FixVibe
Covered by FixVibemedium

Automatizuotų saugos skaitytuvų palyginimas: galimybės ir veiklos rizika

Automatiniai saugos skaitytuvai yra būtini norint nustatyti kritines spragas, tokias kaip SQL injekcija ir XSS. Tačiau jie gali netyčia sugadinti tikslines sistemas dėl nestandartinės sąveikos. Šiame tyrime lyginami profesionalūs DAST įrankiai su nemokamomis saugos observatorijomis ir apibūdinama geriausia saugaus automatinio testavimo praktika.

CWE-79CWE-89CWE-352CWE-611CWE-22CWE-918

Poveikis

Automatiniai saugos skaitytuvai gali nustatyti kritines spragas, pvz., SQL injekciją ir kelių svetainių scenarijų rašymą (XSS), tačiau jie taip pat kelia pavojų sugadinti tikslines sistemas dėl savo nestandartinių sąveikos metodų [S1]. Netinkamai sukonfigūruotas nuskaitymas gali sukelti paslaugų sutrikimus, duomenų sugadinimą arba nenumatytą elgesį pažeidžiamoje aplinkoje [S1]. Nors šie įrankiai yra gyvybiškai svarbūs ieškant kritinių klaidų ir gerinant saugumo padėtį, juos naudojant reikia atidžiai valdyti, kad būtų išvengta veikimo poveikio [S1].

Pagrindinė priežastis

Pagrindinė rizika kyla dėl automatizuoto DAST įrankių pobūdžio, kurie tikrina programas su naudingosiomis apkrovomis, kurios gali suaktyvinti kraštutinius atvejus pagrindinėje logikoje [S1]. Be to, daugelyje žiniatinklio programų nepavyksta įdiegti pagrindinių saugos konfigūracijų, pvz., tinkamai sugriežtintų HTTP antraščių, kurios yra būtinos apsisaugoti nuo įprastų žiniatinklio grėsmių [S2]. Tokie įrankiai kaip „Mozilla HTTP Observatory“ išryškina šias spragas, analizuodami atitiktį nustatytoms saugos tendencijoms ir gairėms [S2].

Aptikimo galimybės

Profesionalūs ir bendruomenės lygio skaitytuvai sutelkti į kelias didelio poveikio pažeidžiamumo kategorijas: – Injekcinės atakos: SQL įterpimo ir XML išorinio objekto (XXE) injekcijos aptikimas [S1]. – Manipuliavimas užklausa: serverio užklausos klastojimo (SSRF) ir kelių svetainių užklausos klastojimo (CSRF) [S1] identifikavimas. – Prieigos kontrolė: Katalogų perėjimo ir kitų įgaliojimų tikrinimas apeina [S1]. – Konfigūracijos analizė: HTTP antraščių ir saugos nustatymų įvertinimas, siekiant užtikrinti, kad būtų laikomasi geriausios pramonės praktikos [S2].

Betoniniai pataisymai

Išankstinio nuskaitymo autorizacija: įsitikinkite, kad visus automatinius bandymus patvirtino sistemos savininkas, kad būtų galima valdyti galimos žalos riziką. [S1]. – Aplinkos paruošimas: prieš pradėdami aktyvų pažeidžiamumo nuskaitymą sukurkite visų tikslinių sistemų atsargines kopijas, kad užtikrintumėte atkūrimą gedimo atveju. [S1]. – Antraštės įgyvendinimas: naudokite tokius įrankius kaip „Mozilla HTTP Observatory“, kad patikrintumėte ir įdiegtumėte trūkstamas saugos antraštes, pvz., turinio saugos politiką (CSP) ir griežtą transportavimo apsaugą (HSTS) [S2]. – Stengimo bandymai: atlikite didelio intensyvumo aktyvius nuskaitymus izoliuotoje sustojimo ar kūrimo aplinkoje, o ne gamyboje, kad išvengtumėte veikimo poveikio [S1].

Kaip FixVibe tai tikrina

FixVibe jau atskiria gamybai saugius pasyvius patikrinimus nuo aktyvių zondų, kuriems suteiktas sutikimas. Pasyvus headers.security-headers modulis suteikia observatorijos tipo antraštės aprėptį nesiunčiant naudingų krovinių. Didesnio poveikio patikrinimai, pvz., active.sqli, active.ssti, active.blind-ssrf ir susiję tyrimai, vykdomi tik patikrinus domeno nuosavybės teisę ir nuskaitymo pradžios patvirtinimą, be to, jie naudoja ribotą neardomąją naudingąją apkrovą su klaidinga apsauga.