Враховуючи, що приблизно одна третина всіх відомих порушень є прямим результатом успішної атаки на веб-програму, надзвичайно важливо перевірити безпеку своїх веб-програм і API.
Вам потрібно не тільки переконатися, що ваші веб-програми безпечні з нормативних причин, але ви (повинні) також дбати про дані вашого клієнта та ризики для вашої компанії.
Безсумнівно, у вас є багато варіантів захисту ваших веб-додатків, усі вони мають свої переваги та недоліки. Деякі рішення покладаються на визначення проблем безпеки у вихідному коді ваших програм. Інші захищають ваші програми від атак. А інші покладаються на динамічне тестування безпеки ваших веб-додатків під час виконання, як це зробив би хакер.
Основна увага цієї статті зосереджена на цьому останньому випадку, а саме на Мабуть. Що робить Probely цікавим порівняно з іншими, так це те, що він вирішує дві основні проблеми сканерів веб-вразливостей: охоплення скануванням сучасних веб-додатків і якість результатів.
Probely має дві різні версії: одну для самообслуговування, націлену на малий і середній бізнес, і іншу, націлену на підприємства чи компанії з багатьма веб-додатками та API.
Probely зосереджується на забезпеченні виняткового охоплення в сучасних середовищах розробки та усуненні помилкових спрацьовувань за допомогою результатів сканування на основі доказів, одночасно дозволяючи інтегрувати сканування DAST у ваш життєвий цикл розробки.
Занадто добре, щоб бути правдою?
Читайте далі, щоб дізнатися про мій аналіз Probely.
Що саме робить Probely?
Пам’ятаючи про розробників і бізнес будь-якого розміру, Probely тестує ваші програми та API, скануючи їх, щоб знайти проблеми з безпекою та вразливості. Коли тестування завершено, воно надає вказівки щодо вирішення виявлених проблем.
Ваші розробники та інженери з безпеки можуть працювати з Probely через його інтуїтивно зрозумілий інтерфейс користувача. Але якщо вам потрібна потужність і гнучкість, ви можете покластися на їхній повнофункціональний API, оскільки вони дотримуються підходу розробки на основі API. Їхній API надає всі функції, які ви бачите в інтерфейсі користувача, дозволяючи вам інтегрувати Probely у конвеєр CI/CD, інструмент керування вразливістю, оркестратор або засіб відстеження проблем. Якщо ви користуєтеся популярними, у вас може бути готова інтеграція. Це стосується таких інструментів, як JIRA, Jenkins, Azure DevOps, DefectDojo, CircleCI та Slack. Але якщо ви розробили власний засіб відстеження проблем або оркестратор, тоді вам підійде API.
Покриття, сканування та точність
Probely використовує програму-павук наступного покоління для навігації з багатими програмами Javascript так само, як і звичайний браузер, що забезпечує чудове покриття сайту, що є проблемою для багатьох інших інструментів DAST. Цей павук ідеально підходить для односторінкових програм, таких як ті, що базуються на React або Angular JS.
Майте на увазі, що сканер може виявити вразливі місця лише на знайдених сторінках. Тому хороший павук має величезне значення.
Probely також пропонує різні профілі сканування залежно від середовища, яке ви хочете перевірити. Ви можете встановити менш настирливий профіль сканування, якщо бажаєте сканувати виробниче середовище. Якщо ви тестуєте своє середовище контролю якості, ви можете встановити більш ретельний профіль для більш повного сканування. Тестуючи передвиробниче середовище, ви можете виявити й усунути вразливості перед розгортанням програми у виробництві.
Звітність
Незважаючи на те, що Probely виявляє великий список вразливостей, він зосереджується на повідомленні про те, що є релевантним, і без помилкових спрацьовувань. Для певних класів уразливостей він надає докази реальності вразливості, заощаджуючи час вашої команди на перевірку того, чи вразливості реальні та доречні.
