Étant donné qu'environ un tiers de toutes les violations connues sont le résultat direct d'une attaque réussie d'une application Web, il est primordial de tester la sécurité de vos applications Web et de vos API.

Non seulement vous devez vous assurer que vos applications Web sont sécurisées pour des raisons réglementaires, mais vous (devriez) également vous soucier des données de vos clients et de l'exposition aux risques de votre entreprise.

Vous avez certainement de nombreuses options pour sécuriser vos applications Web, toutes avec leurs avantages et leurs inconvénients. Certaines solutions reposent sur l'identification des problèmes de sécurité dans le code source de vos applications. D'autres protègent vos applications contre les attaques. Et d'autres s'appuient sur le test dynamique de la sécurité de vos applications Web au moment de l'exécution, comme le ferait un pirate informatique.

Cet article se concentre sur ce dernier cas, à savoir sur Probablement. Ce qui rend Probely intéressant par rapport aux autres, c'est qu'il aborde deux des principaux problèmes des scanners de vulnérabilités Web: la couverture de numérisation des applications Web modernes et la qualité des résultats.

Il existe probablement deux éditions différentes: une version en libre-service destinée aux PME et une autre destinée aux entreprises ou entreprises disposant de nombreuses applications Web et API.

Probely se concentre sur la fourniture d'une couverture exceptionnelle dans les environnements de développement modernes et l'élimination des faux positifs avec les résultats de l'analyse basée sur des preuves tout en vous permettant d'intégrer l'analyse DAST dans votre cycle de vie de développement.

Trop beau pour être vrai?

Lisez la suite pour en savoir plus sur mon analyse de Probely.

What exactly does Probely do?

Avec les développeurs et chaque taille d'entreprise à l'esprit, teste probablement votre applications et Apis, en les analysant pour trouver les problèmes de sécurité et les vulnérabilités. Une fois le test terminé, il fournit des conseils sur la façon de résoudre les problèmes détectés.

Vos développeurs et ingénieurs en sécurité peuvent travailler avec Probely via son interface utilisateur intuitive. Mais si vous avez besoin de puissance et de flexibilité, vous pouvez compter sur leur API complète puisqu'elles suivent une approche de développement API-first. Leur API fournit toutes les fonctionnalités que vous voyez sur l'interface utilisateur, vous permettant d'intégrer Probely dans un Pipeline CI / CD, outil de gestion des vulnérabilités, orchestrateur ou suivi des problèmes. Si vous utilisez les plus populaires, vous pourriez avoir une intégration prête à l'emploi. C'est le cas des outils tels que JIRA, Jenkins, Azure DevOps, DefectDojo, CircleCI et Slack. Mais si vous avez développé votre propre outil de suivi des problèmes ou orchestrateur, l'API est la solution.

Couverture, exploration et précision

Utilise probablement un araignée de nouvelle génération pour naviguer dans les applications Javascripts riches de la même manière qu'un navigateur normal, ce qui se traduit par une excellente couverture du site, ce qui est un problème pour de nombreux autres outils DAST. Cette araignée est idéale pour les applications à page unique, telles que celles basées sur Réagir ou angulaire JS.

Gardez à l'esprit qu'un scanner ne peut identifier les vulnérabilités que dans les pages qui ont été trouvées. Par conséquent, une bonne araignée est de la plus haute importance.

Probely propose également différents profils de numérisation, en fonction de l'environnement que vous souhaitez tester. Vous pouvez définir un profil d'analyse moins intrusif si vous souhaitez analyser votre environnement de production. Si vous testez votre environnement QA, vous pouvez définir un profil plus complet pour des analyses plus complètes. En testant un environnement de pré-production, vous pouvez identifier et corriger les vulnérabilités avant de déployer l'application en production.

Signalement:

Bien que Probely détecte une longue liste de vulnérabilités, il se concentre sur le signalement de ce qui est pertinent et sans faux positifs. Pour certaines classes de vulnérabilités, il fournit la preuve que la vulnérabilité est réelle, ce qui fait gagner du temps à votre équipe pour valider si les vulnérabilités sont réelles et pertinentes.

Probely fournit des rapports complets à partir de l'interface, mais il peut également synchroniser les informations de vulnérabilité avec un outil de suivi des problèmes ou de gestion des vulnérabilités, vous permettant d'intégrer Probely dans vos flux de travail de sécurité et de développement existants.

