Pokrytí OWASP Top 10
Každé posouzení webové aplikace by mělo pokrývat OWASP Top 10: Broken Access Control (A01), Cryptographic Failures (A02), Injection (A03), Insecure Design (A04), Security Misconfiguration (A05), Vulnerable Components (A06), Authentication Failures (A07), Software and Data Integrity Failures (A08), Logging Failures (A09) a SSRF (A10). DAST nástroje jako Burp Suite a ZAP automatizují detekci většiny kategorií OWASP Top 10.
Za hranicemi OWASP Top 10
Top 10 je základ – nejběžnější webové zranitelnosti, ne jediné. Komplexní posouzení by mělo také vyhodnotit: chyby v obchodní logice specifické pro pracovní postupy vaší aplikace, zranitelnosti specifické pro API (BOLA, BFLA, omezení rychlosti), hloubku autentizace a správy relací, zabezpečení nahrávání a stahování souborů a zabezpečení integrace třetích stran. Tyto kategorie vyžadují manuální testování – žádný skener spolehlivě nezjistí chyby v obchodní logice.
DAST vs SAST pro webové aplikace
DAST (Dynamic Application Security Testing) testuje spuštěnou aplikaci zvenčí – jako by to dělal útočník. SAST (Static Application Security Testing) analyzuje zdrojový kód a hledá vzory, které naznačují zranitelnosti. Oba nacházejí různé třídy problémů. DAST nachází problémy s konfigurací a nasazením za běhu. SAST nachází chyby na úrovni kódu dříve v životním cyklu. Používejte obojí pro komplexní pokrytí.
Posouzení webové aplikace s Penetrify
Penetrify kombinuje DAST skenování pro pokrytí OWASP Top 10 s manuálním expertním testováním pro obchodní logiku, autentizaci a zranitelnosti specifické pro API – kategorie, které skenery přehlédnou a které představují nejvyšší riziko v reálném světě.
Závěr
Posouzení zranitelností webových aplikací by mělo zahrnovat OWASP Top 10 prostřednictvím automatizovaného skenování a testování obchodní logiky a API prostřednictvím manuální analýzy. Penetrify poskytuje obě vrstvy.