geekflare
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
By Lakshman Sharma in La Seguridad  |  Última actualización: 12 de enero de 2021
Comparte en:

API seguras y aplicaciones web con Probely DAST Scanner

Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Dado que aproximadamente un tercio de todas las infracciones conocidas son el resultado directo de un ataque exitoso a una aplicación web, es fundamental probar la seguridad de sus aplicaciones web y API.

No solo debe asegurarse de que sus aplicaciones web sean seguras por razones reglamentarias, sino que también debe preocuparse por los datos de sus clientes y la exposición al riesgo de su empresa.

Ciertamente, tiene muchas opciones cuando se trata de proteger sus aplicaciones web, todas con sus pros y sus contras. Algunas soluciones se basan en la identificación de problemas de seguridad en el código fuente de sus aplicaciones. Otros protegen sus aplicaciones contra ataques. Y otros confían en probar dinámicamente la seguridad de sus aplicaciones web en tiempo de ejecución, tal como lo haría un hacker.

Este artículo se centra en este último caso, a saber, en probablemente. Lo que hace que Probely sea interesante en comparación con otros es que aborda dos de los principales problemas de los escáneres de vulnerabilidades web: la cobertura de escaneo de las aplicaciones web modernas y la calidad de los resultados.

Probely tiene dos ediciones diferentes: una de autoservicio dirigida a pymes y otra dirigida a empresas o empresas con muchas aplicaciones web y API.

Probely se enfoca en brindar una cobertura excepcional en los entornos de desarrollo modernos y eliminar los falsos positivos con los resultados del escaneo basado en evidencia mientras le permite integrar el escaneo DAST en su ciclo de vida de desarrollo.

Demasiado bueno para ser verdad?

Siga leyendo para conocer mi análisis de Probely.

What exactly does Probely do?

Con los desarrolladores y todos los tamaños de empresa en mente, Probely prueba su aplicaciones y API, escaneándolos para encontrar problemas de seguridad y vulnerabilidades. Cuando se completa la prueba, proporciona orientación sobre cómo solucionar los problemas encontrados.

Sus desarrolladores e ingenieros de seguridad pueden trabajar con Probely a través de su interfaz de usuario intuitiva. Pero si necesita potencia y flexibilidad, puede confiar en su API con todas las funciones, ya que siguen un enfoque de desarrollo basado en API. Su API proporciona todas las funciones que ve en la interfaz de usuario, lo que le permite integrar Probely en un Canalización de CI / CD, herramienta de gestión de vulnerabilidades, orquestador o rastreador de problemas. Si usa los populares, es posible que tenga una integración lista para usar. Este es el caso de herramientas como JIRA, Jenkins, Azure DevOps, DefectDojo, CircleCI y Slack. Pero si desarrolló su propio rastreador u orquestador de problemas, entonces la API es el camino a seguir.

Cobertura, rastreo y precisión

Probely usa un araña de próxima generación para navegar aplicaciones Javascript ricas de la misma manera que lo haría un navegador normal, lo que da como resultado una excelente cobertura del sitio, lo cual es un problema para muchas otras herramientas DAST. Esta araña es ideal para aplicaciones de una sola página, como las basadas en reaccionar o angular JS.

Tenga en cuenta que un escáner solo puede identificar vulnerabilidades en las páginas que se encontraron. Por lo tanto, una buena araña es de suma importancia.

Probely también ofrece diferentes perfiles de escaneo, según el entorno que desee probar. Puede establecer un perfil de escaneo menos intrusivo si desea escanear su entorno de producción. Si está probando su entorno de control de calidad, puede establecer un perfil más completo para escaneos más completos. Al probar un entorno de preproducción, puede identificar y corregir vulnerabilidades antes de implementar la aplicación en producción.

Informes

Aunque Probely detecta una extensa lista de vulnerabilidades, se enfoca en reportar lo que es relevante y sin falsos positivos. Para ciertas clases de vulnerabilidades, proporciona evidencia de que la vulnerabilidad es real, lo que ahorra tiempo a su equipo para validar si las vulnerabilidades son reales y relevantes.

