Escáner de seguridad de aplicación Web
A seguridad de aplicaciones Web escáner de es un programa que se comunica con una aplicación web a través de la web Front-end con el fin de identificar potenciales vulnerabilidades de seguridad en la aplicación web y las debilidades arquitectónicas.[1] Realiza un caja negra prueba. A diferencia de los escáneres de código de fuente, escáneres de aplicación web no tiene acceso al código fuente y, por tanto, detectar vulnerabilidades realmente llevando a cabo ataques.
Aplicaciones web han sido muy populares desde el año 2000 porque permiten que los usuarios tengan una experiencia interactiva en Internet. En lugar de sólo vista estático páginas web, los usuarios son capaces de crear cuentas personales, añadir contenidos, bases de datos de consulta y transacciones completas. En el proceso de proporcionar una experiencia interactiva aplicaciones web con frecuencia recogerán, almacenan y utilizan los datos personales sensibles para prestar su servicio.
Los clientes se benefician de la conveniencia de estas aplicaciones, mientras que tácitamente tomando el riesgo que la información privada almacenada en aplicaciones web se verá afectada por los ataques de hackers, insider fugas etc.. Según Privacy Rights Clearinghouse, registros de clientes de más de 18 millones han sido comprometidos en 2012, debido a controles de seguridad insuficientes en los datos corporativos y aplicaciones web.[2]
Contenido
- 1 Resumen
- 2 Escáneres comerciales y de código abierto
- 3 Fortalezas y debilidades
- 3.1 Fortalezas y ventajas
- 3.2 Debilidades y limitaciones
- 4 Referencias
- 5 Acoplamientos externos
Resumen
Un escáner de seguridad de aplicación web facilita la revisión automática de una aplicación web con el propósito de descubrir las vulnerabilidades de seguridad y están obligados a cumplir con varios requerimientos regulatorios. Escáneres de aplicación Web pueden buscar una gran variedad de vulnerabilidades, como la validación de entrada/salida: (p. ej. cross-site scripting y Inyección de SQL), problemas de aplicación específica y errores de configuración de servidor.
En un informe con derechos de autor publicado en marzo de 2012 por el proveedor de seguridad Cenzic, las vulnerabilidades más comunes de aplicación en aplicaciones recientemente probados incluyen:[3]
| 37% | Cross Site Scripting |
| 16% | Inyección de SQL |
| 5% | Divulgación de la ruta |
| 5% | Denegación de servicio |
| 4% | Ejecución de código |
| 4% | Daños en la memoria |
| 4% | Cruz sitio solicitud falsificación |
| 3% | Divulgación de información |
| 3% | Archivo arbitrario |
| 2% | Inclusión de archivos locales |
| 1% | Incluir archivos remotos |
| 1% | Desbordamiento de búfer |
| 15% | Otros)Inyección de PHP, Inyección de JavaScriptetc..) |
Escáneres comerciales y de código abierto
Tom que Pro ha proporcionado pocos comentarios de una serie de escáneres de seguridad de aplicación Web[4] y una lista mayor (pero no mantenida) de escáneres libres y disponibles comercialmente está disponible en el consorcio de seguridad de aplicación Web.[5]
Fortalezas y debilidades
Como con todas las herramientas de prueba, escáneres de seguridad de aplicaciones web no son perfectos y tienen fortalezas y debilidades.
Fortalezas y ventajas
Estas herramientas pueden detectar las vulnerabilidades de la definitiva versión candidata versiones antes de su envío. Escáneres de simulan un usuario malintencionado por atacar y sondeo, identificación de resultados que no son parte del resultado esperado.
Como una herramienta de prueba dinámica, exploradores de web no son dependientes del lenguaje. Un escáner de aplicación web es capaz de analizar aplicaciones web basadas en el motor. Los atacantes utilizan la misma herramientas, así que si las herramientas pueden encontrar una vulnerabilidad, entonces pueden atacantes.
Debilidades y limitaciones
Herramientas libres generalmente no se actualizan con los fallos de seguridad más recientes de idiomas específicos contenidos en idiomas recientemente actualizados; mientras que esto podría ser una minoría de vulnerabilidad que los atacantes competentes deben intentar esos ataques---especialmente si aprenden que el lenguaje utiliza el sitio web de destino.
