Порівняння комерційних сканерів вразливостей веб-додатків та сканерів з відкритим кодом

  • Іван Лахтін Харківський національний університет імені В.Н. Каразіна
  • Дмитро Михайленко Харківський національний університет імені В.Н. Каразіна
  • Олексій Нарєжній Харківський національний університет імені В.Н. Каразіна https://orcid.org/0000-0003-4321-0510
Ключові слова: тестування, веб-додаток, вразливість

Анотація

У роботі порівнюється вісім сканерів вразливостей на основі двох, навмисно вразливих додатків. Порівняння виконується за допомогою п’яти критеріїв: точність, відкликання, розрахунок індекса Юдена, веб-бенчмарк від WASSEC та OWASP. У якості додатків, що тестувалися обрані: OWASP WebGoat та Damn Vulnerable Web Application (DVWA). Серед досліджуваних сканерів є три комерційних сканера: Acunetix, HP WebInspect, AppScan, та п’ять сканерів з відкритим кодом такі, як: Arachni, IronWASP, Skipfish, OWASP ZAP, Vega. За результатами тестування зроблено висновок, що комерційні сканери є більш ефективними по ряду показників (в т.ч. переліку загроз). Деякі сканери з відкритим кодом (наприклад, ZAP та Skipfish) можна визначити, як початково таргетовані на певних видах загроз. Підкреслено, що не існує єдиного сканеру безпеки, який забезпечував би стабільно високі показники виявлення для всіх типів вразливостей. За результатами проведеного огляду стверджується, що існуючи відмінності в частоті хибно-позитивних вразливостей (для обох груп сканерів), обумовлені тим, що більшість комерційних рішень, мають автоматизовані сканери, які виявляються більш ефективнішими, ніж ручне налаштування з боку тестувальника. Вочевидь, що результати ручних налаштувань мають прямий зв'язок з фактичним рівнем компетенцій тестувальника, та в значній мірі обумовлюють кінцеві результати.

Завантаження

##plugins.generic.usageStats.noStats##

Біографії авторів

Іван Лахтін, Харківський національний університет імені В.Н. Каразіна

Студент факультету комп'ютерних наук  (магістрат)

Дмитро Михайленко, Харківський національний університет імені В.Н. Каразіна

Студент факультету комп'ютерних наук  (бакалавріат)

Олексій Нарєжній, Харківський національний університет імені В.Н. Каразіна

K.т.н., доцент кафедри Безпеки інформаційних систем і технологій (БІСТ)

Посилання

Amankwah, R., Chen, J., Kudjo, P. K., & Towey, D. (2020). An empirical comparison of commercial and open‐source web vulnerability scanners. Software: Practice and Experience, 50(9), 1842–1857. https://doi.org/10.1002/spe.2870

El, M., McMahon, E., Samtani, S., Patton, M., & Chen, H. (2017). Benchmarking vulnerability scanners: An experiment on SCADA devices and scientific instruments. 2017 IEEE International Conference on Intelligence and Security Informatics (ISI). https://doi.org/10.1109/isi.2017.8004879

Alsaleh, M., Alomar, N., Alshreef, M., Alarifi, A., & Al-Salman, A. (2017). Performance-Based Comparative Assessment of Open Source Web Vulnerability Scanners. Security and Communication Networks, 2017, 1–14. https://doi.org/10.1155/2017/6158107

Chen, S. (2017, November 10). WAVSEP 2017/2018 - Evaluating DAST against PT/SDL Challenges. Security Tools Benchmarking. https://sectooladdict.blogspot.com/.

Acunetix | Web Application Security Scanner. (2022). Acunetix. https://www.acunetix.com/

The leader in Web application security assessment. (2011). Retrieved November 4, 2022, from http://www.hp.com/hpinfo/newsroom/press_kits/2011/risk2011/HP_WebInspect_data_sheet.pdf

HCL Software. (2021). Hcltechsw.com. https://www.hcltechsw.com/appscan

OWASP ZAP Tutorial: Comprehensive Review Of OWASP ZAP Tool. (2022). Www.softwaretestinghelp.com. https://www.softwaretestinghelp.com/owasp-zap-tutorial/

skipfish. (2017). Kali.tools. Retrieved November 4, 2022, from https://kali.tools/all/?tool=1256

Arachni - Web Application Security Scanner Framework. (n.d.). Arachni - Web Application Security Scanner Framework. https://www.arachni-scanner.com/

IronWASP - Инструменты Kali Linux. (n.d.). Retrieved November 4, 2022, from https://kali.tools/?p=1786

Vega Vulnerability Scanner. (n.d.). Subgraph.com. https://subgraph.com/vega/

OWASP. (n.d.). OWASP foundation, the open source foundation for application security. Owasp.org. https://owasp.org/

OWASP Benchmark. (n.d.). Owasp.org. https://owasp.org/www-project-benchmark/

Youden, W. J. (1950). Index for rating diagnostic tests. Cancer, 3(1), 32–35. https://doi.org/3.0.co;2-3">10.1002/1097-0142(1950)3:1<32::aid-cncr2820030106>3.0.co;2-3

The Web Application Security Consortium / Web Application Security Scanner Evaluation Criteria. (2009). Projects.webappsec.org. http://surl.li/dtuti

Опубліковано
2022-12-26
Цитовано
Як цитувати
Лахтін, І., Михайленко, Д., & Нарєжній, О. (2022). Порівняння комерційних сканерів вразливостей веб-додатків та сканерів з відкритим кодом. Комп’ютерні науки та кібербезпека, (2), 41-49. https://doi.org/10.26565/2519-2310-2022-2-05
Номер
Розділ
Статті