Probely proporciona informes completos desde la interfaz, pero también puede sincronizar la información de vulnerabilidades con un rastreador de problemas o una herramienta de administración de vulnerabilidades, lo que le permite adaptar Probely a su seguridad y desarrollo existentes. workflows.

Probely puede probar su software contra vulnerabilidades como las enumeradas en OWASP TOP 10 y mucho más. También puede ayudarlo a lograr el cumplimiento al verificar los requisitos específicos de PCI-DSS, GDPR, HIPAA e ISO270-01.

Tomado del informe OWASP TOP 10, tendrá de un vistazo lo que está mal con respecto a este cumplimiento.

Interfaz

La interfaz es simple y fácil de navegar, lo que le permite ponerse en marcha rápidamente. La edición Enterprise le permite controlar usuarios, roles y establecer roles personalizados. También puede usar etiquetas para organizar usuarios, activos y vulnerabilidades para administrar su seguridad de aplicaciones web mejor. Dado que todas las funciones están disponibles a través de la API, puede integrar fácilmente Probely en sus otras aplicaciones y procesos de seguridad empresarial.

Si usa Jira o Azure Boards, puede configurar Probely para que envíe automáticamente todas las vulnerabilidades a su rastreador de problemas. Cuando el desarrollador corrige y cierra el problema en el rastreador de problemas, se activará automáticamente una nueva prueba en Probely, que comprobará si la vulnerabilidad se ha solucionado correctamente. Si no es así, el problema se vuelve a abrir en el rastreador de problemas. Esto permite que su equipo de desarrollo maneje un informe de vulnerabilidad como cualquier otro error, directamente en el rastreador de problemas, sin siquiera usar la interfaz de Probely. Bien, ¿eh? 🙂

Getting started 🚀

Para mis propósitos de prueba, estaba usando La empresa de Probely edición.

También ofrecen una edición estándar y diferentes planes para elegir, incluido un plan gratuito. En el plan gratuito, el escaneo solo prueba tres clases de vulnerabilidades: banderas de cookies, encabezados de seguridady problemas de SSL / TLS. El plan Pro ofrece la mayoría de las funciones y se centra en las pymes y las organizaciones que tienen cinco o menos objetivos para escanear.

La edición Enterprise se centra en organizaciones que tienen una gran cantidad de objetivos e incluye características adicionales como las que son comunes en el software empresarial: usuarios, grupos, roles y permisos. También le permite escanear objetivos internos (en su red privada) instalando un agente que se proporciona.

Agregar un objetivo

Agregar un objetivo es fácil. Una vez que inicie sesión con su cuenta, debe navegar a la página Objetivos y hacer clic en Agregar. Luego, proporcione un nombre, una URL y una o más etiquetas (es decir, Pruebas, Producción, Desarrollo, etc.) para el nuevo objetivo. Para permitir que Probely escanee este objetivo como una API independiente sin una aplicación web compatible, debe marcar la opción correspondiente para identificarlo como un objetivo de API.

Si su objetivo no está expuesto en Internet e instaló un agente Probely en su red privada, puede seleccionar qué agente usar mientras agrega un objetivo.

Después de agregar un objetivo, debe validar su propiedad porque Probely necesita evidencia de que tiene los privilegios necesarios para ejecutar un escaneo en él. Hay dos métodos alternativos para validar el objetivo: cargar un archivo con el contenido proporcionado en la raíz del objetivo o agregar una entrada TXT a su registro DNS, con el nombre del dominio y algún contenido de registro específico. Una vez que se valida el objetivo, está listo para escanearlo con solo presionar el botón Escanear.

Puede verificar el progreso y el estado de un escaneo navegando a la pestaña Escaneos en el panel de Probely. Esta página le mostrará cuándo comenzó el escaneo y qué encontró hasta ahora. Los hallazgos están coloreados por gravedad, por lo que puede ver de un vistazo si hay problemas críticos que deben abordarse de inmediato.