Generalmente no es posible saber lo bueno que es un escáner de seguridad específico si no tienes algunos conocimientos de seguridad a ti mismo; y propietarios de pequeñas empresas son difíciles de convencer para ejecutar al menos 5 herramientas gratuitas si el primero no encontró nada.
Los atacantes teóricamente podrían probar sus ataques contra las populares herramientas de exploración para encontrar los agujeros en los sitios web hecho por personas que utilizan escáneres de seguridad excesivamente (por ejemplo podría ser un error de buscar las herramientas gratuitas), a fin de hacer spam envío de botnets. Como tales por lo menos todas las herramientas gratuitas son débiles contra los atacantes focalización amplia y competentes.
Botnets y otros ataques donde los atacantes pueden actualizar el malware en los ordenadores nonpatched restantes son extremadamente difíciles de claro de algunas redes utilizadas una gran cantidad de usuarios indisciplinados; como algunas redes de la Universidad que no enseñan en todos los equipos.
Porque la herramienta está implementando un prueba dinámica método, puede cubrir el 100% del código fuente de la aplicación y luego, la propia aplicación. El probador de penetración debe mirar la cobertura de la aplicación web o de su superficie de ataque para saber si la herramienta se ha configurado correctamente o fue capaz de entender la aplicación web.
Es muy difícil para una herramienta para encontrar defectos lógicos tales como el uso de débiles criptográficos las funciones y fuga de información. Incluso para fallas técnicas, si la aplicación web no proporciona suficientes pistas, la herramienta de no cogerlos.
La herramienta no puede implementar todas las variantes de ataques de una determinada vulnerabilidad. Así las herramientas generalmente tienen una lista predefinida de ataques y no generan las cargas de ataque dependiendo de la aplicación de la prueba web. Las herramientas son también muy limitadas en su comprensión del comportamiento de las aplicaciones con contenido dinámico como JavaScript y Flash.
Además, estas herramientas no prueba para agujeros de ingeniería social que son claramente evidentes a los atacantes competentes.
Un informe reciente encontró que las tecnologías de aplicación superior dominadas por la mayoría de los exploradores aplicación Web incluye JSON (tales como jQuery), RESTOy Google WebToolkit en AJAX aplicaciones, Flash Remoting (AMF) y HTML5, así como aplicaciones móviles y servicios Web utilizando JSON y el RESTO. XML-RPC y JABÓN tecnologías utilizadas en servicios Web y flujos de trabajo complejos tales como carrito de compras, y XSRF/CSRF también se enumeran los tokens.[6]
Referencias
- ^ Criterios de evaluación de analizador de seguridad web aplicación versión 1.0, WASC, 2009
- ^ "Cronología de las violaciones de datos". Privacy Rights Clearinghouse. 09 de julio de 2012. 9 de julio 2012.
- ^ "informe de tendencias 2012: los riesgos de seguridad de la aplicación". Cenzic, Inc. 11 de marzo de 2012. 9 de julio 2012.
- ^ Sullivan, Dan. «2014 basados en cloud vulnerabilidad herramientas en comparación con análisis». Tom lo de Pro. p. 2. 15 de abril 2014.
- ^ Shura, Brian. "Lista de escáner de seguridad de aplicaciones de web". Consorcio de seguridad de aplicación Web.
- ^ Escáneres de aplicación web por tecnologías Web modernas. SecurityWeek.Com (2012-10-25). Recuperado encendido 10-06-2014.
Acoplamientos externos
- Criterios de la evaluación escáner de seguridad de la aplicación Web desde el Consorcio de seguridad de aplicación Web (WASC)
- Escáneres de vulnerabilidades de aplicaciones Web, un wiki operado por la NIST
- Desafíos que enfrenta la evaluación de seguridad de aplicación web automatizado de Robert Auger
- La lista de escáner de seguridad de WASC
- Lista de escáneres de aplicación basada en Web, Mosaico de investigación en seguridad
- Identificación de aplicaciones Web de Fabian Mihailowitsch