Более трети современных приложений содержат опасные уязвимости. Для анализа их защищённости сегодня не обойтись без динамического сканера (Dynamic Application Security Testing, DAST), функциональность которого позволяет оперативно обнаружить и оценить проблемы в области безопасности. Рассказываем, на что обратить внимание при выборе такого инструмента.
- Введение
- Что такое DAST и как работает инструмент?
- На что обращать внимание при выборе инструмента DAST?
- Какой инструмент выбрать?
4.1. BurpSuite Enterprise
4.2. OWASP ZAP (Zed Attack Proxy)
4.3. PT BlackBox
5. Выводы
Введение
По данным исследования Positive Technologies, в 2020-2021 годах злоумышленники имели возможность совершить атаку на 98 % веб-приложений. Потенциально они могут распространять вредоносные программы, перенаправлять пользователей на поддельные сайты или красть их персональные данные при помощи методов социальной инженерии. В 2020 году 66 % веб-приложений имели уязвимости высокой степени риска, в 2021 году этот показатель немного снизился и составил 62 %. При этом 72 % от общего числа всех найденных уязвимостей связаны с ошибками в коде.
Таким образом, большинство продуктов, выпускаемых на рынок, достаточно уязвимы, чтобы стать лёгкой добычей для хакеров. Конечно, создать идеально защищённое ПО невозможно, но сократить количество уязвимостей и повысить уровень безопасности продукта вполне реально. Для этого можно внедрить DevSecOps; процесс позволит связать разработку и безопасность, и в результате программное обеспечение будет проверяться и тестироваться на наличие уязвимостей на каждом этапе его создания.
Процесс DevSecOps весьма объёмен, он включает в себя различные инструменты ИБ. В этой статье Юрий Шабалин, ведущий архитектор Swordfish Security, поговорит о практике DAST, а именно — о том, как выбрать подходящий сканер для динамического анализа приложений. Вместе разберёмся, на какие параметры инструмента нужно обращать внимание и какие продукты сейчас доступны на рынке.
Полная версия
#кибербезопасность
#информационнаябезопасность
#cybersecurity
