Δεδομένου ότι περίπου το ένα τρίτο όλων των γνωστών παραβιάσεων είναι άμεσο αποτέλεσμα μιας επιτυχημένης επίθεσης διαδικτυακής εφαρμογής, είναι υψίστης σημασίας να ελέγξετε τις εφαρμογές Ιστού και την ασφάλεια των API.
Όχι μόνο πρέπει να βεβαιωθείτε ότι οι εφαρμογές Ιστού σας είναι ασφαλείς για ρυθμιστικούς λόγους, αλλά (θα πρέπει) επίσης να νοιάζεστε για τα δεδομένα του πελάτη σας και την έκθεση στον κίνδυνο της εταιρείας σας.
Σίγουρα έχετε πολλές επιλογές όσον αφορά την ασφάλεια των διαδικτυακών εφαρμογών σας, όλες με τα πλεονεκτήματα και τα μειονεκτήματά τους. Ορισμένες λύσεις βασίζονται στον εντοπισμό ζητημάτων ασφαλείας στον πηγαίο κώδικα των εφαρμογών σας. Άλλοι προστατεύουν τις εφαρμογές σας από επιθέσεις. Και άλλοι βασίζονται στη δυναμική δοκιμή της ασφάλειας των εφαρμογών Ιστού σας κατά το χρόνο εκτέλεσης, όπως θα έκανε ένας χάκερ.
Το επίκεντρο αυτού του άρθρου είναι σε αυτήν την τελευταία περίπτωση, δηλαδή σε Μάλλον. Αυτό που κάνει το Probely ενδιαφέρον σε σύγκριση με άλλα είναι ότι αντιμετωπίζει δύο από τα κύρια ζητήματα των σαρωτών ευπάθειας ιστού: την κάλυψη σάρωσης των σύγχρονων εφαρμογών Ιστού και την ποιότητα των αποτελεσμάτων.
Η Probely έχει δύο διαφορετικές εκδόσεις: μια αυτοεξυπηρετούμενη που απευθύνεται σε μικρομεσαίες επιχειρήσεις και μια άλλη που απευθύνεται σε επιχειρήσεις ή εταιρείες με πολλές εφαρμογές ιστού και API.
Η Probely εστιάζει στην παροχή εξαιρετικής κάλυψης σε σύγχρονα περιβάλλοντα ανάπτυξης και στην εξάλειψη των ψευδών θετικών αποτελεσμάτων σάρωσης βάσει τεκμηρίων, ενώ σας επιτρέπει να ενσωματώσετε τη σάρωση DAST στον κύκλο ζωής της ανάπτυξής σας.
Πάρα πολύ καλό για να είναι αληθινό?
Διαβάστε παρακάτω για να μάθετε για την ανάλυσή μου για το Probely.
Πίνακας περιεχομένων
Τι ακριβώς κάνει το Probely;
Έχοντας υπόψη τους προγραμματιστές και κάθε μέγεθος επιχείρησης, το Probely δοκιμάζει τις εφαρμογές και τα API σας, σαρώνοντάς τα για να εντοπίσει ζητήματα ασφάλειας και ευπάθειες. Όταν ολοκληρωθεί η δοκιμή, παρέχει καθοδήγηση σχετικά με τον τρόπο επίλυσης των προβλημάτων που εντοπίστηκαν.
Οι προγραμματιστές και οι μηχανικοί ασφαλείας σας μπορούν να συνεργαστούν με το Probely μέσω της διαισθητικής διεπαφής χρήστη του. Ωστόσο, εάν χρειάζεστε ισχύ και ευελιξία, μπορείτε να βασιστείτε στο API με τις πλήρεις δυνατότητες, καθώς ακολουθούν μια προσέγγιση ανάπτυξης πρώτου API. Το API τους παρέχει όλες τις δυνατότητες που βλέπετε στη διεπαφή χρήστη, επιτρέποντάς σας να ενσωματώσετε το Probely σε μια διοχέτευση CI/CD, εργαλείο διαχείρισης ευπάθειας, ενορχηστρωτή ή παρακολούθηση προβλημάτων. Εάν χρησιμοποιείτε τις δημοφιλείς, μπορεί να έχετε μια ενσωμάτωση εκτός συσκευασίας. Αυτό ισχύει για εργαλεία όπως τα JIRA, Jenkins, Azure DevOps, DefectDojo, CircleCI και Slack. Αλλά αν αναπτύξατε το δικό σας πρόγραμμα παρακολούθησης προβλημάτων ή ενορχηστρωτή, τότε το API είναι ο καλύτερος τρόπος.
