Учитывая, что примерно треть всех известных нарушений являются прямым результатом успешной атаки на веб-приложение, крайне важно, чтобы вы проверили безопасность своих веб-приложений и API.
Вам нужно не только убедиться, что ваши веб-приложения защищены по нормативным причинам, но вы (должны) быть обеспокоены данными ваших клиентов и подверженностью риску для вашей компании.
У вас, безусловно, есть много вариантов, когда дело доходит до защиты ваших веб-приложений, каждый со своими плюсами и минусами. Некоторые решения основаны на выявлении проблем безопасности в исходном коде ваших приложений. Другие защищают ваши приложения от атак. А другие полагаются на динамическое тестирование безопасности ваших веб-приложений во время выполнения, как это сделал бы хакер.
В центре внимания этой статьи находится этот последний случай, а именно Probela. Что делает Probeli интересным по сравнению с другими, так это то, что он решает две основные проблемы веб-сканеров уязвимостей: охват сканированием современных веб-приложений и качество результатов.
У Probeli есть две разные версии: одна для самообслуживания, предназначенная для малого и среднего бизнеса, а другая — для предприятий или компаний с большим количеством веб-приложений и API.
Probeli фокусируется на обеспечении исключительного покрытия в современных средах разработки и устранении ложных срабатываний с помощью основанных на фактических данных результатов сканирования, позволяя вам интегрировать сканирование DAST в ваш жизненный цикл разработки.
Слишком хорошо, чтобы быть правдой?
Читайте дальше, чтобы узнать больше о моем анализе Probela.
Содержание
Что именно делает Пробели?
Думая о разработчиках и предприятиях любого размера, Probeli тестирует ваши приложения и API, сканируя их на наличие проблем с безопасностью и уязвимостей. Когда тестирование завершено, он предоставляет инструкции по устранению обнаруженных проблем.
Ваши разработчики и инженеры по безопасности могут работать с Probeli через интуитивно понятный пользовательский интерфейс. Но если вам нужна мощность и гибкость, вы можете положиться на их полнофункциональный API, потому что они следуют подходу разработки API-first. Их API предоставляет все функции, которые вы видите в пользовательском интерфейсе, позволяя интегрировать Probeli в конвейер CI/CD, инструмент управления уязвимостями, оркестратор или систему отслеживания проблем. Если вы используете популярный, у вас может быть встроенная интеграция. Это касается таких инструментов, как JIRA, Jenkins, Azure DevOps, DefectDojo, CircleCI и Slack. Но если вы разработали собственное средство отслеживания проблем или оркестратор, то вам подойдет API.
Охват, индексация и точность
Probeli использует паука следующего поколения для навигации по богатым Javascript-приложениям так же, как и обычный браузер, что обеспечивает превосходное покрытие сайта, что является проблемой для многих других инструментов DAST. Этот паук идеально подходит для одностраничных приложений, например, основанных на React или Angular JS.
Обратите внимание, что сканер может выявить уязвимости только на найденных страницах. Вот почему хороший паук имеет первостепенное значение.
Probeli также предлагает различные профили сканирования в зависимости от среды, которую вы хотите протестировать. Вы можете установить менее навязчивый профиль сканирования, если хотите сканировать производственную среду. Если вы тестируете свою среду QA, вы можете установить более подробный профиль для более полного сканирования. Тестируя предпроизводственную среду, вы можете выявить и устранить уязвимости перед развертыванием приложения в рабочей среде.
Составление отчетов
Хотя Probeli обнаруживает обширный список уязвимостей, он фокусируется на сообщении о том, что важно, и без ложных срабатываний. Для определенных классов уязвимостей он обеспечивает доказательство того, что уязвимость реальна, экономя время вашей команды на проверке того, что уязвимости реальны и актуальны.
Probeli предоставляет расширенные отчеты из интерфейса, но также может синхронизировать информацию об уязвимостях с системой отслеживания проблем или инструментом управления уязвимостями, что позволяет вам встроить Probeli в существующие рабочие процессы безопасности и разработки.
Probeli может проверить ваше программное обеспечение на наличие уязвимостей, перечисленных в OVASP TOP 10 и других. Это также может помочь вам добиться соответствия путем проверки конкретных требований PCI-DSS, GDPR, HIPAA и ISO270-01.
Взято из отчета OVASP TOP 10, вы сразу увидите, что не так с этим соответствием.
Интерфейс
Интерфейс прост и удобен в навигации, что позволяет быстро приступить к работе. Редакция Enterprise позволяет вам управлять пользователями, ролями и настраивать пользовательские роли. Вы также можете использовать теги для организации пользователей, активов и уязвимостей, чтобы лучше управлять безопасностью веб-приложений. Поскольку все функции доступны через API, вы можете легко интегрировать Probeli в другие приложения безопасности и бизнес-процессы.
Если вы используете доски Jira или Azure, вы можете настроить Probeli для автоматической отправки всех уязвимостей в систему отслеживания проблем. Когда разработчик исправляет и закрывает проблему в системе отслеживания проблем, он автоматически запускает повторное тестирование в Probeli, которое проверяет, правильно ли устранена уязвимость. Если нет, проблема повторно открывается в системе отслеживания проблем. Это позволяет вашей команде разработчиков обрабатывать отчет об уязвимости, как и любую другую ошибку, непосредственно в системе отслеживания проблем, даже без использования интерфейса Probeli. Красиво, да? ?
Начало работы ?
В целях тестирования я использовал версию Probeli Enterprise.
Они также предлагают стандартную версию и различные планы на выбор, включая бесплатный план. В бесплатном плане сканирование проверяет только три класса уязвимостей: теги файлов cookie, заголовки безопасности и проблемы с SSL/TLS. План Pro предлагает большинство функций и ориентирован на малый и средний бизнес и организации, у которых есть пять или менее целей для сканирования.