Peut probablement tester votre logiciel contre des vulnérabilités telles que celles répertoriées dans le TOP 10 de l'OWASP et bien plus encore. Il peut également vous aider à atteindre la conformité en vérifiant les exigences spécifiques de PCI-DSS, GDPR, HIPAA et ISO270-01.

Tiré du rapport OWASP TOP 10, vous aurez un aperçu de ce qui ne va pas concernant cette conformité.

Interfaces

L'interface est simple et facile à naviguer, vous permettant d'être rapidement opérationnel. L'édition Enterprise vous permet de contrôler les utilisateurs, les rôles et de définir des rôles personnalisés. Vous pouvez également utiliser des libellés pour organiser les utilisateurs, les ressources et les vulnérabilités afin de gérer votre sécurité des applications Web mieux. Étant donné que toutes les fonctionnalités sont disponibles via l'API, vous pouvez facilement intégrer Probely dans vos autres applications et processus de sécurité d'entreprise.

Si vous utilisez Jira ou Azure Boards, vous pouvez configurer Probely pour envoyer automatiquement toutes les vulnérabilités à votre outil de suivi des problèmes. Lorsque le développeur corrige et ferme le problème sur le suivi des problèmes, il déclenchera automatiquement un nouveau test sur Probely, qui vérifiera si la vulnérabilité est correctement corrigée. Si ce n'est pas le cas, le problème est rouvert sur l'outil de suivi des problèmes. Cela permet à votre équipe de développement de gérer un rapport de vulnérabilité comme n'importe quel autre bogue, directement sur le suivi des problèmes, sans même utiliser l'interface de Probely. Bien, hein? 🙂

Getting started 🚀

Pour mes tests, j'utilisais L'entreprise de Probely édition.

Ils offrent également une édition standard et différents plans au choix, y compris un plan gratuit. Dans le plan gratuit, l'analyse ne teste que trois classes de vulnérabilités: les indicateurs de cookies, en-têtes de sécuritéet les problèmes SSL / TLS. Le plan Pro offre la plupart des fonctionnalités et se concentre sur les PME et les organisations ayant cinq cibles ou moins à analyser.

L'édition Entreprise se concentre sur les organisations qui ont un grand nombre de cibles et inclut des fonctionnalités supplémentaires telles que celles qui sont courantes dans les logiciels d'entreprise: utilisateurs, groupes, rôles et autorisations. Il vous permet également d'analyser les cibles internes (sur votre réseau privé) en installant un agent fourni.

Ajouter une cible

L'ajout d'une cible est simple. Une fois connecté avec votre compte, vous devez accéder à la page Cibles et cliquer sur Ajouter. Ensuite, vous fournissez un nom, une URL et un ou plusieurs libellés - c'est-à-dire, Test, Production, Développement, etc. - pour la nouvelle cible. Pour permettre à Probely d'analyser cette cible en tant qu'API autonome sans application Web de prise en charge, vous devez cocher l'option correspondante pour l'identifier en tant que cible API.

Si votre cible n'est pas exposée sur Internet et que vous avez installé un agent Probely sur votre réseau privé, vous pouvez sélectionner l'agent à utiliser lors de l'ajout d'une cible.

Après avoir ajouté une cible, vous devez valider sa propriété car il vous faut probablement la preuve que vous disposez des privilèges nécessaires pour exécuter une analyse sur celle-ci. Il existe deux méthodes alternatives pour valider la cible: charger un fichier avec le contenu fourni à la racine de la cible ou ajouter une entrée TXT à votre enregistrement DNS, avec le nom du domaine et un contenu d'enregistrement spécifique. Une fois la cible validée, vous êtes prêt à la scanner en appuyant simplement sur le bouton Scan.

Vous pouvez vérifier la progression et l'état d'une analyse en accédant à l'onglet Analyses sur le tableau de bord de Probely. Cette page vous montrera quand l'analyse a commencé et ce qu'elle a trouvé jusqu'à présent. Les résultats sont colorés en fonction de leur gravité, ce qui vous permet de voir d'un coup d'œil s'il existe des problèmes critiques qui doivent être résolus immédiatement.

