Ņemot vērā, ka aptuveni viena trešdaļa no visiem zināmajiem pārkāpumiem ir tiešs veiksmīga tīmekļa lietojumprogrammu uzbrukuma rezultāts, ir ļoti svarīgi pārbaudīt savas tīmekļa lietojumprogrammas un API drošību.
Jums ir ne tikai jāpārliecinās, vai jūsu tīmekļa lietojumprogrammas ir drošas regulējošu iemeslu dēļ, bet jums (vajadzētu) arī rūpēties par sava klienta datiem un uzņēmuma risku.
Jums noteikti ir daudz iespēju, lai aizsargātu savas tīmekļa lietojumprogrammas, un tās visas ar plusiem un mīnusiem. Daži risinājumi ir balstīti uz drošības problēmu identificēšanu jūsu lietojumprogrammu pirmkodā. Citi aizsargā jūsu lietojumprogrammas pret uzbrukumiem. Un citi paļaujas uz jūsu tīmekļa lietojumprogrammu drošības dinamisku pārbaudi izpildlaikā, tāpat kā to darītu hakeris.
Šī raksta uzmanības centrā ir šis pēdējais gadījums, proti Droši vien. Salīdzinot ar citiem, Probely ir interesants tas, ka tas risina divas no galvenajām tīmekļa ievainojamības skeneru problēmām: mūsdienu tīmekļa lietojumprogrammu skenēšanas pārklājumu un rezultātu kvalitāti.
Probely ir divi dažādi izdevumi: pašapkalpošanās versija, kas paredzēta MVU, un otra, kas paredzēta uzņēmumiem vai uzņēmumiem ar daudzām tīmekļa lietojumprogrammām un API.
Probely koncentrējas uz izcilu pārklājumu nodrošināšanu mūsdienu izstrādes vidēs un viltus pozitīvu rezultātu novēršanu, izmantojot uz pierādījumiem balstītas skenēšanas rezultātus, vienlaikus ļaujot integrēt DAST skenēšanu savā izstrādes dzīves ciklā.
Pārāk labi, lai būtu patiesība?
Lasiet tālāk, lai uzzinātu par manu Probely analīzi.
Ko īsti dara Probely?
Paturot prātā izstrādātājus un katru uzņēmuma lielumu, Probely pārbauda jūsu lietojumprogrammas un API, skenējot tos, lai atrastu drošības problēmas un ievainojamības. Kad testēšana ir pabeigta, tajā ir sniegti norādījumi par konstatēto problēmu novēršanu.
Jūsu izstrādātāji un drošības inženieri var strādāt ar Probely, izmantojot tā intuitīvo lietotāja interfeisu. Bet, ja jums ir nepieciešama jauda un elastība, varat paļauties uz to pilnvērtīgo API, jo tie ievēro API pirmās izstrādes pieeju. Viņu API nodrošina visas funkcijas, kuras redzat lietotāja saskarnē, ļaujot integrēt Probely CI/CD konveijerā, ievainojamības pārvaldības rīkā, orķestrētājā vai problēmu izsekotājā. Ja izmantojat populāros, iespējams, jums ir gatava integrācija. Tas attiecas uz tādiem rīkiem kā JIRA, Jenkins, Azure DevOps, DefectDojo, CircleCI un Slack. Bet, ja esat izstrādājis pats savu problēmu izsekotāju vai orķestrētāju, API ir pareizais ceļš.
Pārklājums, pārmeklēšana un precizitāte
Probely izmanto nākamās paaudzes zirnekli, lai pārvietotos ar bagātīgām Javascript lietojumprogrammām tāpat kā parastā pārlūkprogrammā, tādējādi nodrošinot lielisku vietnes pārklājumu, kas ir problēma daudziem citiem DAST rīkiem. Šis zirneklis ir ideāli piemērots vienas lapas lietotnēm, piemēram, tām, kuru pamatā ir React vai Angular JS.
Ņemiet vērā, ka skeneris var identificēt tikai atrasto lapu ievainojamības. Tāpēc ļoti svarīgs ir labs zirneklis.
Probely piedāvā arī dažādus skenēšanas profilus atkarībā no tā, kuru vidi vēlaties pārbaudīt. Ja vēlaties skenēt ražošanas vidi, varat iestatīt mazāk uzmācīgu skenēšanas profilu. Ja pārbaudāt savu kvalitātes nodrošināšanas vidi, varat iestatīt rūpīgāku profilu pilnīgākai skenēšanai. Pārbaudot pirmsražošanas vidi, varat identificēt un novērst ievainojamības pirms lietojumprogrammas izvietošanas ražošanā.
Ziņošana
Lai gan Probely atklāj plašu ievainojamību sarakstu, tā koncentrējas uz ziņošanu par būtisku un bez viltus pozitīviem rezultātiem. Dažām ievainojamību klasēm tas sniedz pierādījumus, ka ievainojamība ir reāla, ietaupot jūsu komandas laiku, pārbaudot, vai ievainojamības ir reālas un atbilstošas.
Probely nodrošina plašus pārskatus no saskarnes, taču tas var arī sinhronizēt informāciju par ievainojamību ar problēmu izsekotāju vai ievainojamības pārvaldības rīku, ļaujot iekļaut Probely esošajās drošības un izstrādes darbplūsmās.
Probely var pārbaudīt jūsu programmatūru pret ievainojamībām, piemēram, tām, kas norādītas OWASP TOP 10 un daudz ko citu. Tas var arī palīdzēt sasniegt atbilstību, pārbaudot konkrētas PCI-DSS, GDPR, HIPAA un ISO270-01 prasības.
No OWASP TOP 10 ziņojuma varat īsumā uzzināt, kas ir nepareizi attiecībā uz šo atbilstību.
Interfeiss
Interfeiss ir vienkāršs un viegli orientējams, kas ļauj ātri sākt darbu. Enterprise izdevums ļauj kontrolēt lietotājus, lomas un iestatīt pielāgotas lomas. Varat arī izmantot iezīmes, lai sakārtotu lietotājus, līdzekļus un ievainojamības, lai labāk pārvaldītu tīmekļa lietojumprogrammu drošību. Tā kā visas funkcijas ir pieejamas, izmantojot API, varat viegli integrēt Probely citās uzņēmuma drošības lietojumprogrammās un procesos.
Ja izmantojat Jira vai Azure Boards, varat konfigurēt Probely, lai automātiski nosūtītu visas ievainojamības uz jūsu problēmu izsekotāju. Kad izstrādātājs novērsīs un aizver problēmu problēmu izsekotājā, tas automātiski aktivizēs atkārtotu Probely pārbaudi, kas pārbaudīs, vai ievainojamība ir pareizi novērsta. Ja tā nav, problēma tiek atkārtoti atvērta problēmu izsekotājā. Tas ļauj jūsu izstrādes komandai apstrādāt ievainojamības ziņojumu tāpat kā jebkuru citu kļūdu tieši problēmu izsekotājā, pat neizmantojot Probely saskarni. Jauki, vai ne? 🙂
Darba sākšana 🚀
Testēšanas nolūkos es izmantoju Probely’s Enterprise izdevumu.
Tie piedāvā arī standarta izdevumu un dažādus plānus, no kuriem izvēlēties, tostarp bezmaksas plānu. Bezmaksas plānā skenēšana pārbauda tikai trīs ievainojamību klases: sīkfailu karogus, drošības galvenes un SSL/TLS problēmas. Pro plāns piedāvā lielāko daļu funkciju un koncentrējas uz MVU un organizācijām, kurām ir pieci vai mazāk skenējamie mērķi.
Uzņēmuma izdevums ir vērsts uz organizācijām, kurām ir liels skaits mērķu, un tajā ir iekļauti papildu līdzekļi, piemēram, tie, kas ir izplatīti uzņēmuma programmatūrā: lietotāji, grupas, lomas un atļaujas. Tas arī ļauj skenēt iekšējos mērķus (jūsu privātajā tīklā), instalējot nodrošināto aģentu.
Mērķa pievienošana
Mērķa pievienošana ir vienkārša. Kad esat pieteicies ar savu kontu, jums jāpārvietojas uz lapu Mērķi un jānoklikšķina uz Pievienot. Pēc tam jaunajam mērķim norādiet nosaukumu, URL un vienu vai vairākas etiķetes, piemēram, testēšana, ražošana, izstrāde utt. Lai ļautu Probely skenēt šo mērķi kā atsevišķu API bez atbalsta tīmekļa lietotnes, atzīmējiet atbilstošo opciju, lai identificētu to kā API mērķi.
Ja jūsu mērķis nav atklāts internetā un esat instalējis Probely aģentu savā privātajā tīklā, varat atlasīt, kuru aģentu izmantot, pievienojot mērķi.
Pēc mērķa pievienošanas jums ir jāapstiprina tā īpašumtiesības, jo programmai Probely ir nepieciešami pierādījumi, ka jums ir nepieciešamās tiesības, lai veiktu tā skenēšanu. Ir divas alternatīvas metodes mērķa apstiprināšanai: faila ielāde ar nodrošināto saturu mērķa saknē vai TXT ieraksta pievienošana DNS ierakstam ar domēna nosaukumu un noteiktu ieraksta saturu. Kad mērķis ir apstiprināts, varat to skenēt, vienkārši nospiežot pogu Skenēt.
Skenēšanas gaitu un statusu varat pārbaudīt, pārejot uz Probely informācijas paneļa cilni Skenēšana. Šī lapa parādīs, kad skenēšana sākās un kas līdz šim ir atrasts. Rezultāti ir izkrāsoti pēc smaguma pakāpes, tāpēc vienā mirklī varat redzēt, vai ir būtiskas problēmas, kas nekavējoties jārisina.