Κάλυψη, ανίχνευση και ακρίβεια
Η Probely χρησιμοποιεί μια αράχνη επόμενης γενιάς για να πλοηγηθεί σε πλούσιες εφαρμογές Javascripts με τον ίδιο τρόπο που θα έκανε ένα κανονικό πρόγραμμα περιήγησης, με αποτέλεσμα την εξαιρετική κάλυψη του ιστότοπου, κάτι που αποτελεί πρόβλημα για πολλά άλλα εργαλεία DAST. Αυτή η αράχνη είναι ιδανική για εφαρμογές μιας σελίδας, όπως αυτές που βασίζονται σε React ή Angular JS.
Λάβετε υπόψη ότι ένας σαρωτής μπορεί να εντοπίσει μόνο τρωτά σημεία σε σελίδες που βρέθηκαν. Επομένως, μια καλή αράχνη είναι υψίστης σημασίας.
Το Probely προσφέρει επίσης διαφορετικά προφίλ σάρωσης, ανάλογα με το περιβάλλον που θέλετε να δοκιμάσετε. Μπορείτε να ορίσετε ένα λιγότερο παρεμβατικό προφίλ σάρωσης εάν θέλετε να σαρώσετε το περιβάλλον παραγωγής σας. Εάν δοκιμάζετε το περιβάλλον QA σας, μπορείτε να ορίσετε ένα πιο εμπεριστατωμένο προφίλ για πιο ολοκληρωμένες σαρώσεις. Με τη δοκιμή ενός περιβάλλοντος προπαραγωγής, μπορείτε να εντοπίσετε και να διορθώσετε ευπάθειες πριν από την ανάπτυξη της εφαρμογής στην παραγωγή.
Αναφορά
Αν και το Probely εντοπίζει μια εκτενή λίστα τρωτών σημείων, εστιάζει στην αναφορά όσων είναι σχετικά και χωρίς ψευδώς θετικά στοιχεία. Για ορισμένες κατηγορίες τρωτών σημείων, παρέχει στοιχεία που αποδεικνύουν ότι η ευπάθεια είναι πραγματική, εξοικονομώντας χρόνο για την επικύρωση της ομάδας σας εάν οι ευπάθειες είναι πραγματικές και σχετικές.
Το Probely παρέχει εκτενείς αναφορές από τη διεπαφή, αλλά μπορεί επίσης να συγχρονίσει πληροφορίες ευπάθειας με ένα εργαλείο παρακολούθησης προβλημάτων ή διαχείρισης ευπάθειας, επιτρέποντάς σας να εντάξετε το Probely στις υπάρχουσες ροές εργασιών ασφάλειας και ανάπτυξης.
Η Probely μπορεί να δοκιμάσει το λογισμικό σας έναντι ευπαθειών όπως αυτές που αναφέρονται στο OWASP TOP 10 και πολλά άλλα. Μπορεί επίσης να σας βοηθήσει να επιτύχετε συμμόρφωση ελέγχοντας συγκεκριμένες απαιτήσεις των PCI-DSS, GDPR, HIPAA και ISO270-01.
Από την αναφορά OWASP TOP 10, θα δείτε με μια ματιά τι φταίει σχετικά με αυτήν τη συμμόρφωση.
Διεπαφή
Η διεπαφή είναι απλή και εύκολη στην πλοήγηση, επιτρέποντάς σας να ξεκινήσετε και να λειτουργήσετε γρήγορα. Η έκδοση Enterprise σάς επιτρέπει να ελέγχετε χρήστες, ρόλους και να ορίζετε προσαρμοσμένους ρόλους. Μπορείτε επίσης να χρησιμοποιήσετε ετικέτες για να οργανώσετε τους χρήστες, τα στοιχεία και τα τρωτά σημεία για να διαχειριστείτε καλύτερα την ασφάλεια της εφαρμογής Ιστού σας. Δεδομένου ότι όλες οι λειτουργίες είναι διαθέσιμες μέσω του API, μπορείτε εύκολα να ενσωματώσετε το Probely σε άλλες εφαρμογές και διαδικασίες ασφάλειας της επιχείρησης.
