Application Vulnerability Manager #

Компонент Application Vulnerability Manager (AVM) - анализ защищенности веб-приложений.

Предназначен для автоматизированного сканирования веб-приложений и их компонентов с целью выявления известных уязвимостей, а также поиска точек входа и способов их эксплуатации с использованием заданных алгоритмов.

Основные функции #

Сканирование веб-приложений и компонентов:
- Выявление точек ввода данных (Data Entry Points, DEP) и обнаружение потенциальных уязвимостей.
- Использование интеллектуальных алгоритмов для повышения вероятности обнаружения скрытых недостатков и снижения количества ложных срабатываний.
Динамический анализ безопасности приложений (DAST):
- Выявление недостатков, которые не обнаруживаются статическим анализом.
- Оценка эксплуатационных уязвимостей, выявленных статическим анализом.

Преимущества #

Работа с современными веб-приложениями, включая одностраничные.
Эффективный анализ компонентного состава и обнаружение точек ввода данных.
Обнаружение сложных классов недостатков, таких как DOM based XSS или Prototype Pollution.
Масштабируемые конфигурации и гибкое регулирование нагрузки.
Управление через Web UI, CLI и API, интеграция в конвейер разработки.
Интеграция с SolidWall WAF и другими инструментами для повышения эффективности защиты.

Ключевые функциональные возможности #

Анализ инфраструктуры доставки приложений: сканирование инфраструктуры на наличие уязвимостей и недостатков конфигурации.
Выявление точек ввода данных: применение специальных технологий для поиска точек ввода данных.
Обнаружение различных классов уязвимостей: выявление различных классов уязвимостей, включая десериализацию и парсинг форматов передачи данных.
Поддержка авторизации в анализируемых приложениях: проверка функционала веб-приложений, требующих авторизации.

Сценарии использования: #

Сценарий	Минимизируемые риски
🔐 Анализ защищенности браузерных веб-приложений, включая статикодинамический анализ JavaScript кода	Уязвимости в JavaScript-коде, включая XSS, утечки данных через клиентскую сторону, небезопасное обращение к API.
📱 Анализ защищенности мобильных приложений и веб-сервисов	Уязвимости в мобильных приложениях могут привести к компрометации пользовательских данных, обходу авторизации или внедрению вредоносного кода.
🔑 Проверка уязвимостей, связанных с авторизацией	Обход механизмов аутентификации и авторизации, атаки на сессии, возможность брутфорса.
⚠️ Проверка безопасности приложений в продуктивной эксплуатации	Не выявленные на этапе разработки уязвимости могут быть использованы злоумышленниками в реальной эксплуатации.
📑 Инвентаризация компонентного состава веб-приложений, сканирование API-спецификаций (Swagger, Postman)	Использование устаревших библиотек и компонентов с известными уязвимостями (CVE), недостаточная защита API-интерфейсов.
🛡️ Сканирование WEB (ТОП 10 OWASP) по стандартным типам уязвимостей	Распространённые веб-уязвимости, такие как SQL-инъекции, XSS, XXE, небезопасные SSL/TLS-конфигурации, недостатки авторизации и десериализации, могут привести к утечке данных или компрометации системы.

Этапы работы #

Первый шаг - разведка ...

На данном этапе проводится выявление поверхности атаки приложения путем определения всех конечных точек серверного API в веб-ресурсах, что является важным шагом любого анализа методом черного ящика.
На данном этапе обеспечивается полная видимость критически важных для безопасности серверов и конечных точек API — даже тех, которые потеряны, забыты или скрыты. Также производится сканирование веб-приложений любого типа, серверной части мобильных приложений и конечных точек API, включая собственный и сторонний код (с открытым исходным кодом), независимо от технологии, платформы или языка, на котором они созданы.
С помощью расширенного сканирования и анализа кода на стороне клиента достигается обнаружение тех уязвимостей, которые пропускаются другими средствами.

Второй шаг - обнаружение ...

На данном этапе проводится поиск всех уязвимостей (не только в рамках OWASP Top 10). Сканер позволяет обнаружить SQL-инъекции, XXE, небезопасную сериализацию и другие уязвимости типа внедрения кода, связанные с аутентификацией. Также усовершенствованная технология обеспечивает надёжный поиск XSS, включая DOM XSS, без ложных срабатываний.
Работа платформы выходит за рамки динамического сканирования и успешно использует анализ кода на стороне клиента для обнаружения конечных точек сервера и API, которые не могут быть проанализированы с помощью динамического сканирования, а также использует комбинацию фаззинга безопасности и сопоставления сигнатур для проверки уязвимых конечных точек по всей поверхности атаки.

Третий шаг - решение ...

На данном этапе проводится уменьшение ложных срабатываний и предоставление разработчикам информации, которая необходима для быстрого закрытия недостатков. Также нашими экспертами составляются отчёты с подробным описанием недостатков и точным определением их критичности; в отчётах указаны чёткие шаги по устранению недостатков с подробными рекомендациями.
После основной проверки Заказчик получает одну бесплатную перепроверку, чтобы убедиться, что все недостатки устранены.

Четвертый шаг - автоматизация ...

На данном этапе существует возможность автоматизировать периодическую проверку веб-приложений и API. Решение легко интегрируется в используемы конвейеры CI/CD и сторонние решения по управлению уязвимостями благодаря готовому к автоматизации API и машиночитаемой информации для поиска. По вопросам интеграции осуществляется консультационная поддержка.