I betragtning af at omkring en tredjedel af alle kendte brud er et direkte resultat af et vellykket webapplikationsangreb, er det altafgørende at teste dine webapplikationer og API’ers sikkerhed.
Ikke alene skal du sørge for, at dine webapplikationer er sikre af regulatoriske årsager, men du (bør) også bekymre dig om din kundes data og risikoeksponeringen for din virksomhed.
Du har helt sikkert masser af muligheder, når det kommer til at sikre dine webapplikationer, alle med deres fordele og ulemper. Nogle løsninger er afhængige af at identificere sikkerhedsproblemer i kildekoden til dine applikationer. Andre beskytter dine applikationer mod angreb. Og andre er afhængige af dynamisk at teste dine webapplikationers sikkerhed under kørsel, ligesom en hacker ville gøre.
Fokus i denne artikel er på sidstnævnte tilfælde, nemlig på Sandsynligvis. Det, der gør Probely interessant sammenlignet med andre, er, at det tackler to af hovedproblemerne ved websårbarhedsscannere: scanningsdækningen af moderne webapplikationer og kvaliteten af resultaterne.
Probely har to forskellige udgaver: en selvbetjent en rettet mod SMB’er og en anden rettet mod virksomheder eller virksomheder med mange webapplikationer og API’er.
Probely fokuserer på at levere enestående dækning på tværs af moderne udviklingsmiljøer og eliminere falske positiver med evidensbaserede scanningsresultater, samtidig med at du kan integrere DAST-scanning i din udviklingslivscyklus.
For godt til at være sandt?
Læs videre for at lære om min analyse af Probely.
Indholdsfortegnelse
Hvad gør Probely helt præcist?
Med udviklere og enhver virksomhedsstørrelse i tankerne tester Probely dine applikationer og API’er og scanner dem for at finde sikkerhedsproblemer og sårbarheder. Når testen er afsluttet, giver den vejledning i, hvordan man løser de fundne problemer.
Dine udviklere og sikkerhedsingeniører kan arbejde med Probely gennem dens intuitive brugergrænseflade. Men hvis du har brug for kraft og fleksibilitet, kan du stole på deres fuldt udstyrede API, da de følger en API-først udviklingstilgang. Deres API giver alle funktioner, som du ser på brugergrænsefladen, hvilket giver dig mulighed for at integrere Probely i en CI/CD-pipeline, sårbarhedsstyringsværktøj, orkestrator eller problemtracker. Hvis du bruger de populære, har du måske en ud af boksen integration. Det er tilfældet for værktøjer som JIRA, Jenkins, Azure DevOps, DefectDojo, CircleCI og Slack. Men hvis du udviklede din egen problemsporer eller orkestrator, så er API’et vejen at gå.
Dækning, gennemgang og nøjagtighed
Probely bruger en næste generations edderkop til at navigere i rige Javascript-applikationer på samme måde som en normal browser ville, hvilket resulterer i fremragende dækning af webstedet, hvilket er et problem for mange andre DAST-værktøjer. Denne edderkop er ideel til Single-Page Apps, såsom dem, der er baseret på React eller Angular JS.
Husk, at en scanner kun kan identificere sårbarheder på sider, der blev fundet. Derfor er en god edderkop af allerstørste betydning.
Probely tilbyder også forskellige scanningsprofiler, alt efter hvilket miljø du vil teste. Du kan indstille en mindre påtrængende scanningsprofil, hvis du gerne vil scanne dit produktionsmiljø. Hvis du tester dit QA-miljø, kan du indstille en mere grundig profil for mere komplette scanninger. Ved at teste et præproduktionsmiljø kan du identificere og rette sårbarheder, før du implementerer applikationen i produktionen.
Indberetning
Selvom Probely registrerer en omfattende liste over sårbarheder, fokuserer den på at rapportere, hvad der er relevant og uden falske positiver. For visse klasser af sårbarheder giver det bevis for, at sårbarheden er reel, hvilket sparer dit teams tid til at validere, om sårbarheder er reelle og relevante.
