Последняя версия ПО AppScan обладает новыми характеристиками, позволяющими более эффективно сканировать Web-приложения и тестировать их на предмет безопасности:
Запатентованный быстрый и функциональный механизм сканирования.
Мастер конфигурирования, помогающий настроить сканирование.
Пользовательский интерфейс, который включает в себя дерево приложений, переключатель вариантов отображения, иерархический список результатов поиска проблем безопасности, рекомендации по их устранению и панель с подробной информацией.
Адаптивный процесс тестирования с функцией интеллектуального копирования человеческой логики, приспосабливающий фазу тестирования к каждому приложению. AppScan может изучить приложение вплоть до отдельных параметров и проводить только нужные тесты, которые помогут улучшить работу.
Политика тестирования важнейших элементов для разработчиков, предусматривающая автоматизацию тестирования на предмет главных проблем безопасности в формате, позволяющем оптимизировать и упростить процесс разработки.
Параллельное сканирование: возможность одновременно запускать несколько экземпляров AppScan. Эту функцию можно использовать для параллельного сканирования высокопроизводительных машин, рассмотрения результатов одного сканирования во время выполнения другого или для запуска любого сочетания функций из широкого ассортимента, предусмотренного в AppScan.
Улучшенная поддержка технологии Ajax, повышающая эффективность автоматической проверки и тестирования приложений на базе этой технологии системой AppScan. В частности, улучшено исполнение JavaScript в рамках технологии Java™, добавлено индивидуальное тестирование параметров протокола объектной нотации JavaScript (JSON), усовершенствована обработка объектов ActiveX, используемых в технологии JavaScript, и т.д.
Поддержка сложных, многоэтапных процедур аутентификации в Web-приложениях. Когда решение AppScan обнаруживает, что требуется сложная аутентификация, оно приостанавливает сканирование и предлагает выполнить соответствующий процесс. Система поддерживает следующие методы аутентификации: полностью автоматизированный открытый тест Тьюринга по распознаванию людей и машин (CAPTCHA), ступенчатая аутентификация, многофакторная аутентификация, одноразовые пароли, USB-ключи, смарт-карты и обоюдная аутентификация.
Тестирование повышения уровня привилегий: эта функция тестирует модель авторизации в AppScan, обнаруживая защищенные ресурсы, к которым могут получить доступ пользователи, не располагающие достаточными для этого правами.
Усовершенствованный механизм управления сеансами, который активно проверяет, находитесь ли вы по-прежнему в системе, и при необходимости автоматически обновляет регистрацию.
Правила поиска закономерностей: в соответствии с ними программа ищет строки и регулярные выражения в первоначальных ответах. Это упрощает, например, тестирование безопасности систем, где используются номера кредитных карт или социального страхования.
Интегрированное средство сканирования Web-сервисов, которое понимает механизмы взаимодействия приложений и содержит большое количество усовершенствованных тестов протокола SOAP, что обеспечивает широкий охват сканируемого приложения.
Просмотр результатов в реальном времени, что позволяет начать изучать их и устранять обнаруженные проблемы еще до завершения сканирования. Это бывает полезно при крупномасштабном сканировании; кроме того, эта функция может пригодиться аудиторам и специалистам по испытаниям на проникновение, которые должны протестировать приложение за ограниченное время.
Улучшенное отображение проблем: программа предоставляет более широкие возможности управления способами отображения ошибок. Можно менять размер шрифта в запросах и ответах, переключаться между двумя режимами просмотра - обычным и с переносом строк, выполнять поиск и печатать страницы с информацией, предоставленной системой AppScan.
Индивидуальная настройка и контроль
К числу нововведений в версии 7.6 системы AppScan относятся также дополнительные возможности индивидуальной настройки и контроля:
AppScan SDK предоставляет широкий выбор интерфейсов для запуска любого действия в AppScan, от длительного сканирования до отдельного, индивидуально настроенного теста. Эта мощная платформа обеспечивает легкую интеграцию в существующие системы, поддерживает сложные индивидуальные варианты использования механизма AppScan и представляет собой основу для AppScan eXtensions Framework и Pyscan (см. ниже).
Система AppScan eXtensions Framework позволяет загружать дополнительные модули для расширения функций AppScan. Она дает возможность индивидуально корректировать и усовершенствовать AppScan с учетом потребностей ваших процессов, автоматизировать внутреннюю работу компании с помощью решения AppScan, которое в этом случае играет роль мощного фундамента, и обеспечивать расширение функционала путем загрузки дополнений с открытым кодом в портале сообщества AppScan eXtensions.
Модуль SQL Injection Exploiter, входящий в состав системы AppScan eXtensions Framework, автоматически пытается извлечь таблицы из базы данных, используя слабые места в системе защиты, допускающие SQL-инъекции.
Pyscan - платформа для тестирования безопасности Web-приложений, построенная на базе ПО AppScan и Python, - позволяет аудиторам использовать преимущества широкого круга функций AppScan при проверке вручную. В любой момент в их распоряжении находятся такие функции, как усовершенствованное управление сеансами AppScan (используется для определения и поддержания состояния регистрации в системе), легкий доступ к хранилищу данных о просканированных приложениях и широкие возможности составления отчетов. Pyscan может кардинально повысить эффективность той части проверки, которая проводится вручную, и позволяет не отказываться от незаменимых экспертных знаний аудитора.
В программе AppScan установлены заранее заданные шаблоны сканирования, которые включают в себя демонстрационный Web-сайт Watchfire, Hacme Bank и WebGoat V4.
Дополнительные возможности конфигурирования, в том числе настройки реестра AppScan и дополнительные средства управления работой AppScan, теперь доступны на вкладке «Дополнительно» в диалоговом окне «Опции».
Функция «Просмотр элементов, не подвергающихся риску» позволяет сохранять все тесты, проведенные системой AppScan. Это дает возможность увидеть более полную картину мелких изменений и действий, предпринятых системой AppScan, и выборочно изучить проблемы вручную с помощью мощных средств поиска и сортировки.
Функция составления отчетов об ошибочных положительных или отрицательных результатах позволяет отправлять пакеты информации, при необходимости зашифрованные, в отдел исследований безопасности Watchfire на анализ. Все необходимые изменения тестов безопасности предоставляются в составе ежедневных обновлений AppScan.
AppScan версии 7.6 составляет отчеты и помогает устранять ошибки благодаря следующим возможностям:
Отчеты о дельта-анализе, содержащие сведения о том, какие изменения прошли между двумя последовательными сканированиями. Из таких отчетов можно узнать, что исправлено, что не исправлено и какие новые проблемы безопасности появились со времени первоначального сканирования.
Подсветка и указание причин при проверке правильности; эту функцию можно использовать для выявления слабых мест. Во время тестирования AppScan может подсвечивать HTML-код, который, по-видимому, вызывает проблемы безопасности. Затем AppScan может понятным языком объяснить логику теста и причины обнаружения ошибки. Кроме того, функция AppScan Difference может отобразить HTML-код, измененный в первоначальном ответе, чтобы дополнительно прояснить ситуацию для пользователя.
Настраиваемые информационные сообщения и рекомендации по исправлению ситуации, с помощью которых можно добавить примечание о политике компании или предоставить индивидуальные объяснения по тому или иному вопросу. Эта функция позволяет адаптировать AppScan к процессам компании и сэкономить время, которое потребовалось бы на внесение изменений и повторы.
Рекомендации по устранению ошибок в гипертекстовом препроцессоре (PHP).
Контроль индивидуальных вариантов, позволяющий удалять их или помечать как «неподвергающиеся риску» для последующего просмотра на соответствующем экране.
Выявление подозрительного контента - например, секретных данных в комментариях в HTML-коде и полной информации об операциях по протоколу HTTP - и передача такого контента пользователям.
Отчеты о соответствии нормативам, в том числе нормативному акту 800-53 Национального института стандартов и технологий (NIST) и последнему списку 10 главных ошибок, составленному OWASP и обновленному в 2007 году. AppScan теперь составляет 41 отчет о соответствии мировым нормативным актам и стандартам.
Идентификаторы из БД уязвимостей, которые добавляются теперь в описание каждого теста.
Настраиваемые отчеты для руководства, разработчиков, инженеров по контролю качества, системных администраторов и специалистов по безопасности с возможностью полноценного управления контентом и оформлением.
Более краткие и вместе с тем информативные отчеты на базе URL.
Отчеты о соответствии отраслевым стандартам, в том числе, списку главных 10 ошибок, составленному OWASP, списку главных 20 ошибок, составленному SANS, и стандартам Консорциума безопасности Web-приложений (WASC).
Решение, наиболее полно соблюдающее отраслевые требования в отношении отчетности: оно генерирует 41 готовый шаблон и отчет о соответствии нормативам, в том числе закону № 1950 Ассамблеи штата Калифорния, закону о защите конфиденциальности детей в Интернете (COPPA), директиве 6/3 директора ЦРУ (DCID), Закону об электронном переводе средств (EFTA), закону о биржах и ценных бумагах, Федеральному закону об управлении безопасностью информации (FISMA), закону Грамма-Лича-Блайли, закону о переносимости и учете при страховании здоровья (HIPAA), программе защиты данных на сайте MasterCard, инструкциям для электроэнергетических компаний «Защита жизненно важной инфраструктуры» North American Electric Reliability Corporation (NERC CIP), стандартам безопасности данных в отрасли платежных карт, закону 1974 года о конфиденциальности, закону Сарбейнса-Оксли, разделу 21 Свода федеральных нормативных актов, программе защиты информации держателей карт Visa, законам и нормативным актам базельского Комитета по надзору за банковской деятельностью (соглашению BASEL II), а также стандартам 17799 и 27001 Международной организации по стандартам.
Фильтр отчетности, позволяющий выбирать отчеты о проблемах приложений, инфраструктуры или о проблемах обоих типов.
Моментальные снимки отчета, которые можно сделать во внутреннем браузере AppScan и добавить в отчет. Эта функция может пригодиться для демонстрации результатов сканирования разработчикам и системным администраторам, которым требуются доказательства наличия слабых мест в системе защиты.
Отчеты об ошибочном обнаружении. Эта функция позволяет выбрать тесты, из которых AppScan извлечет общедоступную информацию, заархивирует ее и зашифрует для отправки по электронной почте. Это быстрый и легкий способ отправить компании Watchfire отзывы о тестах, которые, по вашему мнению, нашли несуществующие ошибки (то есть AppScan по результатам тестирования сообщает о проблеме безопасности, хотя вы убеждены, что ошибок нет). Кроме того, с помощью этой функции легко отправить информацию о тесте на рассмотрение разработчикам приложения или системным администраторам.
Отображение решения. При таком варианте отображения система выводит полный список заданий, которые требуется выполнить, чтобы решить проблемы безопасности, обнаруженные при сканировании. Можно просмотреть список, относящийся ко всему приложению или к определенным папкам, чтобы было проще распределить задания между разработчиками приложения и системными администраторами.