Probely надає розширені звіти з інтерфейсу, але також може синхронізувати інформацію про вразливості з системою відстеження проблем або інструментом керування вразливістю, дозволяючи вам вписати Probely у ваші існуючі робочі процеси безпеки та розробки.
Probely може перевірити ваше програмне забезпечення на вразливості, такі як ті, що перераховані в OWASP TOP 10, і багато іншого. Це також може допомогти вам досягти відповідності, перевіривши конкретні вимоги PCI-DSS, GDPR, HIPAA та ISO270-01.
Взято зі звіту OWASP TOP 10, ви відразу побачите, що не так із цією відповідністю.
Інтерфейс
Інтерфейс простий і легкий для навігації, що дозволяє швидко почати роботу. Версія Enterprise дозволяє керувати користувачами, ролями та встановлювати власні ролі. Ви також можете використовувати мітки для організації користувачів, активів і вразливостей, щоб краще керувати безпекою веб-додатків. Оскільки всі функції доступні через API, ви можете легко інтегрувати Probely в інші корпоративні програми та процеси безпеки.
Якщо ви використовуєте Jira або Azure Boards, ви можете налаштувати Probely на автоматичне надсилання всіх уразливостей до вашого засобу відстеження проблем. Коли розробник вирішить і закриє проблему на системі відстеження проблем, він автоматично запустить повторний тест на Probely, який перевірить, чи правильно усунуто вразливість. Якщо ні, проблема знову відкривається на системі відстеження проблем. Це дозволяє вашій команді розробників обробляти звіт про вразливість, як і будь-яку іншу помилку, безпосередньо в системі відстеження проблем, навіть не використовуючи інтерфейс Probely. приємно, га? 🙂
Початок роботи 🚀
Для тестування я використовував версію Enterprise від Probely.
Вони також пропонують стандартну версію та різні плани на вибір, у тому числі безкоштовний. У безкоштовному плані сканування перевіряє лише три класи вразливостей: прапорці файлів cookie, заголовки безпеки та проблеми SSL/TLS. План Pro пропонує більшість функцій і орієнтований на SMB та організації, які мають п’ять або менше цілей для сканування.
Версія Enterprise зосереджена на організаціях, які мають велику кількість цілей, і включає додаткові функції, такі як ті, які є звичайними для корпоративного програмного забезпечення: користувачів, груп, ролей і дозволів. Це також дозволяє сканувати внутрішні цілі (у вашій приватній мережі), встановивши наданий агент.
Додавання цілі
Додати ціль легко. Увійшовши у свій обліковий запис, потрібно перейти на сторінку «Цілі» та натиснути «Додати». Потім ви вказуєте ім’я, URL-адресу та одну або кілька міток — наприклад, тестування, виробництво, розробка тощо — для нової цілі. Щоб дозволити Probely сканувати цю ціль як окремий API без підтримуючої веб-програми, вам слід позначити відповідну опцію, щоб визначити її як ціль API.
Якщо ваша ціль не доступна в Інтернеті, і ви встановили агент Probely у своїй приватній мережі, ви можете вибрати, який агент використовувати під час додавання цілі.
Після додавання цілі вам потрібно підтвердити її право власності, оскільки Probely потребує підтвердження того, що ви маєте необхідні права для її сканування. Є два альтернативних способи перевірити ціль: завантаження файлу з наданим вмістом у кореневій папці цільового комп’ютера або додавання запису TXT до запису DNS із назвою домену та певним вмістом запису. Після перевірки цілі ви можете сканувати її, просто натиснувши кнопку Сканувати.
Ви можете перевірити хід і статус сканування, перейшовши на вкладку «Сканування» на інформаційній панелі Probely. На цій сторінці буде показано, коли почалося сканування та що було знайдено на цей момент. Результати розрізняються за ступенем серйозності, тож ви можете одразу побачити, чи є критичні проблеми, які потрібно негайно вирішити.