Probely leverer omfattende rapportering fra grænsefladen, men den kan også synkronisere sårbarhedsoplysninger med et problemsporings- eller sårbarhedsstyringsværktøj, så du kan passe Probely ind i dine eksisterende sikkerheds- og udviklingsarbejdsgange.
Probely kan teste din software mod sårbarheder som dem, der er angivet i OWASP TOP 10 og meget mere. Det kan også hjælpe dig med at opnå overholdelse ved at kontrollere specifikke krav i PCI-DSS, GDPR, HIPAA og ISO270-01.
Taget fra OWASP TOP 10-rapporten, vil du med et øjeblik se, hvad der er galt med hensyn til denne overholdelse.
Interface
Grænsefladen er enkel og nem at navigere, så du hurtigt kan komme i gang. Enterprise-udgaven giver dig mulighed for at kontrollere brugere, roller og indstille tilpassede roller. Du kan også bruge etiketter til at organisere brugere, aktiver og sårbarheder for at administrere din webapplikationssikkerhed bedre. Da alle funktioner er tilgængelige via API’et, kan du nemt integrere Probely i dine andre virksomhedssikkerhedsapplikationer og -processer.
Hvis du bruger Jira eller Azure Boards, kan du konfigurere Probely til automatisk at sende alle sårbarheder til din problemsporing. Når udvikleren retter og lukker problemet på problemsporeren, udløser den automatisk en gentest på Probely, som vil kontrollere, om sårbarheden er korrekt rettet. Hvis den ikke er det, genåbnes problemet på problemsporingen. Dette giver dit udviklingsteam mulighed for at håndtere en sårbarhedsrapport som enhver anden fejl, direkte på problemsporeren, uden overhovedet at bruge Probelys interface. Dejligt, hva’? 🙂
Kom godt i gang 🚀
Til mine testformål brugte jeg Probelys Enterprise-udgave.
De tilbyder også en standardudgave og forskellige planer at vælge imellem, inklusive en gratis plan. I den gratis plan tester scanningen kun tre klasser af sårbarheder: Cookie-flag, sikkerhedsheadere og SSL/TLS-problemer. Pro-planen tilbyder de fleste funktioner og fokuserer på SMB’er og organisationer, der har fem eller færre mål at scanne.
Enterprise-udgaven fokuserer på organisationer, der har et stort antal mål og inkluderer yderligere funktioner, såsom dem, der er almindelige i virksomhedssoftware: brugere, grupper, roller og tilladelser. Det giver dig også mulighed for at scanne interne mål (på dit private netværk) ved at installere en medfølgende agent.
Tilføjelse af et mål
Det er nemt at tilføje et mål. Når du logger ind med din konto, skal du navigere til siden Mål og klikke på Tilføj. Derefter angiver du et navn, en URL og en eller flere etiketter – dvs. test, produktion, udvikling osv. – for det nye mål. For at lade Probely scanne dette mål som et selvstændigt API uden en understøttende webapp, skal du markere den tilsvarende mulighed for at identificere det som et API-mål.
Hvis dit mål ikke er eksponeret på internettet, og du har installeret en Probely-agent på dit private netværk, kan du vælge, hvilken agent du vil bruge, mens du tilføjer et mål.
Når du har tilføjet et mål, skal du validere dets ejerskab, fordi Probely har brug for bevis for, at du har de nødvendige rettigheder til at køre en scanning på det. Der er to alternative metoder til at validere målet: indlæsning af en fil med angivet indhold på målets rod eller tilføjelse af en TXT-post til din DNS-post med domænets navn og noget specifikt postindhold. Når målet er valideret, er du klar til at scanne det blot ved at trykke på Scan-knappen.
Du kan kontrollere en scannings fremskridt og status ved at navigere til fanen Scanninger på Probelys dashboard. Denne side vil vise dig, hvornår scanningen startede, og hvad den fandt indtil videre. Fund er farvet af sværhedsgrad, så du kan se med et øjeblik, om der er kritiske problemer, der skal løses med det samme.
