10 değerli web uygulamasından 9’u test yapmadığından, ekiplerin temel uygulamaların ötesinde başka nelerin derinlemesine test gerektireceğini bilmelerine yardımcı olmak için yeni özellikler başlatıyoruz. Yeni özellikler, saldırgan keşif tekniklerine dayalı olarak keşfedilen web varlıklarını otomatik olarak sınıflandırıyor ve tüm saldırı yüzeyinde geniş ve derin testler arasındaki boşluğu doldurarak DASS’ı nerede çalıştıracağına dair öneriler sunuyor.
Güvenlik ekiplerinin sürekli bir zorlukla karşılaştıklarını biliyoruz: ana uygulamalarını iyice test etmeleri gerektiğini biliyorlar, ama diğer her şey ne olacak? Tespit ile keşfettikleri düzinelerce veya yüzlerce diğer web varlıklarından hangisi gerçekten derin testlere ihtiyaç duyuyor?
Bu yaygın bir mücadele. Aslında, verilerimiz, kuruluşların, test söz konusu olduğunda, kuruluşların karmaşık, değerli web uygulamalarının 10’undan 9’unu eksik olduğunu göstermektedir. Endişe verici bir şekilde, organizasyonların yarısından fazlası taramaya başlarken tüm karmaşık uygulamalarını kaçırıyor ve taramaların nerede dağıtılacağı ve değerli hedeflerin eksik konusundaki belirsizliklerini yansıtıyor. Bu sadece gözetim ile ilgili değil; Ayrıca, saldırı yüzeyi genişledikçe test etmeyi etkili bir şekilde ölçeklendirmenin zorluğu ile ilgilidir.
Saldırganlar bu belirsizliği sever. Senin arasındaki boşlukları arıyorlar düşünmek Piserliyorsun ve ne Aslında orada.
Neden taramaları önceliklendirin ve tavsiye etmelisiniz?
Testi etkili bir şekilde ölçeklendirme zorluğu önemli sorulara yol açar: derinlemesine test için uygun bir web uygulamasını tam olarak ne oluşturur ve neden testlerin nereye yerleştirileceğine öncelik veriyor?
Genel olarak, bir web uygulaması bir tarayıcı üzerinden etkileşime giren bir şeydir. Genellikle bir istemci-sunucu mimarisi içinde HTML kullanılarak oluşturulur. En önemlisi, formlar, dinamik sayfalar ve potansiyel olarak veritabanı bağlantıları gibi etkileşimli öğeler sunar.
APPSEC’de, özellikle DAST’de amaç, bu varlıklarda güvenlik açıkları bulmaktır. Bu, önce uygulamayı keşfetmeyi (sürünerek) ve daha sonra öğeleriyle etkileşime girmeyi (bulanıklaştırma) içerir. Bu yaklaşım, taramak ve etkileşime girecek önemli bir şey olduğunda, statik HTML’nin tek bir sayfasından önemli ölçüde daha fazla. Bir varlık bu etkileşimli unsurlardan yoksunsa, bulanıkın yapacak çok azı vardır ve derin bir tarama çalıştırma, boşa harcanan kaynaklara ve CPU döngülerine neden olur. Bu nedenle, tavsiye etmek Hangi Verimlilik için derin tarama varlıkları gereklidir.
Ormana Gör Ve Ağaçlar
Bu zorluğu ele almak ve tahminleri ortadan kaldırmak için, testinizi en önemli yere odaklamanıza yardımcı olmak için tasarlanmış yeni yetenekleri tanıtmaktan heyecan duyuyoruz: Varlık sınıflandırması Ve TARAFLARI TARAMA.
Bir varlığın gerçekte ne yaptığını bilmiyorsanız neyi test edeceğinize nasıl karar verebilirsiniz? Bizim yenimiz Varlık sınıflandırması Yetenek, saldırı yüzeyinizde keşfedilen web varlıklarını otomatik olarak analiz eder ve sınıflandırır.
Süreç, potansiyel web uygulamalarını belirleyerek başlar. Aşağıdaki temel özellikleri kontrol ederek bir web uygulamasının sunulup sunulmadığını belirlemek için temel yanıt verilerine bakıyoruz:
- İçerik Türü:
text/html(XML gibi diğer türler, taranamaz API’leri gösterebilir) - Durum kodu:
200 OK - Vücut uzunluğu: Minimal yanıttan daha fazlasını önermek için yeterince büyük (> 100 karakter).
Potansiyel bir web uygulaması belirlendikten sonra, bir sonraki adım, daha derin testi gerektiren “karmaşık” bir uygulama olup olmadığını belirlemek için doğasını ve karmaşıklığını sınıflandırmaktır. Hacker keşiflerini taklit eden teknikleri kullanarak, birleştirilmiş özellikleri bir puanlama algoritmasına dönüştürür. Şu anda bu şunları içerir:
- Teknoloji Tespiti: Hangi belirli kütüphaneler, çerçeveler veya teknolojiler mevcut ve kaç tane?
- Başlık Analizi: Belirli başlıkların varlığı ve yapılandırması (örn. İçerik Güvenliği Politikası – CSP).
- Etkileşim Noktaları: Giriş formlarının veya diğer giriş alanlarının varlığı.
- Vücut uzunluğu: Yanıt gövdesinin genel boyutu.
Bu sınıflandırma, ekiplerin keşfedilen her varlığın potansiyel amacını, karmaşıklığını ve etkileşimini, hatta bir ekibin doğrudan bilgisi olmadan ortaya çıkanları bile anlamalarına yardımcı olur, böylece bunları etkili bir şekilde önceliklendirebilirler.
Dastınızı nereye işaret edeceğinizi bilmek için akıllı tarama önerileri
Varlık sınıflandırması üzerine bina, yeni TARAFLARI TARAMA Özellik, bir varlığın sınıflandırmasına (yukarıda belirtilen teknik özelliklere) ve saldırganlara karşı olası çekiciliğine dayanan akıllı öneriler sunar. Bu, Web Uygulamalarından hangisinin derin tarama ve bulanıklık yoluyla kapsamlı bir DAST gerektirdiğini belirlemeye yardımcı olur ve güvenlik açığı araştırmalarından yararlanır. CrowdSource topluluğunu tespit edin ve AI tarafından yapılmış değerlendirmeler Alfred’i tespit et.
Kapsam yanılsamasını kırmak
Yeni yetenekler, tüm saldırı yüzeyinde geniş ve derin testler arasındaki boşluğu kapatarak APPSEC ekiplerinin kaynakları en önemli varlıklara güvenle tahsis etmesini sağladı: Yüzey izleme Kapsamlı bir saldırı yüzeyi görünümü ve güvenlik açıkları için testler verir. Uygulama Tarama Gelişmiş sürünme ve bulantı ile önemli olduğu yerde daha derine iner. Körü körüne dast dağıtma ve alakasız hedeflerden gölgeleri kovalama günleri sona erdi. Kapsam yanılsamasını kırmanın zamanı geldi.
Önümüzdeki haftalarda müşterileri tespit etmek için tarama önerileri ve varlık sınıflandırması mevcut olacaktır. Onları ilk deneyenler arasında olmak isterseniz, kaydolun Burada Bekleme listemize katılmak için. Denemenize hazır olduklarında size bir e -posta göndereceğiz.