02 сСнтября 2021

πŸ•΅ Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ динамичСскоС тСстированиС бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (DAST)?

Penetration Tester at company Future Open Technology Group Telegram: @babdulkhayev
Анализа ΠΊΠΎΠ΄Π° ΡƒΠΆΠ΅ нСдостаточно для поиска уязвимостСй ΠΏΡ€ΠΈ Π½Ρ‹Π½Π΅ΡˆΠ½Π΅ΠΌ Ρ€Π°Π·Π½ΠΎΠΎΠ±Ρ€Π°Π·ΠΈΠΈ ΠΊΠΈΠ±Π΅Ρ€ΡƒΠ³Ρ€ΠΎΠ· – Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Π² Π±Π»ΠΈΠ·ΠΊΠΈΡ… ΠΊ Π±ΠΎΠ΅Π²Ρ‹ΠΌ условиях. Π§Ρ‚ΠΎΠ±Ρ‹ это ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ, ΠΌΠΎΠΆΠ½ΠΎ Π²ΠΎΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠΌ Ρ‡Π΅Ρ€Π½ΠΎΠ³ΠΎ ящика.
πŸ•΅ Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ динамичСскоС тСстированиС бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (DAST)?

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ DAST?

БрСдства динамичСского тСстирования бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (DAST – ΠΎΡ‚ Π°Π½Π³Π». dynamic application security testing) Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡŽΡ‚ автоматичСскоС сканированиС, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ ΠΈΠΌΠΈΡ‚ΠΈΡ€ΡƒΠ΅Ρ‚ врСдоносныС внСшниС Π°Ρ‚Π°ΠΊΠΈ с ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠ°ΠΌΠΈ эксплуатации распространСнных уязвимостСй. Π˜Ρ… Π·Π°Π΄Π°Ρ‡Π° – ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ Π½Π΅Π·Π°ΠΏΠ»Π°Π½ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ Ρ€Π°Π½ΡŒΡˆΠ΅, Ρ‡Π΅ΠΌ это ΡΠ΄Π΅Π»Π°ΡŽΡ‚ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ. Π§Ρ‚ΠΎΠ±Ρ‹ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ уязвимости, срСдства DAST ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡŽΡ‚ всС Ρ‚ΠΎΡ‡ΠΊΠΈ доступа ΠΏΠΎ HTTP, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠ΄Π΅Π»ΠΈΡ€ΡƒΡŽΡ‚ случайныС дСйствия ΠΈ Ρ€Π°Π±ΠΎΡ‚Ρƒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ.

Π₯отя срСдства DAST Π½Π΅ ΠΈΠΌΠ΅ΡŽΡ‚ доступа ΠΊ исходному ΠΊΠΎΠ΄Ρƒ, ΠΎΠ½ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°ΡŽΡ‚ нСдостатки бСзопасности, атакуя ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ ΠΈΠ·Π²Π½Π΅. BlackBox ΠΈΠ»ΠΈ тСстированиС с использованиСм Ρ‡Π΅Ρ€Π½ΠΎΠ³ΠΎ ящика ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°Π΅Ρ‚ ΠΈΠ·ΡƒΡ‡Π΅Π½ΠΈΠ΅ срСдств управлСния Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ, Π·Π°Ρ‰ΠΈΡ‚Π½Ρ‹Ρ… ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΠΎΠ² ΠΈ Π΄ΠΈΠ·Π°ΠΉΠ½Π° прилоТСния ΠΈΠ»ΠΈ систСмы ΠΈΠ·Π²Π½Π΅ с ΠΌΠΈΠ½ΠΈΠΌΠ°Π»ΡŒΠ½Ρ‹ΠΌ ΠΏΡ€Π΅Π΄Π²Π°Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌ Π·Π½Π°Π½ΠΈΠ΅ΠΌ ΠΈΡ… Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½Π΅Π³ΠΎ устройства.

ΠŸΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ срСдства DAST Π½Π΅ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡŽΡ‚ ΠΊΠΎΠ΄, ΠΏΡ€ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠΈ уязвимости ΠΎΠ½ΠΈ Π½Π΅ ΠΌΠΎΠ³ΡƒΡ‚ Π½Π°ΠΏΡ€Π°Π²ΠΈΡ‚ΡŒ тСстировщиков ΠΊ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹ΠΌ строкам.

Π§Ρ‚ΠΎ Π½ΡƒΠΆΠ½ΠΎ Π·Π½Π°Ρ‚ΡŒ?

Π Π°Π·Π²Π΅Ρ€Ρ‚Ρ‹Π²Π°Π½ΠΈΠ΅ΠΌ систСм DAST часто Π·Π°Π½ΠΈΠΌΠ°ΡŽΡ‚ΡΡ спСциалисты ΠΏΠΎ бСзопасности. Им приходится Π½Π°ΡΡ‚Ρ€Π°ΠΈΠ²Π°Ρ‚ΡŒ инструмСнт ΠΈΠ»ΠΈ Ρ€Π°Π·Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°Ρ‚ΡŒ тСсты ΠΈΠ»ΠΈ Π½Π°ΡΡ‚Ρ€Π°ΠΈΠ²Π°Ρ‚ΡŒ инструмСнт, Ρ‡Ρ‚ΠΎ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ Π³Π»ΡƒΠ±ΠΎΠΊΠΎΠ³ΠΎ понимания особСнностСй отслСТиваСмых ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. Для ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎΠ³ΠΎ администрирования DAST Π½ΡƒΠΆΠ½ΠΎ Ρ…ΠΎΡ€ΠΎΡˆΠΎ Π·Π½Π°Ρ‚ΡŒ популярныС Π²Π΅Π±-сСрвСры, сСрвСры ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΈ Π‘Π£Π‘Π”, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π·Π½Π°Ρ‚ΡŒ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Π΅ систСмы, ΡƒΠΌΠ΅Ρ‚ΡŒ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ сСтСвой Ρ‚Ρ€Π°Ρ„ΠΈΠΊ ΠΈ Ρ€Π°Π·Π±ΠΈΡ€Π°Ρ‚ΡŒΡΡ Π²ΠΎ мноТСствС смСТных Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ.

ΠšΠ°ΠΊΠΎΠ²Ρ‹ прСимущСства DAST?

ΠŸΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ Π²ΠΎ врСмя динамичСского тСстирования бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ имитируСтся Π·Π»ΠΎΠ½Π°ΠΌΠ΅Ρ€Π΅Π½Π½ΠΎΠ΅ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ – это Ρ…ΠΎΡ€ΠΎΡˆΠΈΠΉ способ ΠΏΡ€ΠΎΠ΄Π΅ΠΌΠΎΠ½ΡΡ‚Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ, ΠΊΠ°ΠΊ ΠΈΠΌΠ΅Π½Π½ΠΎ Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚ прилоТСния Π² Ρ€Π΅Π°Π»ΡŒΠ½ΠΎΠΉ срСдС. Π‘Π²ΠΎΠ΅Π²Ρ€Π΅ΠΌΠ΅Π½Π½ΠΎ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ² ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, ΠΌΠΎΠΆΠ½ΠΎ внСсти Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ измСнСния для прСдотвращСния Ρ€Π΅Π°Π»ΡŒΠ½ΠΎΠΉ Π°Ρ‚Π°ΠΊΠΈ. Π­Ρ‚ΠΎΡ‚ ΠΌΠ΅Ρ‚ΠΎΠ΄ ΠΏΠΎΠΌΠΎΠ³Π°Π΅Ρ‚ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Ρ‚ΡŒ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΊΠΎΠΌΠ°Π½Π΄Π° Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² Π½Π΅ рассматривала ΠΈΠ»ΠΈ считала Ρ‚Ρ€ΡƒΠ΄Π½Ρ‹ΠΌΠΈ для Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ.

