Під час використання сканерів вебвразливостей іноді трапляється так, що програма повідомляє про існування вразливості або помилки якої не існує.
Фахівці з безпеки та розробки зобов’язані перевірити кожен «сигнал тривоги», тому в разі знаходження хибнопозитивного результату команда буде вимушена витрачати свій дорогоцінний час, щоб спростувати наявність недоліків в системі безпеки.
Помилкові спрацювання сканерів вебвразливостей призводять до значних втрат щороку, тому дуже важливо використовувати ті інструменти та методології веббезпеки, які дозволяють звести їх до мінімуму.
IAST – що це?
IAST (Interactive Application Security Testing) – метод або інструмент «gray-box» тестування що взаємодіє з вебінтерфейсом програмного забезпечення та дозволяє спостерігати за виконанням запитів зсередини.
Методологія IAST призначена для тестування фреймворків вебдодатків. Вона аналізує код що виконується і дозволяє в рази збільшити точність результатів сканування та зменшити кількість хибних спрацювань.
Технологія інтерактивного тестування у вебсканерах поєднується з динамічним методом тестування (DAST) і дозволяє сканувати ті частини вебдодатку, які знаходяться поза зоною досяжності останньої. Застосування компонента для інтерактивного тестування в таких рішеннях дає можливість отримати всю необхідну інформацію про вразливість, зокрема її точне місце розташування та інші додаткові деталі.
Black-box scanning
Gray-box scanning
White-box scanning
Рішення WAS з вбудованим інструментом IAST
В контексті рішень для пошуку вебвразливостей IAST було вперше запропоновано компанією Acunetix у 2008 році. У 2021 WAS з використанням IAST було масштабовано до корпоративного рівня в рішеннях Netsparker Enterprise (зараз Invicti Enterprise). Обидва рішення наразі належать американській корпорації Invicti Security.
В обох продуктових лінійках компонент для інтерактивного тестування реалізовано як окремий агент, який необхідно встановити на сервер: AcuMonitor в рішеннях Acunetix та Shark – в рішеннях Invicti (колишній Netsparker).
Які переваги застосування інтерактивного сканування?
Агент IAST в рішеннях для сканування вразливостей від Invicti, має доступ до:
- Інтерпретатору коду або компілятору (залежно від мови програмування)
- Контролю часу виконання та інформації про потік даних
- Інформації про конфігурацію, завдяки чому інструмент здатен також виконувати аналіз складу програмного забезпечення (SCA).
Як IAST дозволяє покращити виявлення та управління вразливостями вебдодатків
Повне охоплення вебдодатка
Агент IAST проводить кроулінг бекенду та повністю тестує вебсайт, в тому числі приховані для фронтенду файли, включно з бекдорами. Тому завдяки більшому охопленню можна виявити більше вразливостей.
Покращена точність
Технологія збільшує точність виявлення таких вразливостей: SQL Injection, code injection, CRLF injection, directory traversal, arbitrary file creation/deletion, email header injection, file upload, file inclusion, file tampering, PHP code injection, PHP SuperGlobals overwrite та інших.
Місцезнаходження вразливості
Коли це технічно можливо, IAST здатен надавати номер рядка коду в конкретному файлі, який потрібно виправити для усунення вразливості. Це дозволяє значно прискорити даний процес, спрощуючи розробникам пошук першопричини.
Можливості аналізу програмних компонентів (Software Composition Analysis, SCA)
Програмні компоненти, такі як бібліотеки з відкритим кодом, часто використовуються розробниками. Проте вони несуть ризик, який варто брати під контроль. IAST дозволяє знайти ці вразливі компоненти, що сприяє ще більшому посиленню безпеки.
Висновки
Таким чином поєднання технологій динамічного та інтерактивного тестування (DAST+IAST), присутніх в Acunetix та Invicti, дозволяє досягти найкращих результатів у виявленні та управлінні вразливостями. IAST дає змогу підвищити точність, збільшити охоплення включно з програмними компонентами та прискорити процес усунення вразливостей, що є дуже цінним для команд безпеки.
А якщо ви дочитали до кінця – долучайтеся до розіграшу брендованої колонки Invicti!
Для цього потрібно пройти невеличкий опитувальник та дочекатись результатів.
Умови розіграшу:
- Розіграш діє по всій території України, окрім тимчасово окупованих територій.
- Відправка подарунка буде здійснена коштом компанії CoreWin. Відправка можлива лише по Україні.
- Переможця буде обрано за допомогою рандомайзера, серед тих, хто надав правильні відповіді.
- Обов’язково вказувати актуальні контактні дані, щоб ми могли з вами зв’язатися.
- Термін проведення розіграшу 13.04.2023-28.06.2023. Результати будуть опубліковані 29.06.2023 у наших соц.мережах.
UPD: на жаль, охочих пройти опитувальник не було. Тому брендовану колонку Invicti розіграємо при наступній активності.