Якщо на вашому веб-сайті є сторінка входу, і ви хочете, щоб Probely виконував сканування за нею, ви повинні надати облікові дані, які дозволять йому сканувати сайт як автентифікований користувач. Probely підтримує більшість методів автентифікації для сторінок входу.
Сканування API
Щоб сканувати ціль API, Probely потребує, щоб ви надали її схему. Ви робите це, коли додаєте ціль API, надаючи URL-адресу схеми OpenAPI або завантажуючи схему, якщо ви попередньо зберегли її як локальний файл. Опція URL-адреси дозволяє Probely отримувати схему перед кожним скануванням, гарантуючи, що вона завжди працює з останньою версією вашої схеми.
Існують також різні варіанти щодо методів автентифікації для доступу до API. Probely підтримує не тільки статичні токени, але й дозволяє конфігурувати динамічну автентифікацію під час сканування API. Ви можете налаштувати кінцеву точку входу, де Probely може отримати маркер автентифікації, або ви можете встановити спеціальний заголовок із фіксованим ключем API у ньому. Ви також можете надати значення користувальницьких параметрів, які Probely використовуватиме для знайдених у схемі.
Після завершення налаштування автентифікації API та параметрів ви можете розпочати сканування, натиснувши кнопку «Сканувати зараз». Через кілька секунд ви зможете стежити за ходом сканування на тій самій сторінці сканування. Після завершення сканування ви можете завантажити звіт про покриття, у якому відображено всі знайдені кінцеві точки та кожен код відповіді. Цей звіт також покаже, чи були кінцеві точки з помилками.
Перевірка ваших висновків
На сторінці результатів пошуку відображаються результати сканування, щойно вони знайдені, навіть коли сканування триває. Кожен результат показує серйозність (високий, середній або низький), відповідну ціль і URL-адресу, опис результату, час і дату, коли він був знайдений, його стан (фіксований чи нефіксований) і правонаступника, а також те, чи впливає він на PCI- Відповідність DSS або OWASP.
Окрім інформування про виявлені вразливості, сторінка результатів також корисна для призначення вразливостей вашій команді для усунення. Для цього клацніть прапорець ліворуч і виберіть правонаступника зі спадного меню.
Probely також надає інформацію про те, як виправити виявлені вразливості. Разом із цими інструкціями ви можете переглянути повний запит і відповідь, а також докази.
На сторінці «Інформаційна панель» ви можете побачити різні діаграми, які підсумовують ризик безпеки сканованих цілей. Графіки показують тенденції різних цікавих показників, таких як показники ризику, середній час для вирішення проблем і рівні серйозності. Ви також можете поглянути на сайти, які потребують найбільшої уваги, і топ-5 рейтингу вразливостей із найвищою частотою.
Нарешті, на сторінці «Інтеграції» ви можете налаштувати Probely для інтеграції з багатьма різними інструментами для керування проектами, командного спілкування, відстеження проблем тощо. Доступні інтеграції включають Azure Boards, DefectDojo, Slack, Jira, Jenkins і CircleCI.
Інструмент для розробників і команд безпеки
Для гнучких команд розробників час виходу на ринок є головним пріоритетом. Все, що ви можете зробити, щоб мінімізувати час, необхідний для запуску вашого програмного забезпечення без шкоди для якості, дуже вітається. Probely пропонує саме це – економічно ефективний спосіб покращити безпеку ваших веб-сайтів і API, допомагаючи вам виконувати обіцянки, пов’язані з розкладом, і надавати високоякісні програмні продукти.
Для команд безпеки Probely надає платформу для захисту ваших веб-додатків і керування вразливими місцями, які потребують усунення. Це також дозволяє вам перекласти деякі тестування безпеки безпосередньо на команди розробників, маючи роль нагляду.
Probely пропонує безкоштовні пробні версії, корпоративні ліцензії на оцінку та демонстраційні версії продуктів. контакт Мабуть щоб почати.