알려진 모든 위반의 약 1/3이 성공적인 웹 애플리케이션 공격의 직접적인 결과라는 점을 감안할 때 웹 애플리케이션과 API의 보안을 테스트하는 것이 무엇보다 중요합니다.
규제상의 이유로 웹 애플리케이션이 안전한지 확인해야 할 뿐만 아니라 고객의 데이터와 회사에 대한 위험 노출에 대해서도 주의를 기울여야 합니다.
장단점이 있는 웹 애플리케이션 보안과 관련하여 확실히 많은 옵션이 있습니다. 일부 솔루션은 애플리케이션의 소스 코드에서 보안 문제를 식별하는 데 의존합니다. 다른 것들은 공격으로부터 애플리케이션을 보호합니다. 그리고 다른 사람들은 해커가 하는 것처럼 런타임에 웹 애플리케이션의 보안을 동적으로 테스트합니다.
이 기사의 초점은 후자의 경우, 즉 다음에 있습니다. 아마도. Probely가 다른 제품과 비교할 때 흥미로운 점은 웹 취약점 스캐너의 두 가지 주요 문제인 최신 웹 애플리케이션의 스캐닝 범위와 결과의 품질을 해결한다는 것입니다.
Probely에는 SMB를 대상으로 하는 셀프 서비스 버전과 웹 애플리케이션 및 API가 많은 기업 또는 회사를 대상으로 하는 두 가지 에디션이 있습니다.
Probe는 최신 개발 환경 전반에 걸쳐 탁월한 적용 범위를 제공하고 증거 기반 스캔 결과로 거짓 긍정을 제거하는 동시에 DAST 스캔을 개발 수명 주기에 통합할 수 있도록 하는 데 중점을 둡니다.
사실 너무 좋은?
Probely에 대한 제 분석에 대해 알아보려면 계속 읽어보세요.
목차
Probely는 정확히 무엇을 합니까?
개발자와 모든 비즈니스 규모를 염두에 두고 Probely는 애플리케이션과 API를 테스트하고 스캔하여 보안 문제와 취약점을 찾습니다. 테스트가 완료되면 발견된 문제를 수정하는 방법에 대한 지침을 제공합니다.
개발자와 보안 엔지니어는 직관적인 사용자 인터페이스를 통해 Probely와 함께 작업할 수 있습니다. 그러나 강력한 기능과 유연성이 필요한 경우 API 우선 개발 접근 방식을 따르기 때문에 완전한 기능을 갖춘 API를 사용할 수 있습니다. API는 사용자 인터페이스에서 볼 수 있는 모든 기능을 제공하므로 Probely를 CI/CD 파이프라인, 취약성 관리 도구, 오케스트레이터 또는 문제 추적기에 통합할 수 있습니다. 인기 있는 것을 사용하는 경우 즉시 통합이 가능할 수 있습니다. JIRA, Jenkins, Azure DevOps, DefectDojo, CircleCI 및 Slack과 같은 도구의 경우입니다. 그러나 자체 이슈 트래커 또는 오케스트레이터를 개발했다면 API를 사용하는 것이 좋습니다.
적용 범위, 크롤링 및 정확성
아마도 차세대 스파이더를 사용하여 일반 브라우저와 동일한 방식으로 풍부한 Javascript 애플리케이션을 탐색하여 사이트를 광범위하게 커버할 수 있으며 이는 다른 많은 DAST 도구의 문제입니다. 이 스파이더는 React 또는 Angular JS 기반 앱과 같은 단일 페이지 앱에 이상적입니다.
스캐너는 발견된 페이지의 취약점만 식별할 수 있다는 점을 명심하십시오. 따라서 좋은 거미가 가장 중요합니다.
Probe는 또한 테스트하려는 환경에 따라 다른 검색 프로필을 제공합니다. 프로덕션 환경을 스캔하려는 경우 덜 침입적인 스캔 프로필을 설정할 수 있습니다. QA 환경을 테스트하는 경우 보다 완벽한 스캔을 위해 보다 철저한 프로필을 설정할 수 있습니다. 사전 프로덕션 환경을 테스트하면 애플리케이션을 프로덕션 환경에 배포하기 전에 취약점을 식별하고 수정할 수 있습니다.
보고
Probely는 광범위한 취약점 목록을 탐지하지만 오탐지 없이 관련성이 있는 항목을 보고하는 데 중점을 둡니다. 특정 취약점 클래스의 경우 취약점이 실제라는 증거를 제공하여 팀이 취약점이 실제이고 관련이 있는지 검증하는 시간을 절약합니다.
