Обзор сканеров защищенности веб-приложений

Количество кибератак растет с каждым годом, они становятся все массовее и наносят все больше убытков. Под прицелом злоумышленников не только корпоративные сети и компьютеры, но и веб-сайты, которые могут быть весьма уязвимыми к подобного рода угрозам. Для того чтобы защитить сайт от атак, нужно предпринять целый комплекс мер. Одна из них — это заблаговременное выявление уязвимостей в веб-приложениях. Такой анализ делается с помощью сканеров защищенности веб-приложений (Web Application Security Scanner), о которых пойдет речь далее. А в конце материала вы найдете удобный инструмент для подбора подходящего именно для вас продукта.
Зачем хакерам атаковать сайты? Причин много, но главный мотив — это, конечно, заработок. Через уязвимости в веб-приложениях киберпреступники могут получить контроль над системой или попросту «положить» сайт. Чтобы восстановить его работоспособность, придется либо платить хакерам, либо тратиться на восстановление собственными силами. Еще один вариант — это использование зараженного сайта для фишинга или перехвата данных платежных карт клиентов. Да и в качестве ячейки ботнета взломанный ресурс также можно использовать. В общем, вариантов масса. Но главное, что атаки в подавляющем большинстве случаев происходят автоматизировано в режиме ковровых бомбардировок. Вредоносные скрипты массово сканируют сайты на наличие уязвимостей, и при их нахождении начинают взлом ресурса. То есть отделаться мыслью из серии «да кому нужен наш корпоративный сайт, там нечего похищать» не получится.
Чем же могут помочь сканеры веб-приложений в борьбе с подобными угрозами? Говоря простым языком, они ищут те уязвимости, которые могут быть обнаружены хакерами и сообщают о них. Причем это происходит на разных этапах: при кодировании, внедрении, настройке, а также эксплуатации веб-сайта. Слабые места могут быть выявлены еще до того, как приложение начнет работу. На этапе кодирования могут быть обнаружены уязвимости, связанные с обработкой входящих и исходящих данных. На этапе внедрения проверяются уязвимости, связанные с некорректными настройками окружения веб-приложений. На этапе эксплуатации проверяются такие, казалось бы, банальные вещи, как устаревшее ПО, слишком простые пароли и т. д. По окончанию сканирования выдаются подробные отчеты с рекомендациями для устранения выявленных слабых мест.
Число сканеров защищенности веб-приложений довольно велико. Есть даже много бесплатных вариантов, однако они существенно уступают по функциональности и удобству использования платным версиям. Мы отобрали для вас ряд самых продвинутых и продуктивных сервисов. У них высокий рейтинг на Gartner, многие часто попадают в раздел лидеров и перспективных продуктов их фирменного «магического квадранта». Предлагаем ознакомиться с этими продуктами более детально.
Rapid7 Appspider
- Defect Tracking Integration: есть
- IAST Module Hybrid Analysis: нет
- SAST Module Hybrid Analysis: нет
- Flash Scanner: есть
- CGI Scanner: нет
- Enterprise Console Management Features: частично
- Demo: есть
Rapid7 умеет выводить интерактивные отчеты, которые подаются в виде веб-страниц. Их главное удобство — это возможность углубиться в конкретную уязвимость и детализировать ее мельчайшие подробности для решения проблемы. Инструмент умеет интегрироваться с уже имеющимися средствами безопасности (например, Web Application Firewall), что существенно экономит время и ресурсы. Попробовать инструмент можно бесплатно в течение ограниченного времени.
Portswigger Burp Suite
- Defect Tracking Integration: частично
- IAST Module Hybrid Analysis: есть
- SAST Module Hybrid Analysis: нет
- Flash Scanner: есть
- CGI Scanner: есть
- Enterprise Console Management Features: частично
- Demo: есть
Одна из фишек инструмента — это наличие множества сторонних плагинов и дополнений, которые серьезно расширяют его базовую функциональность. Многие из них разработаны самими программистами, которые использовали Burp Suite в своей работе и точно знали, чего именно не хватает оригинальному продукту. Неплохое дополнение к базовой версии. Ну а если нужного плагина найти не удалось, его можно написать самостоятельно. Кстати, есть и бесплатная версия Burp Suite. Функциональность ее, конечно, существенно урезана по сравнению с платной, но для базовой проверки может подойти и она. А профессиональную и корпоративную версию тоже можно попробовать бесплатно в течении ограниченного времени.
