Обзор сканеров защищенности веб-приложений

Количество кибератак растет с каждым годом, они становятся все массовее и наносят все больше убытков. Под прицелом злоумышленников не только корпоративные сети и компьютеры, но и веб-сайты, которые могут быть весьма уязвимыми к подобного рода угрозам. Для того чтобы защитить сайт от атак, нужно предпринять целый комплекс мер. Одна из них — это заблаговременное выявление уязвимостей в веб-приложениях. Такой анализ делается с помощью сканеров защищенности веб-приложений (Web Application Security Scanner), о которых пойдет речь далее. А в конце материала вы найдете удобный инструмент для подбора подходящего именно для вас продукта.

Зачем хакерам атаковать сайты? Причин много, но главный мотив — это, конечно, заработок. Через уязвимости в веб-приложениях киберпреступники могут получить контроль над системой или попросту «положить» сайт. Чтобы восстановить его работоспособность, придется либо платить хакерам, либо тратиться на восстановление собственными силами. Еще один вариант — это использование зараженного сайта для фишинга или перехвата данных платежных карт клиентов. Да и в качестве ячейки ботнета взломанный ресурс также можно использовать. В общем, вариантов масса. Но главное, что атаки в подавляющем большинстве случаев происходят автоматизировано в режиме ковровых бомбардировок. Вредоносные скрипты массово сканируют сайты на наличие уязвимостей, и при их нахождении начинают взлом ресурса. То есть отделаться мыслью из серии «да кому нужен наш корпоративный сайт, там нечего похищать» не получится.

Чем же могут помочь сканеры веб-приложений в борьбе с подобными угрозами? Говоря простым языком, они ищут те уязвимости, которые могут быть обнаружены хакерами и сообщают о них. Причем это происходит на разных этапах: при кодировании, внедрении, настройке, а также эксплуатации веб-сайта. Слабые места могут быть выявлены еще до того, как приложение начнет работу. На этапе кодирования могут быть обнаружены уязвимости, связанные с обработкой входящих и исходящих данных. На этапе внедрения проверяются уязвимости, связанные с некорректными настройками окружения веб-приложений. На этапе эксплуатации проверяются такие, казалось бы, банальные вещи, как устаревшее ПО, слишком простые пароли и т. д. По окончанию сканирования выдаются подробные отчеты с рекомендациями для устранения выявленных слабых мест.

Число сканеров защищенности веб-приложений довольно велико. Есть даже много бесплатных вариантов, однако они существенно уступают по функциональности и удобству использования платным версиям. Мы отобрали для вас ряд самых продвинутых и продуктивных сервисов. У них высокий рейтинг на Gartner, многие часто попадают в раздел лидеров и перспективных продуктов их фирменного «магического квадранта». Предлагаем ознакомиться с этими продуктами более детально.

Rapid7 Appspider

• Defect Tracking Integration: есть
• IAST Module Hybrid Analysis: нет
• SAST Module Hybrid Analysis: нет
• Flash Scanner: есть
• CGI Scanner: нет
• Enterprise Console Management Features: частично
• Demo: есть

Продукт компании Rapid7 — это весьма функциональное средство тестирования веб- и мобильных приложений. Кроме обнаружения уязвимостей, Appspider умеет предоставлять конкретные рекомендации по их устранению и расставлять приоритеты. Согласитесь, полезно узнать, на какую уязвимость нужно обратить внимание в первую очередь, а какой заняться после устранения предыдущей проблемы. В его арсенале есть 95 видов атак, благодаря чему приложения можно проверить на стойкость ко всем современным распространенным угрозам. К тому же, тут присутствует возможность запускать определенные атаки по отдельности, чтобы проверить актуальность защиты от них. Инструмент прекрасно работает со всеми современными технологиями. Есть поддержка Ajax, JSON, GWT и других стандартов, разнообразных форматов и протоколов, использующихся в современных веб-приложениях и браузерах. Также есть проверка на соответствие современным стандартам безопасности.

Rapid7 умеет выводить интерактивные отчеты, которые подаются в виде веб-страниц. Их главное удобство — это возможность углубиться в конкретную уязвимость и детализировать ее мельчайшие подробности для решения проблемы. Инструмент умеет интегрироваться с уже имеющимися средствами безопасности (например, Web Application Firewall), что существенно экономит время и ресурсы. Попробовать инструмент можно бесплатно в течение ограниченного времени.