Probe는 인터페이스에서 광범위한 보고를 제공하지만 문제 추적기 또는 취약성 관리 도구와 취약성 정보를 동기화하여 Probely를 기존 보안 및 개발 워크플로에 맞출 수 있습니다.
OWASP TOP 10 등의 취약점에 대해 소프트웨어를 테스트할 수 있습니다. 또한 PCI-DSS, GDPR, HIPAA 및 ISO270-01의 특정 요구 사항을 확인하여 규정 준수를 달성하는 데 도움이 될 수 있습니다.
OWASP TOP 10 보고서에서 가져온 이 규정 준수와 관련하여 무엇이 잘못되었는지 한눈에 알 수 있습니다.
상호 작용
인터페이스는 간단하고 탐색하기 쉬우므로 빠르게 시작하고 실행할 수 있습니다. Enterprise 버전을 사용하면 사용자, 역할을 제어하고 사용자 지정 역할을 설정할 수 있습니다. 또한 레이블을 사용하여 사용자, 자산 및 취약성을 구성하여 웹 애플리케이션 보안을 보다 잘 관리할 수 있습니다. 모든 기능은 API를 통해 사용할 수 있으므로 Probely를 다른 엔터프라이즈 보안 애플리케이션 및 프로세스에 쉽게 통합할 수 있습니다.
Jira 또는 Azure 보드를 사용하는 경우 모든 취약성을 이슈 트래커에 자동으로 보내도록 Probely를 구성할 수 있습니다. 개발자가 문제 추적기에서 문제를 수정하고 종료하면 자동으로 Probely에서 다시 테스트를 시작하여 취약점이 제대로 수정되었는지 확인합니다. 그렇지 않은 경우 이슈는 이슈 트래커에서 다시 열립니다. 이를 통해 개발 팀은 Probely의 인터페이스를 사용하지 않고도 문제 추적기에서 직접 다른 버그와 같은 취약점 보고서를 처리할 수 있습니다. 좋은데? 🙂
시작하기 🚀
테스트 목적으로 Probely의 Enterprise 에디션을 사용하고 있었습니다.
또한 표준 에디션과 무료 플랜을 포함하여 선택할 수 있는 다양한 플랜을 제공합니다. 무료 요금제에서 스캔은 쿠키 플래그, 보안 헤더 및 SSL/TLS 문제의 세 가지 취약성 클래스만 테스트합니다. Pro 플랜은 대부분의 기능을 제공하며 스캔 대상이 5개 이하인 SMB 및 조직에 중점을 둡니다.
Enterprise 버전은 대상이 많은 조직에 초점을 맞추고 엔터프라이즈 소프트웨어에서 일반적으로 사용되는 사용자, 그룹, 역할 및 권한과 같은 추가 기능을 포함합니다. 또한 제공된 에이전트를 설치하여 내부 대상(개인 네트워크에서)을 스캔할 수 있습니다.
대상 추가
대상을 추가하는 것은 쉽습니다. 계정으로 로그인한 후 대상 페이지로 이동하여 추가를 클릭해야 합니다. 그런 다음 새 대상에 대한 이름, URL 및 하나 이상의 레이블(예: 테스트, 프로덕션, 개발 등)을 제공합니다. Probely가 지원하는 웹 앱 없이 이 대상을 독립 실행형 API로 스캔하도록 하려면 해당 옵션을 선택하여 API 대상으로 식별해야 합니다.
대상이 인터넷에 노출되지 않고 사설 네트워크에 Probely 에이전트를 설치한 경우 대상을 추가하는 동안 사용할 에이전트를 선택할 수 있습니다.
대상을 추가한 후에는 대상에 대한 스캔을 실행하는 데 필요한 권한이 Probely에 있다는 증거가 필요하므로 대상의 소유권을 확인해야 합니다. 대상을 검증하는 두 가지 대체 방법이 있습니다. 대상의 루트에 제공된 콘텐츠가 있는 파일을 로드하거나 도메인 이름 및 일부 특정 레코드 콘텐츠와 함께 TXT 항목을 DNS 레코드에 추가하는 것입니다. 대상이 확인되면 스캔 버튼을 누르기만 하면 대상을 스캔할 수 있습니다.
Probely 대시보드의 스캔 탭으로 이동하여 스캔의 진행 상황과 상태를 확인할 수 있습니다. 이 페이지는 스캔이 시작된 시기와 지금까지 찾은 내용을 보여줍니다. 결과는 심각도에 따라 색상이 지정되므로 즉시 해결해야 하는 중요한 문제가 있는지 한 눈에 확인할 수 있습니다.
