Hodnotenie zraniteľností webových aplikácií: OWASP Top 10 a ešte viac

Pokrytie OWASP Top 10

Každé hodnotenie webovej aplikácie by malo pokrývať OWASP Top 10: Narušené riadenie prístupu (A01), Kryptografické zlyhania (A02), Injekcia (A03), Neistý dizajn (A04), Bezpečnostná miskonfigurácia (A05), Zraniteľné komponenty (A06), Zlyhania autentifikácie (A07), Zlyhania integrity softvéru a dát (A08), Zlyhania logovania (A09) a SSRF (A10). DAST nástroje ako Burp Suite a ZAP automatizujú detekciu väčšiny kategórií OWASP Top 10.

Čo je za hranicami OWASP Top 10

Top 10 je základ – najbežnejšie webové zraniteľnosti, nie jediné. Komplexné hodnotenie by malo tiež posúdiť: chyby v obchodnej logike špecifické pre pracovné postupy vašej aplikácie, zraniteľnosti špecifické pre API (BOLA, BFLA, obmedzenie rýchlosti), hĺbku autentifikácie a správy relácií, bezpečnosť nahrávania a sťahovania súborov a bezpečnosť integrácie tretích strán. Tieto kategórie vyžadujú manuálne testovanie – žiadny skener spoľahlivo nedetekuje chyby v obchodnej logike.

DAST vs SAST pre webové aplikácie

DAST (Dynamic Application Security Testing) testuje spustenú aplikáciu zvonka – ako by to urobil útočník. SAST (Static Application Security Testing) analyzuje zdrojový kód na vzory, ktoré indikujú zraniteľnosti. Oba nachádzajú rôzne triedy problémov. DAST nachádza problémy s konfiguráciou a nasadením za behu. SAST nachádza chyby na úrovni kódu skôr v životnom cykle. Používajte oba pre komplexné pokrytie.

Hodnotenie webových aplikácií s Penetrify

Testovanie webových aplikácií pomocou Penetrify kombinuje DAST skenovanie pre pokrytie OWASP Top 10 s manuálnym odborným testovaním obchodnej logiky, autentifikácie a zraniteľností špecifických pre API – kategórie, ktoré skenerom chýbajú a ktoré predstavujú najvyššie riziko v reálnom svete.