Dado que aproximadamente un tercio de todas las infracciones conocidas son el resultado directo de un ataque exitoso a una aplicación web, es fundamental probar la seguridad de sus aplicaciones web y API.
No solo necesita asegurarse de que sus aplicaciones web sean seguras por razones reglamentarias, sino que también debe preocuparse por los datos de su cliente y la exposición al riesgo de su empresa.
Sin duda, tiene muchas opciones cuando se trata de proteger sus aplicaciones web, todas con sus pros y sus contras. Algunas soluciones se basan en la identificación de problemas de seguridad en el código fuente de sus aplicaciones. Otros protegen sus aplicaciones contra ataques. Y otros confían en probar dinámicamente la seguridad de sus aplicaciones web en tiempo de ejecución, tal como lo haría un hacker.
Este artículo se centra en este último caso, es decir, en probablemente. Lo que hace que Probely sea interesante en comparación con otros es que aborda dos de los principales problemas de los escáneres de vulnerabilidades web: la cobertura de escaneo de las aplicaciones web modernas y la calidad de los resultados.
Probely tiene dos ediciones diferentes: una de autoservicio dirigida a PYMES y otra dirigida a Empresas o empresas con muchas aplicaciones web y API.
Probely se centra en proporcionar una cobertura excepcional en los entornos de desarrollo modernos y en eliminar los falsos positivos con los resultados del análisis basado en pruebas, al tiempo que le permite integrar el análisis DAST en su ciclo de vida de desarrollo.
¿Demasiado bueno para ser verdad?
Siga leyendo para conocer mi análisis de Probely.
Tabla de contenido
¿Qué hace exactamente Probely?
Teniendo en cuenta a los desarrolladores y empresas de todos los tamaños, Probely prueba sus aplicaciones y API, analizándolas para encontrar vulnerabilidades y problemas de seguridad. Cuando se completa la prueba, proporciona orientación sobre cómo solucionar los problemas encontrados.
Sus desarrolladores e ingenieros de seguridad pueden trabajar con Probely a través de su interfaz de usuario intuitiva. Pero si necesita potencia y flexibilidad, puede confiar en su API con todas las funciones, ya que siguen un enfoque de desarrollo que prioriza la API. Su API proporciona todas las funciones que ve en la interfaz de usuario, lo que le permite integrar Probely en una canalización de CI/CD, una herramienta de administración de vulnerabilidades, un orquestador o un rastreador de problemas. Si usa los populares, es posible que tenga una integración lista para usar. Ese es el caso de herramientas como JIRA, Jenkins, Azure DevOps, DefectDojo, CircleCI y Slack. Pero si desarrolló su propio rastreador u orquestador de problemas, entonces la API es el camino a seguir.
Cobertura, rastreo y precisión
Probely utiliza una araña de próxima generación para navegar por aplicaciones Javascript ricas de la misma manera que lo haría un navegador normal, lo que da como resultado una excelente cobertura del sitio, lo cual es un problema para muchas otras herramientas DAST. Esta araña es ideal para aplicaciones de una sola página, como las basadas en React o Angular JS.
Tenga en cuenta que un escáner solo puede identificar vulnerabilidades en las páginas que se encontraron. Por lo tanto, una buena araña es de suma importancia.
Probely también ofrece diferentes perfiles de análisis, según el entorno que desee probar. Puede establecer un perfil de escaneo menos intrusivo si desea escanear su entorno de producción. Si está probando su entorno de control de calidad, puede establecer un perfil más completo para análisis más completos. Al probar un entorno de preproducción, puede identificar y corregir vulnerabilidades antes de implementar la aplicación en producción.
Informes
Aunque Probely detecta una extensa lista de vulnerabilidades, se enfoca en reportar lo relevante y sin falsos positivos. Para ciertas clases de vulnerabilidades, proporciona evidencia de que la vulnerabilidad es real, ahorrando tiempo a su equipo para validar si las vulnerabilidades son reales y relevantes.
Probely proporciona informes completos desde la interfaz, pero también puede sincronizar la información de vulnerabilidades con un rastreador de problemas o una herramienta de gestión de vulnerabilidades, lo que le permite adaptar Probely a sus flujos de trabajo de desarrollo y seguridad existentes.
Probely puede probar su software frente a vulnerabilidades como las enumeradas en OWASP TOP 10 y muchas más. También puede ayudarlo a lograr el cumplimiento al verificar los requisitos específicos de PCI-DSS, GDPR, HIPAA e ISO270-01.
