Описание функциональных характеристик SolidPoint DAST

SolidPoint DAST современное решение для динамического анализа веб-приложений и API на наличие уязвимостей информационной безопасности, использующее интеллектуальные алгоритмы для повышения вероятности обнаружения скрытых недостатков и снижения количества ложных срабатываний.

Решение обладает следующими основными возможностями:

  • мультитенантное управление доступами, масштабируемая архитектура с единым сервером управления;
  • активное сканирование веб‑приложений на наличие уязвимостей;
  • поддержка SPA и PWA приложений;
  • различные методы обнаружения конечных точек приложения и страниц с поддержкой дедупликации;
  • поддержка аутентификации: с проигрыванием записи браузерного сценария, по HTTP Запросу (поддержка JWT), с помощью HTTP Basic Authentication, файлов cookie, заголовков и X.509 сертификата;
  • инвентаризация программных компонентов и их версий с использованием активного и пассивного анализа;
  • управление с использованием веб-интерфейса, интерфейса командной строки или REST API;
  • встраивание с помощью CLI в конвейер CI/CD;
  • экспорт результатов и интеграция с внешними системами управления найденными недостатками приложения.

Комбинация подходов к анализу поверхности атаки:

  • статический и динамический crawling (анализ кода HTML и переход по ссылкам);
  • Дирбастинг (перебор URL по словарю);
  • JavaScript Static/Dynamic Testing (cтатико-динамический анализ JS);
  • импорт конечных точек приложения из трафика SolidWall WAF;
  • импорт cпецификаций OpenAPI/Swagger, HAR (загрузка описаний API);

Комбинация методов поиска уязвимостей:

Фаззинг с поиском:

  • уязвимостей стандартных компонент приложений и инфраструктуры их доставки;
  • SQL Injection (внедрение команд языка SQL-запросов);
  • NoSQL Injection (внедрение команд языка нереляционных БД);
  • SSTI (внедрение шаблонов на стороне сервера);
  • Path Traversal (обход пути);
  • Shell Injection (инъекция команд);
  • XSS (межсайтовая подделка запросов);
  • DOM Based XSS (XSS с использованием DOM браузера);
  • Stored XSS (хранимый XSS);
  • XXE (включение внешних сущностей XML);
  • Insecure Deserialization (небезопасная десериализация);
  • JS Prototype Pollution (изменение прототипа базовых объектов);
  • File Upload (уязвимость загрузки файлов);
  • IDOR (Незащищенная прямая ссылка на объект);

Переборные проверки:

  • Bruteforce (Атака методом «грубой силы» с перебором логинов и паролей)
  • Дирбастинг (Выявление уязвимостей связанных с недостаточным контролем доступа)

Сигнатурные проверки:

  • Активный сигнатурный анализ цели сканирования и конечных точек приложения
  • Пассивный сигнатурный анализ для выявления компонентов и связанных с ними CVE
  • Пассивный сигнатурный анализ для выявления уязвимостей раскрытия информации в трафике сканирования

Минимальные требования

Компьютер, на котором запускается SolidPoint DAST, должен соответствовать следующим минимальным требованиям:

Компонент Минимальное требование
Объём оперативной памяти (RAM) Не менее 16 ГБ.
Процессор (CPU) 8-ядерный и более с архитектурой x86-64, тактовая частота не ниже 2.2 ГГц
Объём жёсткого диска (HDD) Не менее 150 ГБ
Сетевые интерфейсы Один 1 ГБ Ethernet

В качестве системного программного обеспечения используются операционные системы Linux Debian, Ubuntu. Возможен запуск компонентов системы в контейнерах.

Установка SolidPoint DAST

Дистрибутив ПО SolidPoint DAST необходимо скачать по предоставленной после подписания договора ссылке. Для скачивания дистрибутива необходимо авторизоваться с использованием предоставленной уникальной пары логин-пароль. Дистрибутив представляет собой архив «*.tgz». Перед началом установки необходимо создать пользователя операционной системы с правами администратора, а затем скопировать дистрибутив в домашний каталог пользователя и распаковать его.

Для запуска процесса установки необходимо запустить скрипт установки из установочного каталога и следовать указаниям мастера установки.

Документация

В состав эксплуатационной документации, передаваемой вместе с дистрибутивом SolidPoint DAST, входят подробные руководства по установке и эксплуатации.

Эксплуатационная документация содержит описание действий пользователей для выполнения задач сканирования в пользовательском интерфейсе, а также инструкции необходимые для интеграции задач сканирования в системы CI\CD.

Ознакомление с эксплуатационной документацией позволит самостоятельно выполнять задачи сканирования, встраивать сканер в цикл CI/CD, анализировать полученные отчеты и проводить триаж находок сканирования.

Руководство пользователя