Εάν χρησιμοποιείτε πίνακες Jira ή Azure, μπορείτε να ρυθμίσετε το Probely ώστε να στέλνει αυτόματα όλα τα τρωτά σημεία στην εφαρμογή παρακολούθησης προβλημάτων. Όταν ο προγραμματιστής διορθώσει και κλείσει το πρόβλημα στην παρακολούθηση προβλημάτων, θα ενεργοποιήσει αυτόματα μια επανάληψη δοκιμής στο Probely, η οποία θα ελέγξει εάν η ευπάθεια έχει διορθωθεί σωστά. Εάν δεν είναι, το ζήτημα ανοίγει ξανά στο πρόγραμμα παρακολούθησης ζητημάτων. Αυτό επιτρέπει στην ομάδα ανάπτυξής σας να χειρίζεται μια αναφορά ευπάθειας όπως κάθε άλλο σφάλμα, απευθείας στην εφαρμογή παρακολούθησης προβλημάτων, χωρίς καν να χρησιμοποιεί τη διεπαφή του Probely. Ωραίο, ε; 🙂
Ξεκινώντας 🚀
Για τους σκοπούς της δοκιμής μου, χρησιμοποιούσα την έκδοση Probely’s Enterprise.
Προσφέρουν επίσης μια τυπική έκδοση και διαφορετικά σχέδια για να διαλέξετε, συμπεριλαμβανομένου ενός δωρεάν προγράμματος. Στο δωρεάν πρόγραμμα, η σάρωση ελέγχει μόνο τρεις κατηγορίες τρωτών σημείων: σημαίες cookie, κεφαλίδες ασφαλείας και ζητήματα SSL/TLS. Το σχέδιο Pro προσφέρει τις περισσότερες από τις δυνατότητες και εστιάζει σε μικρομεσαίες επιχειρήσεις και οργανισμούς που έχουν πέντε ή λιγότερους στόχους για σάρωση.
Η έκδοση Enterprise εστιάζει σε οργανισμούς που έχουν μεγάλο αριθμό στόχων και περιλαμβάνει πρόσθετες δυνατότητες, όπως αυτές που είναι κοινές στο εταιρικό λογισμικό: χρήστες, ομάδες, ρόλους και δικαιώματα. Σας επιτρέπει επίσης να σαρώνετε εσωτερικούς στόχους (στο ιδιωτικό σας δίκτυο) εγκαθιστώντας έναν παράγοντα που παρέχεται.
Προσθήκη στόχου
Η προσθήκη ενός στόχου είναι εύκολη. Αφού συνδεθείτε με τον λογαριασμό σας, θα πρέπει να μεταβείτε στη σελίδα Στόχοι και να κάνετε κλικ στο Προσθήκη. Στη συνέχεια, παρέχετε ένα όνομα, μια διεύθυνση URL και μία ή περισσότερες ετικέτες — π.χ. Δοκιμές, Παραγωγή, Ανάπτυξη κ.λπ. — για τον νέο στόχο. Για να επιτρέψετε στο Probely να σαρώσει αυτόν τον στόχο ως αυτόνομο API χωρίς υποστηριζόμενη εφαρμογή ιστού, θα πρέπει να ελέγξετε την αντίστοιχη επιλογή για να τον προσδιορίσετε ως στόχο API.
Εάν ο στόχος σας δεν είναι εκτεθειμένος στο Διαδίκτυο και έχετε εγκαταστήσει έναν πράκτορα Probely στο ιδιωτικό σας δίκτυο, μπορείτε να επιλέξετε ποιον παράγοντα θα χρησιμοποιήσετε κατά την προσθήκη ενός στόχου.