Π’Ρ‹ Π±ΡƒΠ΄Π΅Ρ‚Π΅ ΡˆΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½Ρ‹ Ρ‚Π΅ΠΌ, ΠΊΠ°ΠΊ часто Π°Ρ‚Π°ΠΊΠΈ ΠΎΠΊΠ°Π·Ρ‹Π²Π°ΡŽΡ‚ΡΡ ΡƒΡΠΏΠ΅ΡˆΠ½Ρ‹ΠΌΠΈ просто ΠΏΠΎΡ‚ΠΎΠΌΡƒ, Ρ‡Ρ‚ΠΎ Π½ΠΈΠΊΡ‚ΠΎ Π½Π΅ ΠΏΠΎΠ΄ΡƒΠΌΠ°Π» Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΡ€ΠΎΡ…ΠΎΠ΄.

ΠšΠΈΠ±Π΅Ρ€ΠΏΡ€Π΅ΡΡ‚ΡƒΠΏΠ½ΠΈΠΊΠΈ Π»ΡŽΠ±ΡΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ слабыС мСста Π² систСмС бСзопасности, сохраняя ΠΏΡ€ΠΈ этом ΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΠ΅. Они ΠΌΠΎΠ³ΡƒΡ‚ мСсяцами скрытно Ρ…ΠΎΠ·ΡΠΉΠ½ΠΈΡ‡Π°Ρ‚ΡŒ Π² вашСй сСти, Ρ‡Ρ‚ΠΎΠ±Ρ‹ провСсти Π²Π½Π΅Π·Π°ΠΏΠ½ΡƒΡŽ ΠΌΠ°ΡΡΠΈΡ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ Π°Ρ‚Π°ΠΊΡƒ ΠΈ Π½Π°Ρ€ΡƒΡˆΠΈΡ‚ΡŒ Ρ€Π°Π±ΠΎΡ‚ΠΎΡΠΏΠΎΡΠΎΠ±Π½ΠΎΡΡ‚ΡŒ систСмы. Π”Ρ€ΡƒΠ³ΠΎΠΉ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ – тихая ΠΊΡ€Π°ΠΆΠ° Π΄Π°Π½Π½Ρ‹Ρ…, ΠΎ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π½ΠΈΠΊΡ‚ΠΎ Π΄Π°ΠΆΠ΅ Π½Π΅ догадываСтся. К Ρ‚ΠΎΠΌΡƒ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ, ΠΊΠΎΠ³Π΄Π° Π²Ρ‹ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚Π΅ Π²Π·Π»ΠΎΠΌ, ΡƒΡ‰Π΅Ρ€Π± Π² любом случаС Π±ΡƒΠ΄Π΅Ρ‚ ΡƒΠΆΠ΅ нанСсСн.

DAST ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Ρ‚ΡŒ нСдоступныС Π΄Ρ€ΡƒΠ³ΠΈΠΌ Ρ‚ΠΈΠΏΠ°ΠΌ тСстирования ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, с Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСм ΠΈΠ»ΠΈ с Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠ΅ΠΉ, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‰ΠΈΠ΅ ΠΏΡ€ΠΈ Ρ€Π°Π±ΠΎΡ‚Π΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ с ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ΠΌ ошибки. ΠœΠ΅Ρ‚ΠΎΠ΄ DAST позволяСт ΠΏΡ€ΠΎΡ‚Π΅ΡΡ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ любоС ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ ΠΈ Π²Ρ‹ΡΠ²ΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΠΏΡƒΡ‰Π΅Π½Π½Ρ‹Π΅ ΠΎΠ±Ρ‹Ρ‡Π½Ρ‹ΠΌΠΈ тСстами нСдостатки. Π‘ΠΎΠ»Π΅Π΅ Ρ‚ΠΎΠ³ΠΎ, DAST ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΠΎΠΌΠΎΡ‡ΡŒ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ соотвСтствиС ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π° Π½ΠΎΡ€ΠΌΠ°Ρ‚ΠΈΠ²Π½ΠΎΠΉ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π°Ρ†ΠΈΠΈ.

Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Ρ‹ для тСстирования DAST:

1. Netsparker

ΠžΡ‚Π»ΠΈΡ‡Π½ΠΎΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ DAST, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ позволяСт ИВ-пСрсоналу ΠΎΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°Ρ‚ΡŒ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ Π²Π΅ΠΊΡ‚ΠΎΡ€Ρ‹ Π°Ρ‚Π°ΠΊ. Π­Ρ‚ΠΎΡ‚ инструмСнт особСнно ΠΏΠΎΠ»Π΅Π·Π΅Π½ для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΉ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π΄ΠΎΠ»ΠΆΠ½Ρ‹ ΠΏΡ€ΠΎΠ΄Π΅ΠΌΠΎΠ½ΡΡ‚Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ соотвСтствиС HIPAA ΠΈΠ»ΠΈ PCI DSS. Он устанавливаСтся Π½Π° Windows ΠΈΠ»ΠΈ Windows Server, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ ΠΊΠ°ΠΊ облачная слуТба.

πŸ•΅ Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ динамичСскоС тСстированиС бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (DAST)?

ВСрсия Netsparker Standard доступна Π΄Π°ΠΆΠ΅ ΠΌΠ°Π»Ρ‹ΠΌ прСдприятиям Π±Π΅Π· тСхничСского пСрсонала. Π•Π΅ ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΊΠ°ΠΊ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΡ… Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, Ρ‚Π°ΠΊ ΠΈ Π³ΠΎΡ‚ΠΎΠ²Ρ‹Ρ… ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² конструктора Π²Π΅Π±-сайтов ΠΈ ΠΈΡ… ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ΠΎΠ².

2. GitLab Pro

Π­Ρ‚ΠΎ послСдняя вСрсия GitLab – ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ° для ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ CI/CD Π² DevOps, которая Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌ DAST, доступный ΠΏΠΎ подпискС Π² Π²ΠΈΠ΄Π΅ ΠΎΠ±Π»Π°Ρ‡Π½ΠΎΠΉ слуТбы. БистСма DAST GitLab ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ сканированиС API ΠΈ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ Ρ€Π°Π·Π²Π΅Ρ€Π½ΡƒΡ‚Π° ΠΏΠΎ запросу ΠΈΠ»ΠΈ ΠΏΠΎ Ρ€Π°ΡΠΏΠΈΡΠ°Π½ΠΈΡŽ. БистСма Ρ‚Π°ΠΊΠΆΠ΅ Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ слуТбу Π°Π½Π°Π»ΠΈΠ·Π° ΠΊΠΎΠ΄Π° SAST. БСсплатно доступна тридцатиднСвная пробная вСрсия.

πŸ•΅ Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ динамичСскоС тСстированиС бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (DAST)?

3. Acunetix

Π­Ρ‚ΠΎ панСль Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ динамичСского тСстирования бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, разработанная для использования ИВ-спСциалистами Π² срСдних ΠΈ ΠΊΡ€ΡƒΠΏΠ½Ρ‹Ρ… компаниях. ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°ΡŽΡ‚ΡΡ Windows, macOS ΠΈ Linux. Π₯отя Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ ΠΏΠ°Π½Π΅Π»ΠΈ инструмСнтов Ρ‡Ρ€Π΅Π·Π²Ρ‹Ρ‡Π°ΠΉΠ½ΠΎ Ρ…ΠΎΡ€ΠΎΡˆΠΎ ΠΏΡ€ΠΎΠ΄ΡƒΠΌΠ°Π½Ρ‹, Ρ†Π΅Π½Π° Π½Π° эту ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρƒ, вСроятно, сдСлаСт Π΅Π΅ нСдоступной нСбольшим организациям с ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π½Ρ‹ΠΌ Π±ΡŽΠ΄ΠΆΠ΅Ρ‚ΠΎΠΌ. Π­Ρ‚ΠΎ скорСС инструмСнт для срСдних ΠΈ ΠΊΡ€ΡƒΠΏΠ½Ρ‹Ρ… прСдприятий. Доступны Ρ‚Ρ€ΠΈ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚Π° ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°: Standard, Premium ΠΈ Acunetix 360.

