Тестирование уязвимостей

В предыдущем примере была проиллюстрирована простая атака на производственный веб-сервер. К сожалению, эта простая атака является лишь одной из множества возможных. Теперь я покажу, каким образом можно легко осуществить проверку приложения на наличие уязвимостей с помощью продукта IBM® Security AppScan® Standard.

IBM Security AppScan — передовой пакет средств для тестирования безопасности приложений, обеспечивающий управление тестированием уязвимостей на всем протяжении жизненного цикла разработки программного обеспечения. IBM Security AppScan автоматизирует оценку уязвимостей и сканирование/тестирование веб-приложений на наличие всех широко распространенных уязвимостей, включая SQL-инъекции, межсайтовый скриптинг, переполнение буфера, а также уязвимостей в новых flash/flex-приложениях и приложениях Web 2.0.

Решение AppScan охватывает все уязвимости из перечня Top 10 организации OWASP на 2013 год. Наше решение поддерживает стандартный отраслевой протокол TLS 1.2 (Transport Layer Security), а также соответствует стандарту FIPS 140-2 (Federal Information Publication Standard) и стандарту SP 800-131a (Special Publication) организации NIST (National Institute of Standards and Technology).                             

После установки продукта Security AppScan Standard проведите его конфигурирование, а затем начните сканирование целевого веб-сайта.

Для запуска продукта Security AppScan Standard нажмите на его пиктограмму на своем рабочем столе или выберите Start > IBM Security AppScan Standard). Вы увидите экран приложение со всплывающим окном в центре (см. рис. 6). Я рекомендую сначала нажать на ссылку Getting Started (PDF), чтобы загрузить на свой компьютер вводное руководство. Это прекрасный справочник для знакомства с приложением Security AppScan, его базовыми принципами, его конфигурированием, процессом проведения сканирования и порядком интерпретации полученных результатов. После загрузки этого документа переходите к следующему этапу.

Рисунок 6. Окно приложения IBM Security AppScan Standard

Чтобы запустить сканирование, нажмите на Create New Scan во всплывающем окне, показанном на рис.6. После нажатия на эту ссылку откроется окно New Scan (см. рис.7). Проведите сканирование атакованного ранее сайта demo.testfire.net, для чего нажмите на ссылку в верхнем левом углу под заголовком Recent Templates.

Рисунок 7. Окно New Csan.

Вы увидите окно мастера Configuration Wizard (см. рис. 8). Опция Web Application Scan уже выбрана, поэтому нажмите Next для перехода к следующему этапу.

Рисунок 8. Окно мастера Configuration Wizard

Появилась панель URL and Servers. На ней показан URL-адрес, который вы используете для начала сканирования, а также уже активированная опция Case-Sensitive Path. Оставьте все остальные значения по умолчанию и нажмите Next.

Появится панель Login Management. Для параметра Login Method, оставьте уже выбранную опцию Recorded, что позволит приложению Security AppScan Standard автоматически подключаться в качестве пользователя. Кроме того, вы можете воспользоваться опцией Prompt, если ваш конкретный сайт использует однократный пароль или механизм CAPTCHA. Для перехода к следующему этапу нажмите Next.

Появится панель Test Policy. В правой верхней части окна в поле Test Policy указана опция Default, а в окошках Send tests on login and logout pages и Clear session identifiers before testing login pages установлены флажки. Для перехода к следующему этапу нажмите Next.

Рисунок 9. Окно результатов исполнения Scan Expert.

Появится панель Complete, что означает конец конфигурирования. Выберите опцию Start a full automatic scan, а затем поставьте флажок Start Scan Expert when Scan Configuration Wizard is complete. Нажмите Finish для начала сканирования. В окне Auto Save нажмите Yes и укажите AltoroJ в качестве имени файла сканирования, а затем нажмите Save. В процессе своего исполнения компонент Scan Expert заполняет основное окно результатами (см. рис.9). Поскольку данный веб-сайт сканируется на исследовательской стадии, продукт Security AppScan Standard формирует набор рекомендаций (показанный в нижней части окна). Вы можете оставить флажки у этих рекомендаций, а затем, после завершения сканирования, нажать на Apply Recommendations в нижнем правом углу окна с целью их применения.

После нажатия на Apply Recommendations панель Scan Expert Recommendations исчезает и начинается сканирование. В нижней части окна демонстрируется ход выполнения сканирования, название текущей фазы и истекшее время сканирования.

Рисунок 10. Итоговое окно результатов.

В самой нижней строке на экране представлена интересующая нас информация, в частности: 98 проблем безопасности (34 проблем высокой степени важности, 18 проблем средней степени важности, 31 проблем низкой степени важности и 15 проблем информационного характера), выявленных при выполнении первой фазы процесса всего лишь на 51%.

После завершения сканирования (после выполнения фазы 1 будут выполнены фазы 2 и 3) появятся результаты, показанные на рис. 10.

Так же там отображены, в правом верхнем углу окна, три пиктограммы. Эти три пиктограммы позволяет изменить представление результатов: Data соответствует необработанным данным, Issues соответствует обнаруженным проблемам, а Tasks соответствует списку рекомендаций по устранению проблем.

Рисунок 11. Окно всех sql-инъекций

После нажатия на пиктограмму Issues вы увидите список проблем, нуждающихся в устранении. В частности, вы увидите список проблем типа SQL Injection, выявленных продуктом Security AppScan Standard (их общее количество составляет 33, что существенно больше, чем тот единственный эксплойт, который я демонстрировал раньше в этой статье). Вы также увидите (см. рис. 11), что после выполнения всех фаз сканирования продукт Security AppScan Standard выявил 337 проблем безопасности, из которых 114 имеют высокую степень важности.

Вкладки в правой части окна предоставляют огромный объем информации. Вкладка Advisory содержит перечень вероятных причин выявленных ошибок с техническим описанием каждой выявленной ошибки, включая примеры эксплойтов (в том числе ссылки на еще более подробную информацию). Вкладка Fix Recommendation предоставляет дополнительную информацию для различных сред с целью избежания определенных ситуаций. Эти ключевые средства Security AppScan Standard предоставляют список выявленных уязвимостей, а также предлагают подробную информацию по применению эксплойтов и по стратегиям их предотвращения или устранения.                                                                

ПРАКТИЧЕСКАЯ ЧАСТЬ