Portswigger Burp Suite

• Defect Tracking Integration: частично
• IAST Module Hybrid Analysis: есть
• SAST Module Hybrid Analysis: нет
• Flash Scanner: есть
• CGI Scanner: есть
• Enterprise Console Management Features: частично
• Demo: есть

Это средство позволяет тестировать безопасность веб-приложений как в ручном, так и в автоматическом режиме. Но главный упор делается все же на ручные проверки. Для этого в Burp Suite есть ряд инструментов. Например, Intruder позволяет выявлять необычные уязвимости, а Repeater используется для манипуляций и повторной отправки индивидуальных запросов. Интерфейс Burp Suite интуитивно понятный, быстро разобраться в программе не составит труда даже тем, кто раньше с ней не работал или только знакомится с подобного рода продуктами.

Одна из фишек инструмента — это наличие множества сторонних плагинов и дополнений, которые серьезно расширяют его базовую функциональность. Многие из них разработаны самими программистами, которые использовали Burp Suite в своей работе и точно знали, чего именно не хватает оригинальному продукту. Неплохое дополнение к базовой версии. Ну а если нужного плагина найти не удалось, его можно написать самостоятельно. Кстати, есть и бесплатная версия Burp Suite. Функциональность ее, конечно, существенно урезана по сравнению с платной, но для базовой проверки может подойти и она. А профессиональную и корпоративную версию тоже можно попробовать бесплатно в течении ограниченного времени.

Fortify WebInspect

• Defect Tracking Integration: есть
• IAST Module Hybrid Analysis: есть
• SAST Module Hybrid Analysis: есть
• Flash Scanner: есть
• CGI Scanner: есть
• Enterprise Console Management Features: есть
• Demo: есть

Fortify WebInspect в нашем обзоре - это один из самых функциональных инструментов. Он может поставляться в качестве лицензированного ПО или использоваться по модели SaaS (программное обеспечение как услуга), а также поработать определенное время в качестве демонстрационной версии.

Средство умеет имитировать реальные атаки и техники взлома, которые чаще всего применяются киберпреступниками. Сканер поддерживает все современные технологии, что дает возможность работать с приложениями без оглядки на его архитектуру. Среди самых популярных — Adobe Flash и JavaScript/Ajax, которые на сегодняшний день используются при создании веб-приложений очень часто.

К преимуществам данного продукта также относятся простота установки, настройки и возможность масштабирования. По окончании тестов Fortify WebInspect выдает подробнейшие отчеты, которые будут полезны и понятны как менеджменту компании, так и разработчикам. В них показывается статистика по найденным уязвимостям, их приоритетность (на что нужно обратить внимание прежде всего), демонстрируются подробные сведения о каждой проблеме. В программе есть набор готовых шаблонов для отчетов, но можно также создавать и свои собственные.

IBM Security AppScan

• Defect Tracking Integration: есть
• IAST Module Hybrid Analysis: есть
• SAST Module Hybrid Analysis: есть
• Flash Scanner: есть
• CGI Scanner: есть
• Enterprise Console Management Features: есть
• Demo: есть

Еще одно очень мощное средство от именитой и узнаваемой компании. В арсенале Security AppScan есть разнообразные инструменты для проведения статических и динамических тестов, а также проверки open source компонентов. Программа поддерживает большинство современных протоколов, стандартов и архитектур, в том числе JavaScript/Ajax и Adobe Flash. Хоть упор в IBM Security AppScan сделан на автоматических проверках, ничто не мешает проводить и ручные тесты приложений. Алгоритмы проверки для максимальной схожести с реальными атаками используют адаптивные процедуры, имитирующие человеческое поведение.

Обнаруженные проблемы представляются в виде удобных отчетов. В базе программы есть более 40 шаблонов отчетов о соответствии разнообразным стандартам: ISO 27001, ISO 27002, Basel II, т. д. Для каждой обнаруженной уязвимости приводится подробное объяснение и рекомендации для оперативного устранения проблемы. В этих советах используются подготовленные этапы работы, включающие примеры кода и список задач, которые необходимо выполнить первоочередно. Продукт поставляется в нескольких редакциях, перед покупкой можно попробовать бесплатную версию.

