acunetix

Poznaj nowe technologie Acunetix – DeepScan, SmartScan i BLR

Acunetix w tym roku wydał nową wersję swojego skanera aplikacji webowych. Nie byłoby w tym nic dziwnego, gdyby nie kilka istotnych nowości, na które warto zwrócić szczególną uwagę. W najnowszej odsłonie Acunetix w wersji 13, pojawia się wiele bardzo ciekawych, autorskich technologii, które mają pomóc w codziennej walce o bezpieczeństwo aplikacji.

DeepScan

acunetix

Jest to nazwa autorskiego mechanizmu Acunetix, który służy do badania struktury aplikacji (tzw. Crawler). Jest to jedna z najbardziej dokładnych technologii obecnie dostępnych na rynku, która pozwala na osiąganie lepszych wyników podczas samego skanu. Jeśli crawler (DeepScan) doskonale określi strukturę aplikacji, wtedy silnik skanujący jest w stanie znaleźć wszystkie możliwe podatności. W przypadku DeepScan oprócz wysokiej skuteczności i dokładności skanowania aplikacji, ważne jest też to, że działa dla każdego typu zastosowanych technologii webowych – niezależnie czy będzie to aplikacja w PHP, javie, AngularJS czy React. Istotne jest też, że na etapie poznawania struktury aplikacji, możemy zastrzec poszczególne jej części przed skanowaniem, jeśli jest uzasadniona potrzeba. DeepScan jest dojrzałą technologią rozwijaną przez Acunetix od ponad 12 lat, która wyróżnia się jakością spośród narzędzi dostępnych na rynku.

DeepScan ma wbudowany silnik Chromium. Narzędzie potrafi emulować zachowania użytkowników w aplikacji – wirtualne poruszanie myszą i klikanie na obiekty aplikacji. Dodatkowo mamy możliwość sprawdzania struktury aplikacji opartych o HTML5 a silnik wykonuje skrypty JavaScript dokładnie tak jak robi to przeglądarka użytkownika. Integrując się z mechanizmem nagrywania sesji użytkownika (Login Sequence Recorder), DeepScan może sprawdzać struktury aplikacji dostępne po zalogowaniu i lepiej odzwierciedlić składnię aplikacji do dalszego skanowania. Silnik DeepScan wykorzystując API do skanowania struktury aplikacji, ma zapewnione pełne wsparcie dla AJAX, SOAP/WSDL, SOAP/WCF, REST/WADL, XML, JSON, Google Web Toolkit oraz CRUD.

SmartScan

acunetix

Ciekawe podejście do zagadnienia przeprowadzenia samego skanu, oferuje nowa funkcjonalność silnika Acunetix – SmartScan. Jest to jedna z tych nowości, która dodaje świeżości znanej już technologii a dla nowych Klientów staje się od razu standardem. SmartScan to ciekawe podejście do problemu czasu skanowania i uzyskania efektów dopiero po kilku godzinach lub dniach. W przypadku skanowania Acunetix, przy użyciu technologii SmartScan, 80% podatności znamy już w pierwszych 20% przeprowadzonego testu. Jest to niewątpliwe udogodnienie zwłaszcza przy testowaniu dużych aplikacji. Zasada działania SmartScan jest nieco inna niż w przypadku klasycznych silników skanujących. Zamiast skanować całą aplikację pod kątem danej podatności np. URL Parameter Manipulation czy File Inclusion, silnik skanujący przeprowadza test aż do wykrycia pierwszej podatności tego typu i zaczyna poszukiwanie innego rodzaju podatności. Dzięki temu efekty skanowania otrzymujemy już na samym początku, a przed zakończeniem skanowania, możemy rozpocząć prace naprawcze.

SmartScan nadaje dynamicznie priorytety skanowanym elementom celem osiągania jak najlepszych efektów. W odróżnieniu od klasycznych silników skanujących, SmartScan skanuje podobne elementy aplikacji pod kątem występowania różnych podatności, dlatego przedstawia szczegółowy i rzeczywisty obraz bezpieczeństwa testowanych aplikacji. Dzięki temu oprócz szybkości skanowania zyskujemy bardzo wysoki parametr wykrywalności podatności (tzw. Detection Rate), który w przypadku Acunetix wynosi blisko 100%.

Business Logic Recorder

acunetix

Kolejną z unikatowych technologii dostępnych w nowej wersji Acunetix, jest Business Logic Recorder. Ciekawa koncepcyjnie funkcjonalność, która pozwala nagrać biznesowe przeznaczenie naszych aplikacji, aby Acunetix podczas skanowania lepiej mógł przeanalizować jej potencjalne zagrożenia. Nagrywając poszczególne sekwencje użycia aplikacji możemy lepiej wskazać obszary aplikacji narażone na działanie użytkownika i bardziej skoncentrować się na podatnościach, które mogą towarzyszyć części użytkowej naszej aplikacji. Dzięki takiemu podejściu Acunetix wprowadza swój skaner aplikacji webowych na nowy poziom, do tej pory niedostępny w rozwiązaniach konkurencyjnych.

Business Logic Recorder powstał głównie z myślą o testowaniu różnych scenariuszy użycia formularzy na stronach internetowych, jednak nie jest to jedyne przeznaczenie. Ponieważ aspekt korzystania z aplikacji jest dużo szerszy, nagranie różnych koncepcji użycia testowanej aplikacji, może pomóc w lepszym przeskanowaniu wszystkich dostępnych obiektów. Taka funkcjonalność doskonale sprawdza się w przypadku sklepów internetowych albo złożonych struktur rejestracji np. projektów, zdań etc. Dzięki BLR skanowanie aplikacji wchodzi na inny poziom, ponieważ możliwe jest testowanie tych części aplikacji, które nie są dostępne dla standardowych silników skanujących.