Αφού προσθέσετε έναν στόχο, πρέπει να επικυρώσετε την ιδιοκτησία του, επειδή το Probely χρειάζεται στοιχεία που να αποδεικνύουν ότι έχετε τα απαραίτητα δικαιώματα για να εκτελέσετε μια σάρωση σε αυτόν. Υπάρχουν δύο εναλλακτικές μέθοδοι επικύρωσης του στόχου: η φόρτωση ενός αρχείου με παρεχόμενο περιεχόμενο στη ρίζα του στόχου ή η προσθήκη μιας καταχώρησης TXT στην εγγραφή DNS σας, με το όνομα του τομέα και κάποιο συγκεκριμένο περιεχόμενο εγγραφής. Μόλις επικυρωθεί ο στόχος, είστε έτοιμοι να τον σαρώσετε πατώντας απλώς το κουμπί Σάρωση.
Μπορείτε να ελέγξετε την πρόοδο και την κατάσταση μιας σάρωσης μεταβαίνοντας στην καρτέλα Σαρώσεις στον πίνακα ελέγχου του Probely. Αυτή η σελίδα θα σας δείξει πότε ξεκίνησε η σάρωση και τι βρήκε μέχρι στιγμής. Τα ευρήματα είναι χρωματισμένα ανάλογα με τη σοβαρότητα, επομένως μπορείτε να δείτε με μια ματιά εάν υπάρχουν κρίσιμα ζητήματα που πρέπει να αντιμετωπιστούν αμέσως.
Εάν ο ιστότοπός σας διαθέτει σελίδα σύνδεσης και θέλετε το Probely να πραγματοποιήσει σάρωση πίσω από αυτήν, πρέπει να παράσχετε διαπιστευτήρια που του επιτρέπουν να ανιχνεύει τον ιστότοπο ως πιστοποιημένος χρήστης. Το Probely υποστηρίζει τις περισσότερες μεθόδους ελέγχου ταυτότητας για σελίδες σύνδεσης.
Σάρωση ενός API
Για να σαρώσει έναν στόχο API, το Probely χρειάζεται να παρέχετε το σχήμα του. Αυτό το κάνετε όταν προσθέτετε έναν στόχο API, είτε παρέχοντας τη διεύθυνση URL σχήματος OpenAPI είτε μεταφορτώνοντας το σχήμα, εάν το είχατε αποθηκεύσει προηγουμένως ως τοπικό αρχείο. Η επιλογή URL επιτρέπει στο Probely να ανακτήσει το σχήμα πριν από κάθε σάρωση, διασφαλίζοντας ότι λειτουργεί πάντα με την πιο πρόσφατη έκδοση του σχήματός σας.
Υπάρχουν επίσης διαφορετικές επιλογές όσον αφορά τις μεθόδους ελέγχου ταυτότητας για πρόσβαση στο API. Το Probely υποστηρίζει όχι μόνο στατικά διακριτικά, αλλά επιτρέπει επίσης τη διαμόρφωση δυναμικού ελέγχου ταυτότητας κατά τη σάρωση API. Μπορείτε να διαμορφώσετε ένα τελικό σημείο σύνδεσης όπου το Probely μπορεί να λάβει ένα διακριτικό ελέγχου ταυτότητας ή μπορείτε να ορίσετε μια προσαρμοσμένη κεφαλίδα με ένα σταθερό κλειδί API σε αυτό. Μπορείτε επίσης να παρέχετε προσαρμοσμένες τιμές παραμέτρων που θα χρησιμοποιήσει το Probely για αυτές που βρίσκονται στο σχήμα.
Μόλις ολοκληρώσετε τη διαμόρφωση του ελέγχου ταυτότητας API και των παραμέτρων, μπορείτε να ξεκινήσετε τη σάρωση πατώντας το κουμπί Σάρωση τώρα. Μετά από λίγα δευτερόλεπτα, θα μπορείτε να παρακολουθείτε την πρόοδο της σάρωσης στην ίδια σελίδα Σάρωση. Όταν τελειώσει η σάρωση, μπορείτε να κάνετε λήψη μιας αναφοράς κάλυψης που εμφανίζει όλα τα τελικά σημεία που βρέθηκαν και κάθε κωδικό απόκρισης. Αυτή η αναφορά θα δείξει επίσης εάν υπήρχαν αποτυχημένα τελικά σημεία.
