FixVibe
Covered by FixVibemedium

Аюулгүй байдлын автоматжуулсан сканнеруудыг харьцуулах: чадавхи ба үйл ажиллагааны эрсдэл

Аюулгүй байдлын автоматжуулсан сканнер нь SQL injection болон XSS зэрэг чухал эмзэг байдлыг илрүүлэхэд зайлшгүй шаардлагатай. Гэсэн хэдий ч тэд стандарт бус харилцан үйлчлэлээр зорилтот системийг санамсаргүйгээр гэмтээж болно. Энэхүү судалгаа нь мэргэжлийн DAST хэрэгслийг аюулгүй байдлын үнэ төлбөргүй ажиглалтын төвүүдтэй харьцуулж, аюулгүй автоматжуулсан туршилтын шилдэг туршлагуудыг тоймлон харуулсан.

CWE-79CWE-89CWE-352CWE-611CWE-22CWE-918

Нөлөөлөл

Аюулгүй байдлын автоматжуулсан сканнерууд нь SQL injection болон Cross-Site Scripting (XSS) зэрэг чухал сул талуудыг тодорхойлох боломжтой боловч [S1] стандарт бус харилцан үйлчлэлийн аргуудын улмаас зорилтот системийг гэмтээх эрсдэлтэй байдаг. Буруу тохируулагдсан сканнерууд нь [S1] эмзэг орчинд үйлчилгээний тасалдал, өгөгдлийн эвдрэл эсвэл санамсаргүй үйлдэлд хүргэж болзошгүй. Эдгээр хэрэгслүүд нь ноцтой алдааг олж илрүүлэх, аюулгүй байдлын төлөв байдлыг сайжруулахад чухал ач холбогдолтой боловч тэдгээрийг ашиглах нь [S1]-ийн үйл ажиллагааны нөлөөллөөс зайлсхийхийн тулд болгоомжтой менежмент шаарддаг.

Үндсэн шалтгаан

Үндсэн эрсдэл нь [S1] үндсэн логик дахь захын тохиолдлуудыг өдөөж болох ашигтай ачаалал бүхий програмуудыг шалгадаг DAST хэрэгслүүдийн автоматжуулсан шинж чанараас үүдэлтэй. Цаашилбал, олон вэб програмууд [S2] вэбд суурилсан нийтлэг аюулаас хамгаалахад зайлшгүй шаардлагатай зөв хатууруулсан HTTP толгой зэрэг аюулгүй байдлын үндсэн тохиргоог хэрэгжүүлж чадахгүй байна. Mozilla HTTP Observatory зэрэг хэрэгслүүд нь аюулгүй байдлын тогтсон чиг хандлага, [S2] удирдамжид нийцэж байгаа эсэхэд дүн шинжилгээ хийж эдгээр цоорхойг тодруулдаг.

Илрүүлэх чадвар

Мэргэжлийн болон олон нийтийн түвшний сканнерууд нь өндөр нөлөө бүхий хэд хэдэн эмзэг байдлын ангилалд анхаарлаа хандуулдаг:

  • Тарилгын халдлага: SQL тарилга болон XML гадаад нэгж (XXE) тарилгыг илрүүлэх [S1].
  • Хүсэлт засварлах: Сервер талын хүсэлтийг хуурамчаар үйлдэх (SSRF) болон Сайт хоорондын хүсэлтийг хуурамчаар үйлдэх (CSRF) [S1].
  • Хандалтын хяналт: Лавлах болон бусад зөвшөөрлийг шалгах нь [S1]-г тойрч гардаг.
  • Тохиргооны шинжилгээ: [S2] салбарын шилдэг туршлагуудтай нийцэж байгаа эсэхийг баталгаажуулахын тулд HTTP толгой хэсэг болон аюулгүй байдлын тохиргоог үнэлэх.

Бетон засвар

  • Урьдчилан скан хийх зөвшөөрөл: Бүх автоматжуулсан туршилтыг [S1]-ийн болзошгүй хохирлын эрсдлийг удирдахын тулд системийн эзэмшигчээс зөвшөөрөл авсан эсэхийг шалгаарай.
  • Орчны бэлтгэл: [S1] алдаа гарсан тохиолдолд сэргээхийг баталгаажуулахын тулд идэвхтэй эмзэг байдлын сканнерыг эхлүүлэхийн өмнө зорилтот бүх системийг нөөцлөөрэй.
  • Толгойг хэрэгжүүлэх: Агуулгын аюулгүй байдлын бодлого (CSP) болон Тээвэрлэлтийн хатуу хамгаалалт (HSTS) ZXCVFIXZVIXVCET гэх мэт дутуу аюулгүй байдлын гарчгийг шалгах, хэрэгжүүлэхийн тулд Mozilla HTTP Observatory зэрэг хэрэгслийг ашиглана уу.
  • Үе шатлалын туршилтууд: [S1] үйл ажиллагааны нөлөөллөөс урьдчилан сэргийлэхийн тулд өндөр эрчимтэй идэвхтэй сканнеруудыг үйлдвэрлэхээс илүү тусгаарлагдсан үе шат эсвэл хөгжүүлэлтийн орчинд явуулна.

FixVibe үүнийг хэрхэн туршиж үздэг

FixVibe нь үйлдвэрлэлд аюулгүй идэвхгүй шалгалтыг зөвшөөрөлтэй идэвхтэй датчикуудаас аль хэдийн салгасан. Идэвхгүй headers.security-headers модуль нь Ачаалал илгээхгүйгээр Observatory загварын толгойн хамрах хүрээг хангадаг. active.sqli, active.ssti, active.blind-ssrf болон холбогдох шалгалтууд нь зөвхөн домэйн эзэмшигчийн баталгаажуулалт болон скан-эхлэлтийг баталгаажуулсны дараа л ажилладаг бөгөөд тэдгээр нь үл эвдэх хамгаалалтын ачааллыг хязгаарлагдмал ашигладаг.