πŸ•΅ Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ динамичСскоС тСстированиС бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (DAST)?
Бамая дорогая вСрсия прСдоставляСт ΠΏΠΎΠ»Π½ΠΎΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ тСстирования бСзопасности для DevOps. ВсС вСрсии ΡΠΊΠ°Π½ΠΈΡ€ΡƒΡŽΡ‚ OSWAP Top 10 ΠΈ ΠΎΡ‡Π΅Π½ΡŒ эффСктивны для опрСдСлСния мСТсайтового скриптинга ΠΈ SQL-ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΠΉ.

4. Rapid7 InsightAppSec

ΠžΠ±Π»Π°Ρ‡Π½ΠΎΠ΅ DAST-Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΠΈΠ·ΠΈΡ€ΡƒΡŽΡ‰Π΅ΠΉΡΡ Π² области кибСрбСзопасности ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ. Rapid7 DAST тСстируСт OWASP TOP 10, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ уязвимости. Он сканируСт Π±ΠΎΠ»Π΅Π΅ 95 уязвимостСй, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ мСТсайтовыС сцСнарии, ΠΏΠΎΠ΄Π΄Π΅Π»ΠΊΡƒ мСТсайтовых запросов ΠΈ SQL-ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΠΈ. Π£Π΄Π°Π»Π΅Π½Π½ΠΎΠ΅ располоТСниС систСмы Π΄Π΅Π»Π°Π΅Ρ‚ Π΅Π΅ идСальной внСшнСго ΠΎΠ±Π·ΠΎΡ€Π° рСсурсов, Π½ΠΎ ΠΎΠ½ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈ Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΠΈΠ΅ прилоТСния, Π² Ρ‚.Ρ‡. Π½Π° стадии Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ.

πŸ•΅ Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ динамичСскоС тСстированиС бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (DAST)?
Из-Π·Π° Π΄ΠΎΡ€ΠΎΠ³ΠΎΠ²ΠΈΠ·Π½Ρ‹ этот Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ вряд Π»ΠΈ ΠΏΠΎΠ΄ΠΎΠΉΠ΄Π΅Ρ‚ ΠΌΠ°Π»Ρ‹ΠΌ прСдприятиям. РСшСниС ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½ΠΎ для тСстирования бСзопасности большого количСства Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. Π•Ρ‰Π΅ ΠΎΠ΄Π½ΠΈΠΌ Π²Π°ΠΆΠ½Ρ‹ΠΌ прСимущСством для ΠΊΡ€ΡƒΠΏΠ½Ρ‹Ρ… ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΉ являСтся стандартная систСма отчСтности Rapid7.
Π’ Ρ‡Π΅ΠΌ Ρ€Π°Π·Π½ΠΈΡ†Π° ΠΌΠ΅ΠΆΠ΄Ρƒ DAST ΠΈ SAST?
Π’ Ρ‚ΠΎ врСмя ΠΊΠ°ΠΊ систСма DAST ΠΈΠΌΠΈΡ‚ΠΈΡ€ΡƒΠ΅Ρ‚ Π²Ρ€Π°ΠΆΠ΄Π΅Π±Π½Ρ‹Π΅ Π°Ρ‚Π°ΠΊΠΈ ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ дСйствия Π²Π½Π΅ΡˆΠ½ΠΈΡ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ SAST (Static Application Security Testing) ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ΠΈΡ‚ ΠΊ Ρ‚Π΅ΡΡ‚ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡŽ с Ρ‚ΠΎΡ‡ΠΊΠΈ зрСния Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°, провСряя ΠΊΠΎΠ΄ ΠΈ Π½Π΅ трСбуя выполнСния ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹. Π’ этом случаС ищутся Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΡ ΠΏΡ€Π°Π²ΠΈΠ» кодирования, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ приводят ΠΊ появлСнию уязвимостСй. Π’Π°ΠΊΠΎΠΉ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ Π½Π΅ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ наличия Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰Π΅ΠΉ сборки ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ ΠΈ экономит дСньги, позволяя ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ ошибки Π½Π° Ρ€Π°Π½Π½Π΅ΠΌ этапС ΠΆΠΈΠ·Π½Π΅Π½Π½ΠΎΠ³ΠΎ Ρ†ΠΈΠΊΠ»Π° прилоТСния. НСзависимо ΠΎΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠ³ΠΎ языка программирования инструмСнты SAST ΡΠ²Π»ΡΡŽΡ‚ΡΡ ΠΎΡ‚Π»ΠΈΡ‡Π½Ρ‹ΠΌ Π΄ΠΎΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ΠΌ ΠΊ DAST.

ΠžΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΡ DAST

ΠœΠ΅Ρ‚ΠΎΠ΄Ρ‹ динамичСского тСстирования бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΠΎΠΌΠΎΡ‡ΡŒ Π² поискС уязвимостСй, Π½ΠΎ слСдуСт ΠΏΠΎΠΌΠ½ΠΈΡ‚ΡŒ ΠΈ ΠΎΠ± ΠΈΡ… нСдостатках.

  • Π‘Π»ΠΎΠΆΠ½ΠΎ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ ΠΏΠΎΠ»Π½Ρ‹ΠΉ Π½Π°Π±ΠΎΡ€ тСстов для ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ прилоТСния. ΠœΠ΅Ρ‚ΠΎΠ΄Ρ‹ DAST ΠΌΠΎΠ³ΡƒΡ‚ Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π»ΠΎΠΆΠ½ΠΎΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹, услоТняя Ρ€Π°Π±ΠΎΡ‚ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠ°.
  • Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Ρ‹ DAST ΠΌΠΎΠ³ΡƒΡ‚ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹, Π½ΠΎ Π½Π΅ ΠΌΠΎΠ³ΡƒΡ‚ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ нСдостатки Π²Π½ΡƒΡ‚Ρ€ΠΈ ΠΊΠΎΠ΄Π°. ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, инструмСнты DAST сосрСдоточСны Π½Π° запросах ΠΈ ΠΎΡ‚Π²Π΅Ρ‚Π°Ρ…, Ρ‡Ρ‚ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΌΡƒ количСству ошибок Π² Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Π½ΠΎΠΌ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π΅.
  • DAST ΠΏΡ€ΠΎΡ…ΠΎΠ΄ΠΈΡ‚ ΠΌΠ΅Π΄Π»Π΅Π½Π½ΠΎ (ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ для тСстирования Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ΡΡ Π΄Π½ΠΈ ΠΈΠ»ΠΈ Π½Π΅Π΄Π΅Π»ΠΈ. На ΠΏΠΎΠ·Π΄Π½ΠΈΡ… стадиях ΠΆΠΈΠ·Π½Π΅Π½Π½ΠΎΠ³ΠΎ Ρ†ΠΈΠΊΠ»Π° прилоТСния ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Π΅ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ ΠΌΠΎΠ³ΡƒΡ‚ привСсти ΠΊ возникновСнию большого количСства Π·Π°Π΄Π°Ρ‡ для ΠΊΠΎΠΌΠ°Π½Π΄ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ², ΠΏΡ€ΠΎΠ΄Π»Π΅Π½ΠΈΡŽ сроков ΠΈ ΡƒΠ²Π΅Π»ΠΈΡ‡Π΅Π½ΠΈΡŽ Π·Π°Ρ‚Ρ€Π°Ρ‚. Π’ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹Ρ… ситуациях Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΠΎΡ‚Ρ€Π΅Π±ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π²Π΅Ρ€Π½ΡƒΡ‚ΡŒΡΡ ΠΈ ΠΏΠΎΠ²Ρ‚ΠΎΡ€Π½ΠΎ ΠΎΠ·Π½Π°ΠΊΠΎΠΌΠΈΡ‚ΡŒΡΡ со старым ΠΊΠΎΠ΄ΠΎΠΌ, ΠΏΡ€Π΅ΠΆΠ΄Π΅ Ρ‡Π΅ΠΌ Π²Π½ΠΎΡΠΈΡ‚ΡŒ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ исправлСния.

ΠšΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΈ

Π’ΠΠšΠΠΠ‘Π˜Π˜

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ вакансию
Π Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊ C++
Москва, ΠΏΠΎ ΠΈΡ‚ΠΎΠ³Π°ΠΌ собСсСдования

Π›Π£Π§Π¨Π˜Π• БВАВЬИ ПО Π’Π•ΠœΠ•