웹 사이트에 로그인 페이지가 있고 Probely가 그 뒤에서 스캔을 수행하도록 하려면 인증된 사용자로 사이트를 크롤링할 수 있는 자격 증명을 제공해야 합니다. 로그인 페이지에 대한 대부분의 인증 방법을 지원합니다.
API 스캔
API 대상을 스캔하려면 Probely에서 해당 스키마를 제공해야 합니다. OpenAPI 스키마 URL을 제공하거나 이전에 로컬 파일로 저장한 경우 스키마를 업로드하여 API 대상을 추가할 때 이 작업을 수행합니다. URL 옵션을 사용하면 모든 스캔 전에 Probely가 스키마를 가져와 항상 최신 버전의 스키마와 함께 작동하도록 할 수 있습니다.
API 액세스를 위한 인증 방법 측면에서도 다양한 옵션이 있습니다. Probely는 정적 토큰을 지원할 뿐만 아니라 API를 스캔할 때 동적 인증 구성도 허용합니다. Probely가 인증 토큰을 가져올 수 있는 로그인 끝점을 구성하거나 고정 API 키가 포함된 사용자 지정 헤더를 설정할 수 있습니다. Probely가 스키마에서 찾은 매개변수에 사용할 사용자 정의 매개변수 값을 제공할 수도 있습니다.
API 인증 및 매개변수 구성을 마치면 지금 스캔 버튼을 눌러 스캔을 시작할 수 있습니다. 몇 초 후에 동일한 스캔 페이지에서 스캔 진행 상황을 확인할 수 있습니다. 스캔이 종료되면 발견된 모든 엔드포인트와 각 응답 코드를 보여주는 적용 범위 보고서를 다운로드할 수 있습니다. 이 보고서는 실패한 엔드포인트가 있는지도 알려줍니다.
조사 결과 확인
검색 결과 페이지에는 검색이 진행 중인 경우에도 검색 결과가 표시되는 즉시 표시됩니다. 각 결과는 심각도(높음, 중간 또는 낮음), 해당 대상 및 URL, 결과 설명, 발견 시간 및 날짜, 상태(고정 또는 고정되지 않음) 및 할당자, PCI에 영향을 미치는지 여부를 보여줍니다. DSS 또는 OWASP 준수.
검색된 취약점에 대한 정보를 제공하는 것 외에도 결과 페이지는 팀에서 수정할 취약점을 할당하는 데에도 유용합니다. 이렇게 하려면 왼쪽의 체크박스를 클릭하고 드롭다운 메뉴에서 담당자를 선택합니다.
Probely는 발견된 취약점을 수정하는 방법에 대한 정보도 제공합니다. 이러한 지침과 함께 전체 요청 및 응답과 증거를 볼 수 있습니다.
대시보드 페이지에서 검사 대상의 보안 위험을 요약한 다양한 차트를 볼 수 있습니다. 그래프는 위험 점수, 평균 문제 해결 시간 및 심각도 수준과 같은 다양한 흥미로운 메트릭의 추세를 보여줍니다. 또한 가장 주의를 기울여야 하는 사이트와 발생률이 가장 높은 취약점 상위 5개 순위를 한눈에 볼 수 있습니다.
마지막으로 통합 페이지에서 Probely를 구성하여 다양한 도구와 통합하여 프로젝트, 팀 커뮤니케이션, 문제 추적 등을 관리할 수 있습니다. 사용 가능한 통합에는 Azure Boards, DefectDojo, Slack, Jira, Jenkins 및 CircleCI가 포함됩니다.
개발자 및 보안 팀을 위한 도구
애자일 개발 팀의 경우 시장 출시 시간이 최우선 순위입니다. 품질 저하 없이 소프트웨어가 생산에 들어가는 데 걸리는 시간을 최소화하기 위해 할 수 있는 일이라면 무엇이든 환영합니다. Probely는 웹사이트 및 API의 보안을 개선하고 일정 관련 약속을 지키고 고품질 소프트웨어 제품을 제공할 수 있는 비용 효율적인 방법을 제공합니다.
보안 팀을 위해 Probely는 웹 애플리케이션을 보호하고 수정이 필요한 취약성을 관리할 수 있는 플랫폼을 제공합니다. 또한 감독 역할을 하면서 일부 보안 테스트를 개발 팀에 직접 오프로드할 수 있습니다.
Probe는 무료 평가판, 엔터프라이즈 평가 라이선스 및 제품 데모를 제공합니다. 연락하다 아마도 시작하려면.