Si su sitio web tiene una página de inicio de sesión y desea que Probely realice un escaneo detrás de ella, debe proporcionar credenciales que le permitan rastrear el sitio como un usuario autenticado. Probely admite la mayoría de los métodos de autenticación para las páginas de inicio de sesión.

Escaneando una API

Para escanear un objetivo de API, Probely necesita que proporciones su esquema. Puede hacer esto cuando agrega un destino de API, ya sea proporcionando la URL del esquema de OpenAPI o cargando el esquema si lo guardó anteriormente como un archivo local. La opción de URL le permite a Probely buscar el esquema antes de cada escaneo, asegurando que siempre funcione con la última versión de su esquema.

También hay diferentes opciones en términos de métodos de autenticación para el acceso a la API. Probely admite no solo tokens estáticos, sino que también permite la configuración de autenticación dinámica al escanear API. Puede configurar un punto final de inicio de sesión donde Probely pueda obtener un token de autenticación, o puede configurar un encabezado personalizado con una clave de API fija en él. También puede proporcionar valores de parámetros personalizados que Probely usará para los que se encuentran en el esquema.

Una vez que termine de configurar la autenticación y los parámetros de la API, puede iniciar el escaneo presionando el botón Escanear ahora. Después de unos segundos, podrá seguir el progreso del análisis en la misma página del análisis. Cuando finaliza el análisis, puede descargar un informe de cobertura que muestra todos los puntos finales encontrados y cada código de respuesta. Este informe también le dirá si hubo puntos finales fallidos.

Comprobando sus hallazgos

La página de resultados muestra los resultados del análisis tan pronto como se encuentran, incluso cuando los análisis están en curso. Cada hallazgo muestra una gravedad (alta, media o baja), el destino y la URL correspondientes, la descripción del hallazgo, la hora y fecha en que se encontró, su estado (fijo o no fijo) y el cesionario, y si afecta a PCI. Cumplimiento de DSS u OWASP.

Además de mantenerlo informado sobre las vulnerabilidades detectadas, la página de resultados también es útil para asignar vulnerabilidades a su equipo para que las corrija. Para hacerlo, haga clic en la casilla de verificación de la izquierda y seleccione el cesionario en un menú desplegable.

Probely también proporciona información sobre cómo solucionar las vulnerabilidades que se han encontrado. Junto con estas instrucciones, puede ver la solicitud y la respuesta completas, y la evidencia.

En la página del Panel, puede ver varios gráficos que resumen el riesgo de seguridad de los objetivos escaneados. Los gráficos muestran tendencias en diferentes métricas interesantes, como las puntuaciones de riesgo, el tiempo medio para solucionar problemas y los niveles de gravedad. También puede echar un vistazo a los sitios que requieren más atención y una clasificación de las 5 principales vulnerabilidades con mayor incidencia.

Finalmente, en la página de Integraciones, puede configurar Probely para que se integre con muchas herramientas diferentes para administrar proyectos, comunicación de equipo, seguimiento de problemas y más. Las integraciones disponibles incluyen Azure Boards, DefectDojo, Slack, Jira, Jenkins y CircleCI.

Una herramienta para desarrolladores y equipos de seguridad.

Para los equipos de desarrollo ágiles, el tiempo de comercialización es una prioridad absoluta. Todo lo que pueda hacer para minimizar el tiempo que tarda su software en entrar en producción sin comprometer la calidad es muy bienvenido. Probely ofrece precisamente eso: una forma rentable de mejorar la seguridad de sus sitios web y API, lo que le ayuda a cumplir sus promesas relacionadas con la programación y ofrecer productos de software de alta calidad.

Para los equipos de seguridad, Probely le proporciona una plataforma para proteger sus aplicaciones web y administrar las vulnerabilidades que requieren reparación. También le permite descargar algunas de las pruebas de seguridad directamente a los equipos de desarrollo mientras tiene un rol de supervisión.

Probely ofrece pruebas gratuitas, licencias de evaluación empresarial y demostraciones de productos. Contacto probablemente para comenzar.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • invicti
    Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Datos brillantes
    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush
    Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder