Una herramienta de prueba de seguridad de aplicaciones dinámicas (DAST) es un programa que se comunica con una aplicación web a través del front-end web para identificar posibles vulnerabilidades de seguridad en la aplicación web y debilidades arquitectónicas. [1] Realiza una prueba de caja negra . A diferencia de las herramientas de prueba de seguridad de aplicaciones estáticas, las herramientas DAST no tienen acceso al código fuente y, por lo tanto, detectan vulnerabilidades al realizar ataques.
Las herramientas DAST permiten análisis sofisticados y detectan vulnerabilidades con interacciones mínimas del usuario una vez configuradas con el nombre de host, los parámetros de rastreo y las credenciales de autenticación. Estas herramientas intentarán detectar vulnerabilidades en cadenas de consulta, encabezados, fragmentos, verbos (GET / POST / PUT) e inyección DOM.
Los clientes se benefician de la conveniencia de estas aplicaciones, mientras tácitamente asumen el riesgo de que la información privada almacenada en las aplicaciones web se vea comprometida a través de ataques de piratas informáticos y filtraciones de información privilegiada. Según el Privacy Rights Clearinghouse, más de 18 millones de registros de clientes se han visto comprometidos en 2012 debido a controles de seguridad insuficientes en los datos corporativos y las aplicaciones web. [2]
Descripción general
Las herramientas DAST facilitan la revisión automatizada de una aplicación web con el propósito expreso de descubrir vulnerabilidades de seguridad y deben cumplir con varios requisitos reglamentarios. Los escáneres de aplicaciones web pueden buscar una amplia variedad de vulnerabilidades, como la validación de entrada / salida: (por ejemplo , secuencias de comandos entre sitios e inyección SQL ), problemas de aplicaciones específicas y errores de configuración del servidor.
En un informe protegido por derechos de autor publicado en marzo de 2012 por el proveedor de seguridad Cenzic, las vulnerabilidades de aplicación más comunes en aplicaciones probadas recientemente incluyen: [3]
37% | Secuencias de comandos entre sitios |
dieciséis% | inyección SQL |
5% | Divulgación de ruta |
5% | Negación de servicio |
4% | Ejecución de código |
4% | Corrupción de la memoria |
4% | Falsificación de solicitudes entre sitios |
3% | Divulgación de información |
3% | Archivo arbitrario |
2% | Inclusión de archivos locales |
1% | Inclusión de archivos remotos |
1% | Desbordamiento de búfer |
15% | Otro ( inyección PHP , inyección Javascript , etc.) |
Escáneres comerciales y de código abierto
Los escáneres comerciales son una categoría de herramientas de evaluación web que deben comprarse a un precio específico (generalmente bastante alto). Algunos escáneres incluyen algunas funciones gratuitas, pero la mayoría debe comprarse para tener acceso completo a la potencia de la herramienta.
Y los escáneres de código abierto son otra clase que son gratuitos por naturaleza. Son los mejores de la categoría ya que su código fuente es abierto y el usuario llega a saber lo que está sucediendo a diferencia de los escáneres comerciales.
El investigador de seguridad Shay Chen ha compilado previamente una lista exhaustiva de escáneres de seguridad de aplicaciones web comerciales y de código abierto. [4] La lista también destaca cómo se desempeñó cada uno de los escáneres durante sus pruebas de evaluación comparativa con el WAVSEP.
La plataforma WAVSEP está disponible públicamente y se puede utilizar para evaluar los diversos aspectos de los escáneres de aplicaciones web: soporte tecnológico, rendimiento, precisión, cobertura y consistencia de resultados. [5]
Puntos fuertes de DAST
Estas herramientas pueden detectar vulnerabilidades de las versiones candidatas a la versión finalizada antes del envío. Los escáneres simulan un usuario malintencionado atacando y sondeando, identificando resultados que no forman parte del conjunto de resultados esperado, lo que permite una simulación de ataque realista. [6] La gran ventaja de este tipo de herramientas es que pueden escanear durante todo el año para buscar vulnerabilidades constantemente. Con el descubrimiento regular de nuevas vulnerabilidades, esto permite a las empresas encontrar y corregir vulnerabilidades antes de que puedan ser explotadas. [7]
Como herramienta de prueba dinámica, los escáneres web no dependen del idioma. Un escáner de aplicaciones web puede escanear aplicaciones web impulsadas por motores. Los atacantes usan las mismas herramientas, por lo que si las herramientas pueden encontrar una vulnerabilidad, también pueden hacerlo los atacantes.
Debilidades de DAST
Mientras se escanea con una herramienta DAST, los datos se pueden sobrescribir o se pueden inyectar cargas maliciosas en el sitio en cuestión. Los sitios deben escanearse en un entorno de producción pero no productivo para garantizar resultados precisos mientras se protegen los datos en el entorno de producción.
Debido a que la herramienta está implementando un método de prueba dinámico , no puede cubrir el 100% del código fuente de la aplicación y luego, la aplicación en sí. El probador de penetración debe observar la cobertura de la aplicación web o de su superficie de ataque para saber si la herramienta se configuró correctamente o pudo comprender la aplicación web.
La herramienta no puede implementar todas las variantes de ataques para una vulnerabilidad determinada. Por lo tanto, las herramientas generalmente tienen una lista predefinida de ataques y no generan las cargas útiles del ataque según la aplicación web probada. Algunas herramientas también son bastante limitadas en su comprensión del comportamiento de aplicaciones con contenido dinámico como JavaScript y Flash .
Un informe de 2012 encontró que las principales tecnologías de aplicaciones ignoradas por la mayoría de los escáneres de aplicaciones web incluyen JSON (como jQuery ), REST y Google WebToolkit en aplicaciones AJAX , Flash Remoting (AMF) y HTML5 , así como aplicaciones móviles y servicios web que utilizan JSON y REST. Tecnologías XML-RPC y SOAP utilizadas en servicios web y flujos de trabajo complejos como carrito de compras y tokens XSRF / CSRF . [8] [9]
Referencias
- ^ Criterios de evaluación del escáner de seguridad de aplicaciones web versión 1.0 , WASC, 2009
- ^ "Cronología de violaciones de datos" . Cámara de compensación de derechos de privacidad. 9 de julio de 2012 . Consultado el 9 de julio de 2012 .
- ^ "Informe de tendencias 2012: riesgos de seguridad de las aplicaciones" . Cenzic, Inc. 11 de marzo de 2012. Archivado desde el original el 17 de diciembre de 2012 . Consultado el 9 de julio de 2012 .
- ^ Comparación de soluciones de escaneo de seguridad de aplicaciones web en la nube y en las instalaciones . SecToolMarket.com Consultado el 17 de marzo de 2017
- ^ Plataforma WAVSEP recuperada el 17 de marzo de 2017
- ^ "SAST vs DAST" . Centro de investigación G2 .
- ^ "La importancia del análisis regular de vulnerabilidades" . AppCheck Ltd .
- ^ Escáneres de aplicaciones web desafiados por las tecnologías web modernas . SecurityWeek.Com (25 de octubre de 2012). Consultado el 10 de junio de 2014.
- ^ Pruebas de seguridad de aplicaciones web recuperadas 2020-11-04
enlaces externos
- Criterios de evaluación del escáner de seguridad de aplicaciones web del Consorcio de seguridad de aplicaciones web (WASC)
- Escáneres de vulnerabilidad de aplicaciones web , una wiki operada por el NIST
- Desafíos que enfrenta la evaluación automatizada de seguridad de aplicaciones web de Robert Auger
- La lista de escáneres de seguridad de WASC