Acunetix Vulnerability Scanner

• Defect Tracking Integration: есть
• IAST Module Hybrid Analysis: есть
• SAST Module Hybrid Analysis: нет
• Flash Scanner: нет
• CGI Scanner: есть
• Enterprise Console Management Features: есть
• Demo: есть

Защитные продукты компании Acunetix пользуются заслуженной популярностью среди именитых клиентов, например, Visa или American Express. Среди этих продуктов и сканер защищенности веб-приложений Acunetix Vulnerability Scanner. Данный инструмент имеет большой набор функций для обеспечения автоматического контроля безопасности приложений. Он обнаруживает все распространенные типы уязвимостей, среди которых SQL-инъекции, выполнение вредоносных скриптов и кодов. Например, для популярной платформы WordPress этот продукт может обнаружить до 1200 известных уязвимостей. При этом он может работать в многопоточном режиме, что позволяет проверять тысячи объектов разных платформ без перерыва.

Все выявленные проблемы отображаются в удобных отчетах. Они подходят как для специалистов, которые будут непосредственно устранять проблемы, так и для руководителей, которым нужно быть в курсе происходящего и понимать общую картину. Итоговые отчеты могут быть скомпонованы в общем файле. Эти результаты затем могут быть сверены с аналогичными данными после прошлых проверок, чтобы определить, какие уязвимости устранены, а какие еще остались. Пробная версия программы (с некоторыми ограничениями) доступна в течение 14 дней. Также у сервиса есть облачный сканер, который предусматривает некоторое количество бесплатных проверок.

Netsparker Web Application Security Scanner

• Defect Tracking Integration: есть
• IAST Module Hybrid Analysis: нет
• SAST Module Hybrid Analysis: нет
• Flash Scanner: нет
• CGI Scanner: есть
• Enterprise Console Management Features: есть
• Demo: есть

Этот полностью автоматический сканер отличается высоким уровнем обнаружения уязвимостей и минимальным количеством ложных срабатываний. Такой результат достигается благодаря фирменному инструменту Proof-Based Scanning, который не только сигнализирует об угрозе, но и сразу же предоставляет доказательства, что это не ложное срабатывание. Таким образом экономится много времени и ресурсов, ведь выявленные угрозы не нужно повторно проверять вручную, а можно сразу приступать к их устранению.

Netsparker Web Application Security Scanner умеет анализировать веб-приложения и сервисы на всех распространенных платформах, среди которых Java Script, HTML 5, .NET и многие другие. Проверка проводится по всем распространенным типам атак. Инструмент может одновременно работать с сотнями и тысячами ресурсов, при этом легко интегрируется в уже существующие системы безопасности. Продукт поставляется в десктопном, корпоративном и облачном варианте. Также присутствует пробная версия.

Janusec WebCruiser

• Defect Tracking Integration: нет
• IAST Module Hybrid Analysis: нет
• SAST Module Hybrid Analysis: нет
• Flash Scanner: нет
• CGI Scanner: есть
• Enterprise Console Management Features: нет
• Demo: бесплатная программа

Как мы уже говорили в начале обзора, кроме платных продуктов есть и немало бесплатных сканеров защищенности веб-приложений. Да, они существенно уступают по функциональности платным аналогам, но базовые инструменты у них есть, так что в качестве бесплатной альтернативы ими также можно пользоваться. Одно из подобных средств — это WebCruiser Web Vulnerability Scanner от Janusec (у него также есть платная корпоративная версия). Он заточен главным образом на проведении SQL-инъекций на разных платформах, например, SQL Server, Oracle и Access. В нем также присутствуют инструменты для работы с cookie, межсайтовым криптингом, PHP-инъекциями и другими самыми распространенными угрозами.

Подбивая итоги

Веб-приложения используются компаниями все больше, а значит и растут риски связанные с их использованием. Так что сканеры веб-приложений защищенности — это весьма полезный и востребованный продукт. Он может помочь обезопасить себя от кибератак уже на стадии разработки и внедрения. Эти сканеры выполняют проверки по множеству разнообразных параметров, выискивают самые труднонаходимые уязвимости и помогают в их устранении.

В нашей сравнительной таблице сканеров защищенности веб-приложений вы сможете найти всю необходимую информацию о функциональных возможностях представленных в обзоре продуктов и выбрать именно тот, который подходит вам лучше всего.

Автор: Олег Пилипенко, для ROI4CIO