Con aproximadamente un tercio de todas las infracciones conocidas como el resultado directo de un ataque exitoso en una aplicación web, es fundamental probar la seguridad de sus aplicaciones web y API.
No solo debe asegurarse de que sus aplicaciones web sean seguras por razones regulatorias, sino que también (debe) que también se preocupe por los datos de su cliente y la exposición de su empresa.
Ciertamente tiene muchas opciones cuando se trata de asegurar sus aplicaciones web, con sus pros y contras. Algunas soluciones se basan en identificar problemas de seguridad en el código fuente de sus aplicaciones. Otros protegen sus aplicaciones de los ataques. Y otros confían en probar dinámicamente la seguridad de sus aplicaciones web en tiempo de ejecución, tal como lo haría un hacker.
El enfoque de este artículo está en el último caso, a saber, probable. Lo que hace que sea probable en comparación con otros es que resuelve dos problemas principales de escáneres de vulnerabilidad web: la cobertura de escaneo de aplicaciones web modernas y la calidad de los resultados.
Probely tiene dos versiones diferentes: una versión de autoservicio diseñada para SMB, y otra diseñada para empresas o empresas con múltiples aplicaciones web y API.
Probablemente se centra en proporcionar una cobertura excepcional de los entornos de desarrollo modernos y eliminar los falsos positivos con resultados de escaneo basados en evidencia, lo que le permite integrar el escaneo DAST en su ciclo de vida de desarrollo.
¿Demasiado bueno para ser verdad?
Siga leyendo para aprender sobre mi análisis de probable.
¿Qué hace probable exactamente?
Teniendo en cuenta a los desarrolladores y empresas de todos los tamaños, prueba probablemente sus aplicaciones y API, escaneándolos para encontrar problemas de seguridad y vulnerabilidades. Cuando se completa las pruebas, proporciona recomendaciones sobre cómo solucionar los problemas que encuentra.
Sus desarrolladores e ingenieros de seguridad pueden trabajar con probabilidad a través de una interfaz de usuario intuitiva. Pero si necesita energía y flexibilidad, puede confiar en su API con todas las funciones, ya que siguen un enfoque de desarrollo de API-First. Su API proporciona todas las características que ve en la interfaz de usuario, lo que le permite integrar probablemente en una tubería CI/CD, herramienta de gestión de vulnerabilidades, orquestador o rastreador de problemas. Si usa los populares, puede tener una integración incorporada. Esto incluye herramientas como Jira, Jenkins, Azure DevOps, Defectdojo, Circleci y Slack. Pero si ha desarrollado su propio rastreador u orquestador de problemas, entonces las API son el camino a seguir.
Cobertura, escaneo y precisión
Probely utiliza una araña de próxima generación para navegar en ricas aplicaciones JavaScript al igual que un navegador normal, que proporciona una cobertura de sitio superior, que es un desafío para muchas otras herramientas DAST. Esta araña es ideal para aplicaciones de una sola página, como las basadas en React o Angular JS.
Tenga en cuenta que el escáner solo puede identificar vulnerabilidades en las páginas que ha encontrado. Por lo tanto, una buena araña es de suma importancia.
Probey también ofrece diferentes perfiles de escaneo, dependiendo del entorno que desee probar. Puede establecer un perfil de escaneo menos intrusivo si desea escanear un entorno de producción. Si está probando su entorno de control de calidad, puede configurar un perfil más completo para un escaneo más completo. Al probar su entorno de preproducción, puede identificar y remediar vulnerabilidades antes de implementar la aplicación en su entorno de producción.
Informes
Si bien es probable que detecta una extensa lista de vulnerabilidades, se centra en informar lo que es importante y sin falsos positivos. Para ciertas clases de vulnerabilidades, proporciona evidencia de que la vulnerabilidad es real, ahorrando el tiempo de su equipo para verificar si las vulnerabilidades son reales y relevantes.
