kell.
Ha webhelye rendelkezik bejelentkezési oldallal, és azt szeretné, hogy a Probely vizsgálatot végezzen mögötte, meg kell adnia azokat a hitelesítő adatokat, amelyek lehetővé teszik a webhely hitelesített felhasználóként való feltérképezését. A Probely támogatja a legtöbb hitelesítési módszert a bejelentkezési oldalakhoz.
API vizsgálata
Egy API-cél vizsgálatához a Probelynek meg kell adnia a sémáját. Ezt akkor teheti meg, amikor hozzáad egy API-célt az OpenAPI-séma URL-címének megadásával vagy a séma feltöltésével, ha korábban helyi fájlként mentette. Az URL beállítás lehetővé teszi, hogy a Probely minden vizsgálat előtt lekérje a sémát, így biztosítva, hogy mindig a séma legújabb verziójával működjön.
Különböző lehetőségek is vannak az API-hozzáférés hitelesítési módszerei tekintetében. A Probely nemcsak a statikus tokeneket támogatja, hanem lehetővé teszi a dinamikus hitelesítési konfigurációt is az API-k vizsgálatakor. Beállíthat egy bejelentkezési végpontot, ahol a Probely hitelesítési tokent kaphat, vagy beállíthat egy egyéni fejlécet egy rögzített API-kulccsal. Megadhat egyéni paraméterértékeket is, amelyeket a Probely a sémában található értékekhez fog használni.
Miután befejezte az API hitelesítés és a paraméterek konfigurálását, a Vizsgálat most gomb megnyomásával elindíthatja a vizsgálatot. Néhány másodperc múlva követheti a szkennelés folyamatát ugyanazon a szkennelési oldalon. Amikor a vizsgálat véget ér, letölthet egy lefedettségi jelentést, amely tartalmazza az összes talált végpontot és az egyes válaszkódokat. Ez a jelentés azt is megmutatja, hogy voltak-e hibás végpontok.
Az eredmények ellenőrzése
A leletoldalon a keresési eredmények azonnal megjelennek, amint megtalálják őket, még akkor is, ha a vizsgálat folyamatban van. Minden egyes lelet megmutatja a súlyosságot (magas, közepes vagy alacsony), a megfelelő célt és URL-t, a lelet leírását, a megtalálás időpontját és dátumát, állapotát (rögzített vagy nem rögzített) és a hozzárendelt személyt, valamint azt, hogy hatással van-e a PCI-re. DSS vagy OWASP megfelelőség.
Amellett, hogy tájékoztatja Önt az észlelt sérülékenységekről, a megállapítások oldala hasznos lehet a kijavítandó sebezhetőségek csapatához való hozzárendeléséhez is. Ehhez kattintson a bal oldali jelölőnégyzetre, és válassza ki a megbízott személyt a legördülő menüből.
A Probely a talált sebezhetőségek kijavításáról is tájékoztatást nyújt. Ezekkel az utasításokkal együtt láthatja a teljes kérést és választ, valamint a bizonyítékokat.
Az Irányítópult oldalon különféle diagramokat láthat, amelyek összefoglalják a vizsgált célpontok biztonsági kockázatait. A grafikonok különböző érdekes mutatók trendjeit mutatják be, mint például a kockázati pontszámok, a problémák megoldásának átlagos ideje és a súlyossági szintek. Megtekintheti azokat a webhelyeket is, amelyek a legnagyobb figyelmet igényelnek, és a leggyakrabban előforduló sebezhetőségek top 5-ös rangsorában szerepelnek.
Végül az Integrációk oldalon beállíthatja a Probely-t, hogy integrálódjon számos különböző eszközzel a projektek kezeléséhez, a csapatkommunikációhoz, a problémák nyomon követéséhez stb. A rendelkezésre álló integrációk közé tartozik az Azure Boards, a DefectDojo, a Slack, a Jira, a Jenkins és a CircleCI.
Eszköz fejlesztők és biztonsági csapatok számára
Az agilis fejlesztőcsapatok számára a piacra jutás ideje a legfontosabb prioritás. Nagyon szívesen fogadunk mindent, amit megtehet annak érdekében, hogy minimálisra csökkentse a szoftver gyártási idejét a minőség romlása nélkül. A Probely éppen ezt kínálja – költséghatékony módszert a webhelyek és API-k biztonságának javítására, amely segít betartani az ütemezéssel kapcsolatos ígéreteit, és kiváló minőségű szoftvertermékeket szállít.
A biztonsági csapatok számára a Probely platformot biztosít a webalkalmazások védelmére és a javítást igénylő sebezhetőségek kezelésére. Lehetővé teszi továbbá, hogy a biztonsági tesztek egy részét közvetlenül a fejlesztőcsapatoknak töltse le, miközben felügyeleti szerepkörrel rendelkezik.
A Probely ingyenes próbaverziókat, vállalati értékelési licenceket és termékbemutatókat kínál. Kapcsolatba lépni Valószínűleg kezdeni.