评论:Netsparker企业 Web应用程序彩票网app仪

漏洞彩票网app程序对于任何开发或操作过程都是非常有用的补充。由于典型的漏洞彩票网app程序需要检测已部署软件中的漏洞,因此(通常)它们不依赖于要彩票网app的应用程序所使用的语言或技术。

这通常不是使它们成为检测大量漏洞甚至检测漏洞或业务逻辑问题的最佳选择,而是使它们成为测试大量不同应用程序的出色且非常通用的工具,其中,动态应用程序安全性测试工具是必不可少的。这包括测试当前作为SDLC程序的一部分而开发的软件中的安全缺陷,检查在网络内部部署的第三方应用程序(作为尽职调查过程的一部分)或– most commonly –在各种内部开发的应用程序中发现问题。

我们审查了 Netsparker企业,这是行业之一’Web应用程序漏洞彩票网app的最佳选择。

Netsparker企业主要是基于云的解决方案,这意味着它将专注于开放式Internet上公开可用的应用程序,但它也可以在代理的帮助下彩票网app外围或隔离的应用程序,该代理通常部署在预包装的Docker容器或Windows或Linux二进制文件。

为了测试该产品,我们想知道Netsparker如何处理一些事情:

1.彩票网app工作流程
2.彩票网app自定义选项
3.检测精度和结果
4. CI / CD和问题跟踪集成
5. API和集成功能
6.报告和补救措施。

为了评估工具的检测能力,我们需要一些目标进行彩票网app和评估。

经过深思熟虑,我们决定了以下目标:

1. DVWA –该死的脆弱的Web应用程序–一个用PHP编写的老派极端脆弱的应用程序。应该可以毫无问题地检测到此应用程序中的漏洞。
2. OWASP果汁店 模拟具有REST API后端的现代单页Web应用程序。它具有Javascript繁重的界面,websocket,后端的REST API,以及许多有趣的测试点和漏洞。
3. 武尔纳皮 –基于Python3的易受攻击的REST API,使用在Starlette ASGI上运行的FastAPI框架编写,具有许多基于API的漏洞。

工作流程

登录到Netsparker之后,您将获得一个教程和一个“手持”向导,可帮助您设置所有内容。如果您以前使用过漏洞彩票网app程序,则可能会知道该怎么做,但是此功能对于没有经验的人员(例如软件或DevOps工程师)很有用,他们必须在开发过程中使用此类工具。

评论Netsparker企业

初始设置向导

可以手动添加彩票网app目标,也可以通过发现功能来添加彩票网app目标,该功能将通过匹配电子邮件,网站,反向IP查找和其他方法中的域来尝试找到它们。如果您的组织未使用其他资产管理方法,并且找不到资产,则此功能很有用。

可以直接添加新的要彩票网app的网站或资产,也可以通过CSV或TXT文件导入。站点可以按组进行组织,这有助于内部组织或按项目/按部门组织。

评论Netsparker企业

添加要彩票网app的网站

可以按组或特定主机定义彩票网app。可以将彩票网app定义为一次性彩票网app,也可以定期安排彩票网app,以促进持续的漏洞修复过程。

为了更好地指导彩票网app过程,支持经典的彩票网app范围功能。例如,您可以通过提供完整路径或正则表达式模式将特定URL定义为“范围外”–如果您要跳过特定的网址(例如注销,用户删除功能),则此选项非常有用。特定的HTTP方法也可以标记为“范围外”,如果您正在测试API并希望在端点或对象上跳过DELETE方法,则此方法很有用。

评论Netsparker企业

初始彩票网app配置

评论Netsparker企业

彩票网app范围选项

我们非常喜欢的一项功能是支持在彩票网app之前将“站点地图”或特定的请求信息上传到Netsparker。此功能可用于导入Postman集合或OpenAPI文件,以方便彩票网app并提高对复杂应用程序或API的检测能力。还支持其他格式,例如CSV,JSON,WADL,WSDL等。

对于红色团队,支持从Fiddler,Burp或ZAP会话文件加载链接和信息,如果您要扩展自动彩票网app工具箱,这将非常有用。我们遇到的一个局限性是无法指向包含OpenAPI定义的URL,这一功能对于具有Swagger Web UI的API的自动和计划彩票网app工作流非常有用。

可以通过多种方式自定义和调整彩票网app策略,从应用程序中使用的语言(ASP / ASP.NET,PHP,Ruby,Java,Perl,Python,Node.js和其他)到数据库服务器( Microsoft SQL服务器,MySQL,Oracle,PostgreSQL,Microsoft Access和其他),以基于Windows或Linux的操作系统作为标准选择。彩票网app优化应提高工具的检测能力,缩短彩票网app时间,并让我们了解该工具应在哪里发挥最佳性能。

整合Netsparker

下一个重要的问题是,它是融合还是整合?从集成的角度来看,发送有关彩票网app事件的电子邮件和SMS是标准的,但是支持各种问题跟踪系统,例如Jira,Bitbucket,Gitlab,Pagerduty,TFS,并且还支持Slack和CI / CD集成。对于其他所有内容,如果您愿意编写一些集成脚本,则可以使用原始API将Netsparker与其他解决方案联系起来。

评论Netsparker企业

整合选项

一个真正实现良好的功能是对登录到测试应用程序的支持,因为无法在应用程序中保留会话和从经过身份验证的上下文进行彩票网app会导致不良的彩票网app性能。

Netsparker支持经典的基于表单的登录,但是也支持需要TOTP或HOTP的基于2FA的登录流。这是一个很棒的功能,因为您可以添加OTP种子并在Netsparker中定义时间段,并且都可以彩票网app受OTP保护的登录名。无需再进行填充和添加代码即可绕过2FA方法来彩票网app应用程序。

评论Netsparker企业

认证方式

此外,Netsparker使您可以为复杂的登录流程或JavaScript / CSS繁重的登录页面创建自定义脚本。让我惊喜的是,除了阅读复杂的文档之外,我只需要右键单击DOM元素并将其添加到脚本中,然后按下一步。

评论Netsparker企业

用于身份验证的自定义脚本工作流程

如果我们不得不挑剔,我们可能会指出,如果Netsparker还支持U2F / FIDO2实现(通过模拟CTAP1 / CTAP2协议的软件),那将是很好的,因为这将涵盖最安全的2FA实现。

除了基于表单的身份验证之外,还支持基本NTLM / Kerberos,基于标头(用于JWT),客户端证书和基于OAuth2的身份验证,这使得对几乎所有企业应用程序的身份验证都很容易。还可以通过自定义对话框验证并支持登录/注销流程,在该对话框中,您可以验证提供的凭据是否有效,并可以配置如何保留会话。

评论Netsparker企业

登录验证助手

彩票网app精度

现在,该审查的核心是:Netsparker做了什么而没有发现什么。

简而言之,可以检测到DVWA中的所有内容,但客户端安全受到破坏的情况除外,根据定义,如果未编写自定义规则,则几乎无法通过安全彩票网app进行检测。因此,从“经典”应用程序的角度来看,其覆盖范围非常出色,即使已正确标记了过期的软件版本也是如此。因此,对于以相对较新的语言编写的常规,经典的有状态应用程序,它的效果很好。

从现代JavaScript繁重的单页应用程序的角度来看,Netsparker从用户界面正确发现了后端API接口,并检测到相当复杂的SQL注入漏洞,在该漏洞中不足以触发'或1 = 1类型的向量但要调整向量以正确避开初始查询。

Netsparker在Juice Shop产品屏幕的“评论”部分中正确检测到存储的XSS漏洞。易受攻击的应用程序部分是一个包含大量JavaScript的前端,在后端具有RESTful API,可简化该漏洞。尽管特定的易受攻击的端点被标记为搜索API,而不是作为DOM XSS入口点的接收器,但即使是基于DOM的XSS漏洞也被检测到。从积极的方面来说,该漏洞被标记为“可能”,并且手动进行安全审查将发现该漏洞。

漏洞检测的一个有趣之处在于,Netsparker使用一种引擎来尝试验证该漏洞是否可利用,并将尝试创建漏洞的“证明”,从而减少误报。

不利的一面是,在基于WebSocket的通信中未发现漏洞,也没有使用pyYAML实现不安全的YAML反序列化的API端点。通过回顾Netsparker知识库,我们还 发现 不支持websocket和反序列化漏洞。

那当然不是一个破坏交易的事情,但是需要考虑到一些问题。这也加强了在应用程序安全性彩票网app堆栈中使用基于SAST的彩票网app器(即使只是免费的,开放源代码的彩票网app器)的需要,以提高测试覆盖率,以及其他基于手动的安全性检查过程。

报告能力

PDF或HTML导出选项均支持多个详细级别(从广泛的执行摘要到PCI-DSS级别)。我们发现的一项不错的功能是能够为虚拟补丁创建F5和ModSecurity规则。此外,可以从报告部分导出彩票网app的URL和已爬网的URL,因此可以轻松查看彩票网app程序是否到达任何特定端点。

评论Netsparker企业

彩票网app结果仪表板

评论Netsparker企业

彩票网app结果详细信息

Netsparker的报告功能满足了我们的要求:报告包含安全或AppSec工程师或开发人员所需的所有内容。

由于Netsparker与JIRA和其他票务系统集成,因此将支持大多数团队的常规漏洞管理工作流程。对于单独的安全团队或未集成现代工作流的地方,Netsparker还具有内部问题跟踪系统,该系统可让用户跟踪每个发现的问题的状态并针对特定发现进行重新彩票网app,以查看缓解措施是否得到正确实施。因此,即使您没有在SDLC中设置其他分类方法或过程,也可以通过Netsparker管理所有内容。

判决

Netsparker非常易于设置和使用。各种各样的集成使其可以集成到任何数量的工作流或管理方案中,并且集成的功能和报告功能具有独立工具所需要的一切。就功能而言,我们没有异议。

登录流程–简单的界面,2FA一直支持脚本界面,即使在更复杂的环境中也可以轻松进行身份验证,并且可以报告彩票网app和爬网的端点–帮助用户发现其彩票网app范围。

考虑到这是一个自动彩票网app程序,它依赖于对已部署的应用程序进行“黑匣子”操作,而无需对已部署的环境或源代码进行任何工具化,因此我们认为它非常准确,尽管可以进行改进(例如,通过添加检测反序列化漏洞的能力)。审查之后,Netsparker已确认,产品开发计划中包括添加检测反序列化漏洞的功能。

但是,我们强烈推荐Netsparker。

分享这个