Probenty proporciona informes avanzados desde la interfaz, pero también puede sincronizar la información de vulnerabilidad con un sistema de seguimiento de problemas o una herramienta de gestión de vulnerabilidades, lo que le permite desarrollar probablemente sus flujos de trabajo de seguridad y desarrollo existentes.
Probamente puede probar su software para las vulnerabilidades enumeradas en el Top 10 y muchos otros OWASP. También puede ayudarlo a alcanzar el cumplimiento al verificar los requisitos específicos de PCI-DSS, GDPR, HIPAA y ISO270-01.
Tomado del informe de OWASP Top 10, se dará cuenta de inmediato de lo que está mal con este cumplimiento.
Interfaz
La interfaz es simple y fácil de navegar, lo que le permite ponerse en funcionamiento rápidamente. Enterprise Edition le permite administrar usuarios, roles y configurar roles personalizados. También puede usar etiquetas para organizar usuarios, activos y vulnerabilidades para administrar mejor la seguridad de su aplicación web. Debido a que todas las características están disponibles a través de API, puede integrar fácilmente las otras aplicaciones y procesos de seguridad de su empresa.
Si usa JIRA o tableros de Azure, puede configurar probablemente enviar automáticamente todas las vulnerabilidades al sistema de seguimiento de problemas. Cuando un desarrollador soluciona y cierra un problema en el sistema de seguimiento de problemas, automáticamente ejecuta una nueva prueba en probabilidad de que verifique si la vulnerabilidad se aborda correctamente. Si no, el problema se reabre en el sistema de seguimiento de problemas. Esto permite a su equipo de desarrollo manejar el informe de vulnerabilidad, como cualquier otro error, directamente en el sistema de seguimiento de problemas, sin siquiera usar la interfaz probable. Hermoso, ¿no es 🙂 🙂?
Comenzando 🚀
Para fines de prueba, utilicé la versión empresarial de Probely.
También ofrecen una versión estándar y varios planes para elegir, incluido un plan gratuito. En el plan gratuito, los escaneos solo verifican tres clases de vulnerabilidades: banderas de galletas, encabezados de seguridad y problemas SSL/TLS. El plan Pro ofrece la mayoría de las funciones y está dirigida a SMB y organizaciones con cinco o menos objetivos para escanear.
La edición Enterprise está dirigida a organizaciones con más objetivos e incluye características adicionales como las comunes en el software empresarial: usuarios, grupos, roles y permisos. También le permite escanear objetivos internos (en su red privada) instalando el agente provisto.
Agregar un objetivo
Agregar un objetivo es fácil. Una vez que haya iniciado sesión en su cuenta, debe ir a la página de objetivos y hacer clic en «Agregar». Luego proporciona un nombre, URL y una o más etiquetas, por ejemplo, «prueba», «producción», «desarrollo», etc., para el nuevo objetivo. Para que probablemente escanee este objetivo como una API independiente sin una aplicación web de soporte, debe verificar el cuadro apropiado para identificarlo como un objetivo API.
Si su objetivo no está disponible en la web y ha instalado un agente probable en su red privada, puede elegir qué agente usar al agregar el objetivo.
Después de agregar un objetivo, debe verificar su propiedad porque probable necesita pruebas de que tenga los privilegios necesarios para ejecutar escaneos en él. Existen dos métodos alternativos para verificar el objetivo: cargar un archivo con el contenido proporcionado a la raíz del objetivo, o agregar un registro TXT a su registro DNS con el nombre de dominio y el contenido de registro definido. Una vez que el objetivo está validado, está listo para escanearlo simplemente haciendo clic en el botón «Escanear».
Puede verificar el progreso y el estado de un escaneo haciendo clic en la pestaña Escanear en la barra de herramientas probable. Esta página le mostrará cuándo comenzó el escaneo y lo que ya ha detectado. Los resultados están coloreados por severidad, por lo que puede ver de inmediato si hay problemas críticos que deben abordarse de inmediato.
