Dado que cerca de um terço de todas as violações conhecidas são resultado direto de um ataque bem-sucedido a um aplicativo da web, é fundamental testar seus aplicativos da web e a segurança das APIs.
Você não precisa apenas garantir que seus aplicativos da Web sejam seguros por motivos regulatórios, mas também (deveria) se preocupar com os dados de seus clientes e a exposição ao risco de sua empresa.
Você certamente tem muitas opções quando se trata de proteger seus aplicativos da web, todos com seus prós e contras. Algumas soluções dependem da identificação de problemas de segurança no código-fonte de seus aplicativos. Outros protegem seus aplicativos contra ataques. E outros dependem de testar dinamicamente a segurança de seus aplicativos da Web em tempo de execução, assim como um hacker faria.
O foco deste artigo recai sobre este último caso, nomeadamente sobre provavelmente. O que torna o Probely interessante quando comparado a outros é que ele aborda dois dos principais problemas dos scanners de vulnerabilidade da web: a cobertura de varredura de aplicativos da web modernos e a qualidade dos resultados.
Probely tem duas edições diferentes: uma self-service voltada para SMBs e outra voltada para Enterprises ou empresas com muitos aplicativos web e APIs.
Probely se concentra em fornecer cobertura excepcional em ambientes de desenvolvimento modernos e eliminar falsos positivos com resultados de verificação baseada em evidências, permitindo que você integre a verificação DAST em seu ciclo de vida de desenvolvimento.
Muito bom para ser verdade?
Continue lendo para saber mais sobre minha análise do Probely.
últimas postagens
O que exatamente o Probely faz?
Tendo em mente os desenvolvedores e empresas de todos os portes, a Probely testa seus aplicativos e APIs, verificando-os para encontrar problemas de segurança e vulnerabilidades. Quando o teste é concluído, ele fornece orientações sobre como corrigir os problemas encontrados.
Seus desenvolvedores e engenheiros de segurança podem trabalhar com o Probely por meio de sua interface de usuário intuitiva. Mas se você precisa de poder e flexibilidade, pode confiar em sua API com todos os recursos, pois eles seguem uma abordagem de desenvolvimento que prioriza a API. A API deles fornece todos os recursos que você vê na interface do usuário, permitindo que você integre o Probely a um pipeline de CI/CD, ferramenta de gerenciamento de vulnerabilidade, orquestrador ou rastreador de problemas. Se você usar os populares, poderá ter uma integração pronta para uso. É o caso de ferramentas como JIRA, Jenkins, Azure DevOps, DefectDojo, CircleCI e Slack. Mas se você desenvolveu seu próprio rastreador ou orquestrador de problemas, a API é o caminho certo.
Cobertura, rastreamento e precisão
Probely usa um spider de próxima geração para navegar em aplicativos Javascripts avançados da mesma forma que um navegador normal faria, resultando em excelente cobertura do site, o que é um problema para muitas outras ferramentas DAST. Esse spider é ideal para aplicativos de página única, como os baseados em React ou Angular JS.
Lembre-se de que um scanner só pode identificar vulnerabilidades nas páginas que foram encontradas. Portanto, uma boa aranha é de extrema importância.
Probely também oferece diferentes perfis de digitalização, dependendo de qual ambiente você deseja testar. Você pode definir um perfil de escaneamento menos intrusivo se quiser escanear seu ambiente de produção. Se você estiver testando seu ambiente de controle de qualidade, poderá definir um perfil mais completo para verificações mais completas. Ao testar um ambiente de pré-produção, você pode identificar e corrigir vulnerabilidades antes de implantar o aplicativo na produção.
Comunicando
Embora o Probely detecte uma extensa lista de vulnerabilidades, ele se concentra em relatar o que é relevante e sem falsos positivos. Para certas classes de vulnerabilidades, ele fornece evidências de que a vulnerabilidade é real, economizando o tempo de sua equipe na validação se as vulnerabilidades são reais e relevantes.