Si votre site Web a une page de connexion et que vous souhaitez que Probely effectue une analyse derrière celle-ci, vous devez fournir des informations d'identification qui lui permettent d'explorer le site en tant qu'utilisateur authentifié. Prend probablement en charge la plupart des méthodes d'authentification pour les pages de connexion.

Analyse d'une API

Pour analyser une cible API, Probely a besoin de vous pour fournir son schéma. Vous faites cela lorsque vous ajoutez une cible API, soit en fournissant l'URL du schéma OpenAPI, soit en téléchargeant le schéma si vous l'avez précédemment enregistré en tant que fichier local. L'option URL permet à Probely de récupérer le schéma avant chaque analyse, garantissant qu'il fonctionne toujours avec la dernière version de votre schéma.

Il existe également différentes options en termes de méthodes d'authentification pour l'accès aux API. Prend probablement en charge non seulement les jetons statiques, mais permet également la configuration de l'authentification dynamique lors de l'analyse des API. Vous pouvez configurer un point de terminaison de connexion où Probely peut obtenir un jeton d'authentification, ou vous pouvez définir un en-tête personnalisé avec une clé API fixe. Vous pouvez également fournir des valeurs de paramètre personnalisées que Probely utilisera pour celles trouvées dans le schéma.

Une fois que vous avez terminé de configurer l'authentification et les paramètres API, vous pouvez démarrer l'analyse en appuyant sur le bouton Analyser maintenant. Après quelques secondes, vous pourrez suivre la progression de l'analyse sur la même page d'analyse. À la fin de l'analyse, vous pouvez télécharger un rapport de couverture qui affiche tous les points de terminaison trouvés et chaque code de réponse. Ce rapport indiquera également s'il y avait des points de terminaison défaillants.

Vérifier vos résultats

La page des résultats affiche les résultats de l'analyse dès qu'ils sont trouvés, même lorsque les analyses sont en cours. Chaque découverte montre une gravité (élevée, moyenne ou faible), la cible et l'URL correspondantes, la description de la découverte, l'heure et la date à laquelle elle a été trouvée, son état (fixe ou non fixe) et son destinataire, et si elle affecte PCI- Conformité DSS ou OWASP.

En plus de vous tenir informé des vulnérabilités détectées, la page de résultats est également utile pour attribuer des vulnérabilités à votre équipe à corriger. Pour ce faire, vous cliquez sur la case à cocher à gauche et sélectionnez le cessionnaire dans un menu déroulant.

Probablement fournit également des informations sur la façon de corriger les vulnérabilités qui ont été trouvées. Avec ces instructions, vous pouvez voir la demande et la réponse complètes, ainsi que les preuves.

Sur la page Tableau de bord, vous pouvez voir divers graphiques qui résument les risques de sécurité des cibles analysées. Les graphiques montrent les tendances de différentes mesures intéressantes, telles que les scores de risque, le temps moyen de résolution des problèmes et les niveaux de gravité. Vous pouvez également consulter les sites qui nécessitent le plus d'attention et le top 5 des vulnérabilités avec l'incidence la plus élevée.

Enfin, sur la page Intégrations, vous pouvez configurer Probely pour l'intégrer à de nombreux outils différents pour gérer les projets, la communication d'équipe, le suivi des problèmes, etc. Les intégrations disponibles incluent Azure Boards, DefectDojo, Slack, Jira, Jenkins et CircleCI.

Un outil pour les développeurs et les équipes de sécurité

Pour les équipes de développement agiles, le time-to-market est une priorité absolue. Tout ce que vous pouvez faire pour minimiser le temps nécessaire à la mise en production de votre logiciel sans compromettre la qualité est le bienvenu. C'est probablement ce que propose Probely - un moyen rentable d'améliorer la sécurité de vos sites Web et de vos API, vous aidant à tenir vos promesses liées au calendrier et à fournir des produits logiciels de haute qualité.

Pour les équipes de sécurité, Probely met à votre disposition une plateforme pour sécuriser vos applications web et gérer les vulnérabilités qui nécessitent une correction. Il vous permet également de décharger certains des tests de sécurité directement aux équipes de développement tout en ayant un rôle de supervision.

Probely propose des essais gratuits, des licences d'évaluation d'entreprise et des démonstrations de produits. Contact Probablement pour commencer.