Si su sitio web tiene una página de inicio de sesión y desea escanearlo, debe proporcionar credenciales que le permitan escanear el sitio como un usuario autenticado. Probey admite la mayoría de los métodos de autenticación para páginas de inicio de sesión.
Exploración de API
Para escanear un objetivo de API, Probely necesita que proporcione su esquema. Hace esto cuando agrega un objetivo API, ya sea proporcionando la URL del esquema de OpenApi o descargando el esquema si lo guardó previamente como un archivo local. La opción URL permite que probablemente recupere el esquema antes de cada escaneo, asegurando que siempre ejecute la última versión de su esquema.
También hay diferentes opciones para métodos de autenticación para el acceso a la API. Probablemente admite no solo tokens estáticos, sino que también le permite configurar la autenticación dinámica al escanear la API. Puede configurar un punto final de entrada donde probable puede recuperar el token de autenticación, o puede establecer un encabezado personalizado con una clave API fija. También puede especificar valores de parámetros personalizados que probablemente utilizará para los parámetros encontrados en el esquema.
Una vez que haya terminado de configurar los parámetros de autenticación y API, puede comenzar a escanear haciendo clic en el botón «Escanear ahora». Después de unos segundos, podrá monitorear el progreso del escaneo en la misma página de escaneo. Una vez que se completa el escaneo, puede descargar un informe de cobertura que muestra todos los puntos finales encontrados y cada código de respuesta. Este informe también indicará si hubo puntos finales con una falla.
Verificar sus hallazgos
La página de resultados muestra los resultados del escaneo tan pronto como se encuentran, incluso si un escaneo está en progreso. Cada descubrimiento muestra el nivel de gravedad (alto, medio o bajo), el objetivo y la URL correspondientes, una descripción del descubrimiento, la hora y la fecha en que se descubrió, su estado (fijo o no fijo) y asignado, y si es así. Afecta el cumplimiento de PCI DSS o OWASP.
Además de informarle sobre las vulnerabilidades detectadas, la página de resultados también es útil para asignar vulnerabilidades a su equipo para su remediación. Para hacer esto, marque la casilla a la izquierda y seleccione el asignado en el menú desplegable.
Probablemente también proporciona información sobre cómo solucionar las vulnerabilidades encontradas. Junto con estas instrucciones, puede ver la solicitud y la respuesta completa, así como las pruebas.
En la página del tablero, puede ver varios gráficos que resumen los riesgos de seguridad de los objetivos escaneados. Los gráficos muestran tendencias en varias métricas interesantes, como puntajes de riesgo, tiempo promedio para solucionar problemas y niveles de gravedad. También puede ver los sitios que requieren la mayor atención y la clasificación de las 5 mejores vulnerabilidades con la mayor frecuencia.
Finalmente, en la página de integraciones, puede configurar probablemente integrarse con muchas herramientas diferentes para la gestión de proyectos, la comunicación del equipo, el seguimiento de problemas y más. Las integraciones disponibles incluyen tableros de Azure, Defectdojo, Slack, Jira, Jenkins y Circleci.
Una herramienta para desarrolladores y profesionales de seguridad
Para los equipos de desarrollo ágil, el tiempo de mercado es una prioridad. Cualquier cosa que pueda hacer para minimizar el tiempo que lleva hacer que su software esté en producción, sin sacrificar la calidad, es bienvenido. Probely ofrece exactamente eso: una forma rentable de mejorar la seguridad de sus sitios web y API, ayudándole a cumplir sus promesas de horario y entregar productos de software de alta calidad.
Para los equipos de seguridad, Probely proporciona una plataforma para proteger sus aplicaciones web y administrar vulnerabilidades que deben abordarse. También le permite delegar algunas pruebas de seguridad directamente a sus equipos de desarrollo, al tiempo que cumple con un rol de supervisión.
Probely ofrece pruebas gratuitas, licencias de evaluación empresarial y demostraciones de productos. Póngase en contacto con Proby para comenzar.