Редакция Enterprise ориентирована на организации, которые имеют большое количество целей, и включает в себя дополнительные функции, подобные тем, которые распространены в корпоративном программном обеспечении: пользователи, группы, роли и разрешения. Он также позволяет вам сканировать внутренние цели (в вашей частной сети), установив предоставленный агент.
Добавление цели
Добавить цель легко. После того, как вы вошли в свою учетную запись, вам нужно перейти на страницу «Цели» и нажать «Добавить». Затем вы указываете имя, URL-адрес и один или несколько тегов, т.е. Тестирование, производство, разработка и т. д. — к новой цели. Чтобы разрешить Probeli сканировать эту цель как автономный API без поддерживаемого веб-приложения, вы должны выбрать соответствующий параметр, чтобы идентифицировать ее как цель API.
Если ваша цель недоступна в Интернете и вы установили агент Probeli в своей частной сети, вы можете выбрать, какой агент использовать при добавлении цели.
После добавления цели вам необходимо подтвердить ее право собственности, потому что Probeli требуется доказательство того, что у вас есть необходимые привилегии для запуска сканирования на ней. Существует два альтернативных метода проверки цели: загрузка файла с предоставленным содержимым в корень цели или добавление записи TXT в вашу запись DNS с именем домена и определенным содержимым записи. Как только цель будет подтверждена, вы готовы сканировать ее, просто нажав кнопку «Сканировать».
Вы можете проверить ход и статус сканирования, перейдя на вкладку «Сканирование» на панели инструментов Probeli. Эта страница покажет вам, когда началось сканирование и что было найдено на данный момент. Выводы раскрашены по серьезности, поэтому вы можете сразу увидеть, есть ли критические проблемы, которые необходимо решить немедленно.
Если на вашем веб-сайте есть страница входа в систему, и вы хотите, чтобы Probeli сканировал ее, вы должны предоставить учетные данные, которые позволят ему перечислить веб-сайт в качестве аутентифицированного пользователя. Probeli поддерживает большинство методов аутентификации для страниц входа.
API-сканирование
Чтобы сканировать цель API, Probeli необходимо указать ее схему. Вы делаете это, когда добавляете цель API, либо предоставляя URL-адрес схемы OpenAPI, либо загружая схему, если вы ранее сохранили ее как локальный файл. Параметр URL позволяет Probeli загружать схему перед каждым сканированием, гарантируя, что он всегда работает с последней версией вашей схемы.
Существуют также различные варианты методов аутентификации для доступа к API. Probeli поддерживает не только статические токены, но и позволяет динамически настраивать аутентификацию при сканировании API. Вы можете настроить конечную точку входа, где Probeli может получить токен аутентификации, или вы можете установить собственный заголовок с фиксированным ключом API. Вы также можете указать значения пользовательских параметров, которые Probeli будет использовать для найденных в схеме.
После того, как вы закончите настройку аутентификации и параметров API, вы можете начать сканирование, нажав кнопку «Сканировать сейчас». Через несколько секунд вы сможете отслеживать ход сканирования на той же странице сканирования. После завершения сканирования вы можете загрузить отчет о покрытии, в котором показаны все найденные конечные точки и каждый код ответа. В этом отчете также будет указано, были ли какие-либо сбойные конечные точки.
Я проверяю свои выводы
На странице результатов отображаются результаты сканирования, как только они будут найдены, даже если сканирование уже выполняется. Каждая находка показывает серьезность (высокая, средняя или низкая), соответствующую цель и URL-адрес, описание находки, время и дату ее обнаружения, ее состояние (фиксированное или нефиксированное) и носитель, а также влияет ли она на Соответствие PCI-DSS или OVASP.
Помимо уведомления об обнаруженных уязвимостях, страница результатов также полезна для назначения уязвимостей вашей команде для устранения. Для этого установите флажок слева и выберите получателя из выпадающего меню.
Probeli также предоставляет информацию о том, как исправить найденные уязвимости. С помощью этих инструкций вы можете увидеть полный запрос и ответ, а также доказательства.
На странице Dashboard вы можете увидеть различные графики, обобщающие риски безопасности отсканированных целей. Диаграммы показывают тенденции в различных интересных показателях, таких как оценка риска, среднее время решения проблем и уровни серьезности. Вы также можете просмотреть сайты, требующие наибольшего внимания, и топ-5 рейтинга уязвимостей с наибольшей частотой.
Наконец, на странице «Интеграция» вы можете настроить Probeli для интеграции с множеством различных инструментов для управления проектами, общения в команде, отслеживания проблем и многого другого. Доступные интеграции включают Azure Boards, DefectDojo, Slack, Jira, Jenkins и CircleCI.
Инструмент для разработчиков и специалистов по безопасности
Для agile-команд разработчиков время выхода на рынок является главным приоритетом. Все, что вы можете сделать, чтобы сократить время, необходимое для запуска вашего программного обеспечения в производство, без ущерба для качества, будет высоко оценено. Probeli предлагает именно это — экономичный способ повысить безопасность ваших веб-сайтов и API, помогая вам выполнять обещания по графику и предоставлять высококачественные программные продукты.
Для групп безопасности Probeli предоставляет платформу для защиты ваших веб-приложений и управления уязвимостями, требующими устранения. Это также позволяет вам переложить часть тестирования безопасности непосредственно на команды разработчиков, выполняя роль контролера.
Probeli предлагает бесплатные пробные версии, корпоративные оценочные лицензии и демонстрационные версии продуктов. Контакты Попробуйте начать.