O Probely fornece relatórios extensos a partir da interface, mas também pode sincronizar informações de vulnerabilidade com um rastreador de problemas ou ferramenta de gerenciamento de vulnerabilidades, permitindo que você encaixe o Probely em seus fluxos de trabalho de segurança e desenvolvimento existentes.
Probely pode testar seu software contra vulnerabilidades como as listadas no OWASP TOP 10 e muito mais. Ele também pode ajudá-lo a obter conformidade verificando requisitos específicos de PCI-DSS, GDPR, HIPAA e ISO270-01.
Retirado do relatório OWASP TOP 10, você terá uma visão geral do que há de errado com essa conformidade.
Interface
A interface é simples e fácil de navegar, permitindo que você comece a usar rapidamente. A edição Enterprise permite controlar usuários, funções e definir funções personalizadas. Você também pode usar rótulos para organizar usuários, ativos e vulnerabilidades para gerenciar melhor a segurança de seu aplicativo da web. Como todos os recursos estão disponíveis por meio da API, você pode integrar facilmente o Probely a outros aplicativos e processos de segurança empresarial.
Se você usar o Jira ou o Azure Boards, poderá configurar o Probely para enviar automaticamente todas as vulnerabilidades ao seu rastreador de problemas. Quando o desenvolvedor corrige e fecha o problema no rastreador de problemas, ele aciona automaticamente um novo teste no Probely, que verifica se a vulnerabilidade foi corrigida corretamente. Se não estiver, o problema é reaberto no rastreador de problemas. Isso permite que sua equipe de desenvolvimento lide com um relatório de vulnerabilidade como qualquer outro bug, diretamente no rastreador de problemas, sem usar a interface do Probely. Legal, hein? 🙂
Começando 🚀
Para meus propósitos de teste, eu estava usando a edição Enterprise da Probely.
Eles também oferecem uma edição padrão e diferentes planos para escolher, incluindo um plano gratuito. No plano gratuito, a verificação testa apenas três classes de vulnerabilidades: sinalizadores de cookies, cabeçalhos de segurança e problemas de SSL/TLS. O plano Pro oferece a maioria dos recursos e se concentra em SMBs e organizações com cinco ou menos alvos para verificar.
A edição Enterprise concentra-se em organizações que possuem um grande número de destinos e inclui recursos adicionais, como os comuns em software corporativo: usuários, grupos, funções e permissões. Ele também permite que você verifique alvos internos (em sua rede privada) instalando um agente fornecido.
Adicionando um alvo
Adicionar um alvo é fácil. Depois de fazer login com sua conta, você precisa navegar até a página Alvos e clicar em Adicionar. Em seguida, você fornece um nome, um URL e um ou mais rótulos — ou seja, Teste, Produção, Desenvolvimento etc. — para o novo destino. Para permitir que o Probely verifique esse destino como uma API autônoma sem um aplicativo da Web de suporte, você deve marcar a opção correspondente para identificá-lo como um destino de API.
Se seu alvo não estiver exposto na Internet e você instalou um agente Probely em sua rede privada, você pode selecionar qual agente usar ao adicionar um alvo.
Depois de adicionar um destino, você precisa validar sua propriedade porque o Probely precisa de evidências de que você possui os privilégios necessários para executar uma verificação nele. Existem dois métodos alternativos para validar o destino: carregar um arquivo com o conteúdo fornecido na raiz do destino ou adicionar uma entrada TXT ao seu registro DNS, com o nome do domínio e algum conteúdo específico do registro. Depois que o alvo for validado, você estará pronto para digitalizá-lo apenas pressionando o botão Scan.
Você pode verificar o progresso e o status de uma varredura navegando até a guia Varreduras no painel do Probely. Esta página mostrará quando a varredura começou e o que foi encontrado até agora. As descobertas são coloridas por gravidade, para que você possa ver rapidamente se há problemas críticos que precisam ser resolvidos imediatamente.