Ja jūsu vietnei ir pieteikšanās lapa un vēlaties, lai Probely aiz tās veiktu skenēšanu, jums ir jāiesniedz akreditācijas dati, kas ļauj tai pārmeklēt vietni kā autentificētam lietotājam. Probely atbalsta lielāko daļu pieteikšanās lapu autentifikācijas metožu.
API skenēšana
Lai skenētu API mērķi, programmai Probely ir jānorāda tā shēma. Jūs to darāt, pievienojot API mērķi, norādot OpenAPI shēmas URL vai augšupielādējot shēmu, ja iepriekš to saglabājāt kā lokālo failu. URL opcija ļauj programmai Probely izgūt shēmu pirms katras skenēšanas, nodrošinot, ka tā vienmēr darbojas ar jaunāko shēmas versiju.
Ir arī dažādas iespējas attiecībā uz API piekļuves autentifikācijas metodēm. Probely atbalsta ne tikai statiskos marķierus, bet arī ļauj veikt dinamiskas autentifikācijas konfigurāciju, skenējot API. Varat konfigurēt pieteikšanās galapunktu, kurā Probely var iegūt autentifikācijas pilnvaru, vai arī varat iestatīt pielāgotu galveni ar fiksētu API atslēgu. Varat arī norādīt pielāgoto parametru vērtības, kuras Probely izmantos shēmā atrodamajām vērtībām.
Kad esat pabeidzis API autentifikācijas un parametru konfigurēšanu, varat sākt skenēšanu, nospiežot pogu Scan Now. Pēc dažām sekundēm jūs varēsiet sekot līdzi skenēšanas gaitai tajā pašā skenēšanas lapā. Kad skenēšana beidzas, varat lejupielādēt pārklājuma pārskatu, kurā parādīti visi atrastie galapunkti un katrs atbildes kods. Šajā pārskatā būs arī norādīts, vai ir bijuši neveiksmīgi galapunkti.
Pārbauda savus atradumus
Atklājumu lapā tiek parādīti skenēšanas rezultāti, tiklīdz tie ir atrasti, pat tad, kad notiek skenēšana. Katrs atradums parāda smaguma pakāpi (augstu, vidēju vai zemu), atbilstošo mērķi un URL, atraduma aprakstu, laiku un datumu, kad tas tika atrasts, tā stāvokli (fiksēts vai nefiksēts) un saņēmēju, kā arī to, vai tas ietekmē PCI- DSS vai OWASP atbilstība.
Atklājumu lapa ir ne tikai informēta par atklātajām ievainojamībām, bet arī noderīga, lai savai komandai piešķirtu ievainojamības, kuras tās novērst. Lai to izdarītu, noklikšķiniet uz izvēles rūtiņas kreisajā pusē un nolaižamajā izvēlnē atlasiet pilnvaroto.
Probely sniedz arī informāciju par to, kā novērst konstatētās ievainojamības. Kopā ar šiem norādījumiem varat skatīt visu pieprasījumu un atbildi, kā arī pierādījumus.
Informācijas paneļa lapā varat redzēt dažādas diagrammas, kurās ir apkopots skenēto mērķu drošības risks. Diagrammas parāda dažādu interesantu rādītāju tendences, piemēram, riska rādītājus, vidējo problēmu novēršanas laiku un nopietnības līmeņus. Varat arī apskatīt vietnes, kurām ir jāpievērš vislielākā uzmanība, kā arī ievainojamību 5 populārāko reitingu ar vislielāko sastopamību.
Visbeidzot, lapā Integrācijas varat konfigurēt Probely, lai tā integrētos ar daudziem dažādiem rīkiem, lai pārvaldītu projektus, komandas saziņu, problēmu izsekošanu un daudz ko citu. Pieejamās integrācijas ietver Azure Boards, DefectDojo, Slack, Jira, Jenkins un CircleCI.
Rīks izstrādātājiem un drošības komandām
Agile izstrādes komandām laiks līdz tirgum ir galvenā prioritāte. Viss, ko varat darīt, lai samazinātu laiku, kas nepieciešams programmatūras ražošanas uzsākšanai, nezaudējot kvalitāti, ir ļoti apsveicami. Probely piedāvā tieši to — izmaksu ziņā efektīvu veidu, kā uzlabot jūsu vietņu un API drošību, palīdzot jums izpildīt ar grafiku saistītos solījumus un nodrošināt augstas kvalitātes programmatūras produktus.
Drošības komandām Probely nodrošina platformu, lai aizsargātu jūsu tīmekļa lietojumprogrammas un pārvaldītu ievainojamības, kurām nepieciešama novēršana. Tas arī ļauj izkraut dažus drošības testus tieši izstrādes komandām, vienlaikus veicot uzraudzības lomu.
Probely piedāvā bezmaksas izmēģinājuma versijas, uzņēmuma novērtēšanas licences un produktu demonstrācijas. Sazināties Droši vien lai sāktu.