Έλεγχος των ευρημάτων σας
Η σελίδα ευρημάτων εμφανίζει τα αποτελέσματα σάρωσης μόλις βρεθούν, ακόμα και όταν οι σαρώσεις βρίσκονται σε εξέλιξη. Κάθε εύρημα δείχνει μια σοβαρότητα (υψηλή, μεσαία ή χαμηλή), τον αντίστοιχο στόχο και τη διεύθυνση URL, την περιγραφή του ευρήματος, την ώρα και την ημερομηνία κατά την οποία βρέθηκε, την κατάστασή του (διορθώθηκε ή όχι) και τον δικαιούχο και αν επηρεάζει την PCI- Συμμόρφωση DSS ή OWASP.
Εκτός από το να σας κρατά ενήμερους για τις ευπάθειες που εντοπίστηκαν, η σελίδα ευρημάτων είναι επίσης χρήσιμη για να εκχωρήσετε ευπάθειες στην ομάδα σας για επιδιόρθωση. Για να το κάνετε αυτό, κάνετε κλικ στο πλαίσιο ελέγχου στα αριστερά και επιλέξτε τον εκδοχέα από ένα αναπτυσσόμενο μενού.
Το Probely παρέχει επίσης πληροφορίες σχετικά με τον τρόπο επιδιόρθωσης των ευπαθειών που έχουν εντοπιστεί. Μαζί με αυτές τις οδηγίες, μπορείτε να δείτε το πλήρες αίτημα και την απάντηση, καθώς και τα αποδεικτικά στοιχεία.
Στη σελίδα Πίνακας ελέγχου, μπορείτε να δείτε διάφορα γραφήματα που συνοψίζουν τον κίνδυνο ασφαλείας των σαρωμένων στόχων. Τα γραφήματα δείχνουν τάσεις σε διαφορετικές ενδιαφέρουσες μετρήσεις, όπως οι βαθμολογίες κινδύνου, ο μέσος χρόνος για την επίλυση προβλημάτων και τα επίπεδα σοβαρότητας. Μπορείτε επίσης να ρίξετε μια ματιά στους ιστότοπους που απαιτούν τη μεγαλύτερη προσοχή και μια κορυφαία 5 κατάταξη τρωτών σημείων με την υψηλότερη συχνότητα εμφάνισης.
Τέλος, στη σελίδα Ενσωματώσεις, μπορείτε να διαμορφώσετε το Probely ώστε να ενσωματώνεται με πολλά διαφορετικά εργαλεία για τη διαχείριση έργων, την επικοινωνία της ομάδας, την παρακολούθηση προβλημάτων και πολλά άλλα. Οι διαθέσιμες ενσωματώσεις περιλαμβάνουν τα Azure Boards, DefectDojo, Slack, Jira, Jenkins και CircleCI.
Ένα εργαλείο για προγραμματιστές και ομάδες ασφαλείας
Για τις ευέλικτες ομάδες ανάπτυξης, ο χρόνος για την αγορά είναι κορυφαία προτεραιότητα. Οτιδήποτε μπορείτε να κάνετε για να ελαχιστοποιήσετε τον χρόνο που χρειάζεται για να ξεκινήσει η παραγωγή του λογισμικού σας χωρίς συμβιβασμούς στην ποιότητα είναι ευπρόσδεκτο. Η Probely προσφέρει ακριβώς αυτό – έναν οικονομικά αποδοτικό τρόπο για να βελτιώσετε την ασφάλεια των ιστοτόπων και των API σας, βοηθώντας σας να τηρήσετε τις υποσχέσεις σας που σχετίζονται με το χρονοδιάγραμμα και να παρέχετε προϊόντα λογισμικού υψηλής ποιότητας.
Για τις ομάδες ασφαλείας, η Probely σάς παρέχει μια πλατφόρμα για την προστασία των εφαρμογών ιστού σας και τη διαχείριση των τρωτών σημείων που απαιτούν αποκατάσταση. Σας επιτρέπει επίσης να εκφορτώνετε ορισμένες από τις δοκιμές ασφαλείας απευθείας σε ομάδες ανάπτυξης ενώ έχετε έναν ρόλο εποπτείας.
Η Probely προσφέρει δωρεάν δοκιμές, άδειες αξιολόγησης επιχειρήσεων και επιδείξεις προϊόντων. Επικοινωνία Μάλλον για να ξεκινήσετε.