Se o seu site tiver uma página de login e você quiser que o Probely execute uma verificação por trás dela, forneça credenciais que permitam rastrear o site como um usuário autenticado. Probely suporta a maioria dos métodos de autenticação para páginas de login.
Escaneando uma API
Para verificar um destino de API, o Probely precisa que você forneça seu esquema. Você faz isso quando adiciona um destino de API, seja fornecendo a URL do esquema OpenAPI ou carregando o esquema se você o salvou anteriormente como um arquivo local. A opção de URL permite que o Probely busque o esquema antes de cada varredura, garantindo que ele sempre funcione com a versão mais recente do seu esquema.
Existem também diferentes opções em termos de métodos de autenticação para acesso à API. Probely suporta não apenas tokens estáticos, mas também permite configuração de autenticação dinâmica ao escanear APIs. Você pode configurar um endpoint de login onde o Probely pode obter um token de autenticação ou pode definir um cabeçalho personalizado com uma chave de API fixa. Você também pode fornecer valores de parâmetros personalizados que o Probely usará para aqueles encontrados no esquema.
Depois de terminar de configurar a autenticação e os parâmetros da API, você pode iniciar a verificação pressionando o botão Verificar agora. Após alguns segundos, você poderá acompanhar o andamento da digitalização na mesma página de digitalização. Quando a varredura terminar, você poderá baixar um relatório de cobertura que mostra todos os endpoints encontrados e cada código de resposta. Este relatório também informará se houve pontos de extremidade com falha.
Verificando suas descobertas
A página de descobertas mostra os resultados da varredura assim que são encontrados, mesmo quando as varreduras estão em andamento. Cada descoberta mostra uma gravidade (alta, média ou baixa), o destino e URL correspondentes, a descrição da descoberta, a hora e a data em que foi encontrada, seu estado (fixo ou não corrigido) e responsável, e se afeta PCI- Conformidade com DSS ou OWASP.
Além de mantê-lo informado sobre as vulnerabilidades detectadas, a página de descobertas também é útil para atribuir vulnerabilidades para sua equipe corrigir. Para fazer isso, clique na caixa de seleção à esquerda e selecione o responsável em um menu suspenso.
Probely também fornece informações sobre como corrigir as vulnerabilidades encontradas. Juntamente com essas instruções, você pode ver a solicitação e a resposta completas e as evidências.
Na página Dashboard, você pode ver vários gráficos que resumem o risco de segurança dos alvos verificados. Os gráficos mostram tendências em diferentes métricas interessantes, como pontuações de risco, tempo médio para corrigir problemas e níveis de gravidade. Você também pode dar uma olhada nos sites que requerem mais atenção e uma classificação das 5 principais vulnerabilidades com maior incidência.
Por fim, na página Integrações, você pode configurar o Probely para se integrar a várias ferramentas diferentes para gerenciar projetos, comunicação da equipe, rastreamento de problemas e muito mais. As integrações disponíveis incluem Azure Boards, DefectDojo, Slack, Jira, Jenkins e CircleCI.
Uma ferramenta para desenvolvedores e equipes de segurança
Para equipes de desenvolvimento ágil, o tempo de lançamento no mercado é uma prioridade. Tudo o que você puder fazer para minimizar o tempo que leva para o seu software entrar em produção sem comprometer a qualidade é altamente bem-vindo. A Probely oferece exatamente isso – uma maneira econômica de melhorar a segurança de seus sites e APIs, ajudando você a cumprir suas promessas relacionadas à programação e a fornecer produtos de software de alta qualidade.
Para as equipes de segurança, a Probely fornece uma plataforma para proteger seus aplicativos da Web e gerenciar as vulnerabilidades que exigem correção. Ele também permite que você transfira alguns dos testes de segurança diretamente para as equipes de desenvolvimento, tendo uma função de supervisão.
A Probely oferece avaliações gratuitas, licenças de avaliação empresarial e demonstrações de produtos. Contato provavelmente para começar.