Fortify WebInspect
- Defect Tracking Integration: есть
- IAST Module Hybrid Analysis: есть
- SAST Module Hybrid Analysis: есть
- Flash Scanner: есть
- CGI Scanner: есть
- Enterprise Console Management Features: есть
- Demo: есть
Средство умеет имитировать реальные атаки и техники взлома, которые чаще всего применяются киберпреступниками. Сканер поддерживает все современные технологии, что дает возможность работать с приложениями без оглядки на его архитектуру. Среди самых популярных — Adobe Flash и JavaScript/Ajax, которые на сегодняшний день используются при создании веб-приложений очень часто.
К преимуществам данного продукта также относятся простота установки, настройки и возможность масштабирования. По окончании тестов Fortify WebInspect выдает подробнейшие отчеты, которые будут полезны и понятны как менеджменту компании, так и разработчикам. В них показывается статистика по найденным уязвимостям, их приоритетность (на что нужно обратить внимание прежде всего), демонстрируются подробные сведения о каждой проблеме. В программе есть набор готовых шаблонов для отчетов, но можно также создавать и свои собственные.
IBM Security AppScan
- Defect Tracking Integration: есть
- IAST Module Hybrid Analysis: есть
- SAST Module Hybrid Analysis: есть
- Flash Scanner: есть
- CGI Scanner: есть
- Enterprise Console Management Features: есть
- Demo: есть
Обнаруженные проблемы представляются в виде удобных отчетов. В базе программы есть более 40 шаблонов отчетов о соответствии разнообразным стандартам: ISO 27001, ISO 27002, Basel II, т. д. Для каждой обнаруженной уязвимости приводится подробное объяснение и рекомендации для оперативного устранения проблемы. В этих советах используются подготовленные этапы работы, включающие примеры кода и список задач, которые необходимо выполнить первоочередно. Продукт поставляется в нескольких редакциях, перед покупкой можно попробовать бесплатную версию.
Acunetix Vulnerability Scanner
- Defect Tracking Integration: есть
- IAST Module Hybrid Analysis: есть
- SAST Module Hybrid Analysis: нет
- Flash Scanner: нет
- CGI Scanner: есть
- Enterprise Console Management Features: есть
- Demo: есть
Все выявленные проблемы отображаются в удобных отчетах. Они подходят как для специалистов, которые будут непосредственно устранять проблемы, так и для руководителей, которым нужно быть в курсе происходящего и понимать общую картину. Итоговые отчеты могут быть скомпонованы в общем файле. Эти результаты затем могут быть сверены с аналогичными данными после прошлых проверок, чтобы определить, какие уязвимости устранены, а какие еще остались. Пробная версия программы (с некоторыми ограничениями) доступна в течение 14 дней. Также у сервиса есть облачный сканер, который предусматривает некоторое количество бесплатных проверок.
Netsparker Web Application Security Scanner
- Defect Tracking Integration: есть
- IAST Module Hybrid Analysis: нет
- SAST Module Hybrid Analysis: нет
- Flash Scanner: нет
- CGI Scanner: есть
- Enterprise Console Management Features: есть
- Demo: есть
Netsparker Web Application Security Scanner умеет анализировать веб-приложения и сервисы на всех распространенных платформах, среди которых Java Script, HTML 5, .NET и многие другие. Проверка проводится по всем распространенным типам атак. Инструмент может одновременно работать с сотнями и тысячами ресурсов, при этом легко интегрируется в уже существующие системы безопасности. Продукт поставляется в десктопном, корпоративном и облачном варианте. Также присутствует пробная версия.
Janusec WebCruiser
- Defect Tracking Integration: нет
- IAST Module Hybrid Analysis: нет
- SAST Module Hybrid Analysis: нет
- Flash Scanner: нет
- CGI Scanner: есть
- Enterprise Console Management Features: нет
- Demo: бесплатная программа
Подбивая итоги
Веб-приложения используются компаниями все больше, а значит и растут риски связанные с их использованием. Так что сканеры веб-приложений защищенности — это весьма полезный и востребованный продукт. Он может помочь обезопасить себя от кибератак уже на стадии разработки и внедрения. Эти сканеры выполняют проверки по множеству разнообразных параметров, выискивают самые труднонаходимые уязвимости и помогают в их устранении.В нашей сравнительной таблице сканеров защищенности веб-приложений вы сможете найти всю необходимую информацию о функциональных возможностях представленных в обзоре продуктов и выбрать именно тот, который подходит вам лучше всего.
Автор: Олег Пилипенко, для ROI4CIO
Leave a Comment