Описание функциональных характеристик SolidPoint DAST

SolidPoint DAST современное решение для динамического анализа веб-приложений на наличие уязвимостей информационной безопасности, использующее интеллектуальные алгоритмы для повышения вероятности обнаружения скрытых недостатков и снижения количества ложных срабатываний. Решение обладает следующими основными возможностями:

активное сканирование веб‑приложений на наличие уязвимостей;
поддержка SPA приложений;
поддержка аутентификации с помощью HTTP Basic Authentication, файлов cookie, заголовка и X.509 сертификата;
инвентаризация программных компонентов приложения с использованием активного сканирования;
обнаружение потенциальных точек ввода данных (Data Entry Points):
- сrawling (переход по ссылкам);
- dirbusting (перебор URL по словарю);
- JavaScript Static/Dynamic Testing (cтатико-динамический анализ JS);
- FAST (функциональное тестирование безопасности приложений, получение данных DEP путем анализа трафика веб-приложения с использованием модуля proxy);
- поддержка формата Open API (загрузка описаний API);
обнаружение потенциальных точек ввода данных (Data Entry Points) и блокировка их использования:
- сrawling (переход по ссылкам);
- dirbusting (перебор URL по словарю);
- JavaScript Static/Dynamic Testing (cтатико-динамический анализ JS);
- FAST (функциональное тестирование безопасности приложений, получение данных DEP путем анализа трафика веб-приложения с использованием модуля proxy);
- поддержка формата Open API (загрузка описаний API);
информирование о наличии следующих видов уязвимостей веб-приложений:
- уязвимости стандартных компонент приложений и инфраструктуры их доставки;
- SQL Injection (внедрение команд языка SQL-запросов);
- NoSQL Injection (внедрение команд языка нереляционных БД);
- XSS (межсайтовая подделка запросов);
- XXE (включение внешних сущностей XML);
- Insecure Serialization (небезопасная десериализация);
- JS Prototype Pollution (изменение прототипа базовых объектов);
- JS DOM Based XSS (XSS с использованием DOM браузера);
- Использование небезопасных паролей.
управление с использованием веб-интерфейса, интерфейса командной строки или REST API;
встраивание в конвейер CI/CD;
интеграция с внешними системами управления найденными недостатками приложения.

Минимальные требования

Компьютер, на котором запускается SolidPoint DAST, должен соответствовать следующим минимальным требованиям:

Компонент	Минимальное требование
Объём оперативной памяти (RAM)	Не менее 16 ГБ.
Процессор (CPU)	8-ядерный и более с архитектурой x86-64, тактовая частота не ниже 2.2 ГГц
Объём жёсткого диска (HDD)	Не менее 150 ГБ
Сетевые интерфейсы	Один 1 ГБ Ethernet

В качестве системного программного обеспечения используются операционные системы Linux Debian, Ubuntu. Возможен запуск компонентов системы в контейнерах.

Установка SolidPoint DAST

Дистрибутив ПО SolidPoint DAST необходимо скачать по предоставленной после подписания договора ссылке. Для скачивания дистрибутива необходимо авторизоваться с использованием предоставленной уникальной пары логин-пароль. Дистрибутив представляет собой архив «*.tgz». Перед началом установки необходимо создать пользователя операционной системы с правами администратора, а затем скопировать дистрибутив в домашний каталог пользователя и распаковать его.

Для запуска процесса установки необходимо запустить скрипт установки из установочного каталога и следовать указаниям мастера установки.

Документация

В состав эксплуатационной документации, передаваемой вместе с дистрибутивом SolidPoint DAST, входят подробные руководства по установке и эксплуатации.

Эксплуатационная документация содержит описание действий пользователей для выполнения задач сканирования в пользовательском интерфейсе, а также инструкции необходимые для интеграции задач сканирования в системы CI\CD.

Ознакомление с эксплуатационной документацией позволит самостоятельно выполнять задачи сканирования, встраивать сканер в цикл CI/CD, анализировать полученные отчеты и проводить триаж находок сканирования.