Hvis dit websted har en login-side, og du ønsker, at Probely skal udføre en scanning bagved, skal du angive legitimationsoplysninger, der giver den mulighed for at crawle webstedet som en godkendt bruger. Probely understøtter de fleste godkendelsesmetoder til login-sider.
Scanning af en API
For at scanne et API-mål skal Probely have dig til at levere dets skema. Du gør dette, når du tilføjer et API-mål, enten ved at angive OpenAPI-skema-URL’en eller ved at uploade skemaet, hvis du tidligere har gemt det som en lokal fil. URL-indstillingen lader Probely hente skemaet før hver scanning, hvilket sikrer, at det altid fungerer med den nyeste version af dit skema.
Der er også forskellige muligheder med hensyn til autentificeringsmetoder for API-adgang. Probely understøtter ikke kun statiske tokens, men tillader også dynamisk godkendelseskonfiguration ved scanning af API’er. Du kan konfigurere et login-slutpunkt, hvor Probely kan få et autentificeringstoken, eller du kan indstille en brugerdefineret header med en fast API-nøgle i. Du kan også angive tilpassede parameterværdier, som Probely vil bruge til dem, der findes i skemaet.
Når du er færdig med at konfigurere API-godkendelsen og parametrene, kan du starte scanningen ved at trykke på knappen Scan nu. Efter et par sekunder vil du være i stand til at følge scanningsforløbet på den samme scanningsside. Når scanningen slutter, kan du downloade en dækningsrapport, der viser alle fundne endepunkter og hver svarkode. Denne rapport vil også fortælle, om der var svigtende endepunkter.
Tjek dine fund
Resultatsiden viser scanningsresultaterne, så snart de er fundet, selv når scanninger er i gang. Hvert fund viser en sværhedsgrad (høj, medium eller lav), det tilsvarende mål og URL, fundbeskrivelsen, tidspunktet og datoen, hvor det blev fundet, dets tilstand (fast eller ikke fast) og modtager, og om det påvirker PCI- DSS- eller OWASP-overholdelse.
Udover at holde dig informeret om de opdagede sårbarheder, er siden med resultater også nyttig til at tildele sårbarheder til dit team, der skal rettes. For at gøre det skal du klikke på afkrydsningsfeltet til venstre og vælge modtageren fra en rullemenu.
Probely giver også information om, hvordan man løser de sårbarheder, der er blevet fundet. Sammen med disse instruktioner kan du se hele anmodningen og svaret og beviserne.
På Dashboard-siden kan du se forskellige diagrammer, der opsummerer de scannede måls sikkerhedsrisiko. Graferne viser tendenser i forskellige interessante målinger, såsom risikoscore, den gennemsnitlige tid til at løse problemer og sværhedsgradsniveauer. Du kan også kigge på de websteder, der kræver mest opmærksomhed og en top 5-rangering af sårbarheder med den højeste forekomst.
Endelig kan du på siden Integrationer konfigurere Probely til at integrere med mange forskellige værktøjer til at styre projekter, teamkommunikation, problemsporing og mere. De tilgængelige integrationer inkluderer Azure Boards, DefectDojo, Slack, Jira, Jenkins og CircleCI.
Et værktøj til udviklere og sikkerhedsteams
For agile udviklingsteams er time-to-market en topprioritet. Hvad end du kan gøre for at minimere den tid, det tager for din software at gå i produktion uden at gå på kompromis med kvaliteten, er meget velkommen. Probely tilbyder netop det – en omkostningseffektiv måde at forbedre sikkerheden på dine websteder og API’er, der hjælper dig med at holde dine tidsplan-relaterede løfter og levere softwareprodukter af høj kvalitet.
For sikkerhedsteams giver Probely dig en platform til at sikre dine webapplikationer og administrere de sårbarheder, der kræver afhjælpning. Det giver dig også mulighed for at overføre nogle af sikkerhedstestene direkte til udviklingsteams, mens du har en supervisionsrolle.
Probely tilbyder gratis prøveversioner, virksomhedsevalueringslicenser og produktdemoer. Kontakt Sandsynligvis at komme i gang.