Оцінка ефективності сканерів безпеки веб-додатків.

  • Дмитро Іваненко Харківський національний університет імені В.Н. Каразіна
  • Олексій Прищепа Харківський національний університет імені В.Н. Каразіна
DOI: https://doi.org/10.26565/2519-2310-2021-2-01
Ключові слова: вразливості веб-додатків, сканери вразливостей, ефективність сканерів, тестування безпеки веб-додатків, пентестинг

Анотація

Рівень захищеності веб-додатків з кожним роком постійно зростає, але нові рейтинги найбільш поширених загроз безпеки, свідчать проте, що проблема забезпечення їх захищеності є дуже актуальною, та постійно змінною. Тому, вкрай актуально розуміти важливість використання автоматичних сканерів безпеки веб-додатків та вміти об'єктивно оцінювати їх реальну ефективність. У роботі розглянуто процес тестування веб-додатків на наявність вразливостей (та приклади їх виявлення), з використанням безкоштовних веб-сканерів (з відкритим кодом) методом «чорного ящику». Тобто, в даному випадку, сканери взаємодіють з додатками так само, як і типовий користувач через веб-інтерфейс, за допомогою протоколу HTTP. Головною метою проведених тестувань є порівняння декількох сканерів з відкритим кодом, та визначення їх ефективності. Підкреслено, що оцінити всі показники сканерів не є можливим, внаслідок існування багатьох факторів. - Тому, в межах даної роботи, усі судження та висновки були зроблені тільки на основі аналізу отриманих звітів кожного тестового сканеру. В статі приведені відомості, щодо окремих параметрів та кількості знайдених вразливостей. Отримані результати тестувань свідчать, про те, що практика використання тільки одного сканеру э мало ефективною, тому при тестуванні потрібно використовувати одразу декілька різних рішень. Це надасть змогу отримати більш об’єктивні результати, в частині детектування, як вже відомих загроз безпеки, так і знаходження нових вразливостей (з їх додаванням до звіту). Робота буде корисна для тих, хто цікавиться питаннями оцінки стану безпеки сучасних веб-додатків.

Завантаження

##plugins.generic.usageStats.noStats##

Біографії авторів

Дмитро Іваненко, Харківський національний університет імені В.Н. Каразіна

К.т.н., доцент кафедри Безпеки інформаційних систем та технологій

Олексій Прищепа, Харківський національний університет імені В.Н. Каразіна

Студент факультету комп'ютерних наук

Посилання

OWASP Top 10 – 2017. (2017). Вилучено з https://owasp.org/www-project-top-ten/

OWASP Web Security Testing Guide, (2020).

Andrey Petukhov. How to Choose a Web Application Vulnerability Scanner? (2015). Вилучено з https://www.securitylab.ru/blog /personal/andrepetukhov/143697.php

ZAP - Full Scan. (2021). Вилучено з https://www.zaproxy.org/docs/docker/full-scan/

The web-application vulnerability scanner. (2021). Вилучено з https://wapiti.sourceforge.io/

Nikto: A Practical Website Vulnerability Scanner. (2021). Вилучено з https://securitytrails.com/blog/nikto-website-vulnerability-scanner

Damn Vulnerable Web Application Docker container (2018). Вилучено з https://github.com/opsxcq/docker-vulnerable-dvwa

OWASP Juice Shop. (2021). Вилучено з https://github.com/juice-shop/juice-shop

WebGoat 8: A deliberately insecure Web Application. (2021). Вилучено з https://github.com/WebGoat/WebGoat

Scan Reports. (2021). Вилучено з https://github.com/G4rr/reports

Опубліковано
2021-12-21
Цитовано
Як цитувати
Іваненко, Д., & Прищепа, О. (2021). Оцінка ефективності сканерів безпеки веб-додатків. Комп’ютерні науки та кібербезпека, (2), 4-14. https://doi.org/10.26565/2519-2310-2021-2-01
Номер
№ 2 (2021)
Розділ
Статті

Найбільш популярні статті цього автора (авторів)