Tomado del informe OWASP TOP 10, tendrá de un vistazo lo que está mal con respecto a este cumplimiento.
Interfaz
La interfaz es simple y fácil de navegar, lo que le permite ponerse en marcha rápidamente. La edición Enterprise le permite controlar usuarios, roles y establecer roles personalizados. También puede usar etiquetas para organizar usuarios, activos y vulnerabilidades para administrar mejor la seguridad de su aplicación web. Dado que todas las funciones están disponibles a través de la API, puede integrar fácilmente Probely en sus otras aplicaciones y procesos de seguridad empresarial.
Si usa Jira o Azure Boards, puede configurar Probely para enviar automáticamente todas las vulnerabilidades a su rastreador de problemas. Cuando el desarrollador corrige y cierra el problema en el rastreador de problemas, activará automáticamente una nueva prueba en Probely, que verificará si la vulnerabilidad se solucionó correctamente. Si no es así, el problema se vuelve a abrir en el rastreador de problemas. Esto le permite a su equipo de desarrollo manejar un informe de vulnerabilidad como cualquier otro error, directamente en el rastreador de problemas, sin siquiera usar la interfaz de Probely. Bonito, ¿eh? 🙂
Empezando 🚀
Para mis propósitos de prueba, estaba usando la edición Enterprise de Probely.
También ofrecen una edición estándar y diferentes planes para elegir, incluido un plan gratuito. En el plan gratuito, el análisis solo prueba tres clases de vulnerabilidades: indicadores de cookies, encabezados de seguridad y problemas de SSL/TLS. El plan Pro ofrece la mayoría de las funciones y se enfoca en las PYMES y organizaciones que tienen cinco objetivos o menos para escanear.
La edición Enterprise se enfoca en organizaciones que tienen una gran cantidad de objetivos e incluye características adicionales como las que son comunes en el software empresarial: usuarios, grupos, roles y permisos. También le permite escanear objetivos internos (en su red privada) instalando un agente que se proporciona.
Agregar un objetivo
Agregar un objetivo es fácil. Una vez que inicie sesión con su cuenta, debe navegar a la página Objetivos y hacer clic en Agregar. Luego proporciona un nombre, una URL y una o más etiquetas, es decir, Prueba, Producción, Desarrollo, etc., para el nuevo objetivo. Para permitir que Probely escanee este objetivo como una API independiente sin una aplicación web compatible, debe marcar la opción correspondiente para identificarlo como un objetivo de API.
Si su objetivo no está expuesto en Internet e instaló un agente de Probely en su red privada, puede seleccionar qué agente usar mientras agrega un objetivo.
Después de agregar un objetivo, debe validar su propiedad porque Probely necesita evidencia de que tiene los privilegios necesarios para ejecutar un análisis en él. Hay dos métodos alternativos para validar el objetivo: cargar un archivo con el contenido proporcionado en la raíz del objetivo o agregar una entrada TXT a su registro DNS, con el nombre del dominio y algún contenido de registro específico. Una vez que se valida el objetivo, está listo para escanearlo simplemente presionando el botón Escanear.
Puede comprobar el progreso y el estado de un análisis navegando a la pestaña Análisis en el panel de control de Probely. Esta página le mostrará cuándo comenzó el escaneo y qué encontró hasta ahora. Los hallazgos están coloreados según la gravedad, por lo que puede ver de un vistazo si hay problemas críticos que deben abordarse de inmediato.
Si su sitio web tiene una página de inicio de sesión y desea que Probely realice un análisis detrás de ella, debe proporcionar las credenciales que le permitan rastrear el sitio como un usuario autenticado. Probely es compatible con la mayoría de los métodos de autenticación para las páginas de inicio de sesión.
Escaneo de una API
Para escanear un destino de API, Probely necesita que proporcione su esquema. Esto se hace cuando agrega un destino de API, ya sea proporcionando la URL del esquema de OpenAPI o cargando el esquema si lo guardó previamente como un archivo local. La opción de URL permite que Probely busque el esquema antes de cada análisis, lo que garantiza que siempre funcione con la última versión de su esquema.
También hay diferentes opciones en términos de métodos de autenticación para el acceso a la API. Probely no solo admite tokens estáticos, sino que también permite la configuración de autenticación dinámica al escanear las API. Puede configurar un punto final de inicio de sesión donde Probely puede obtener un token de autenticación, o puede establecer un encabezado personalizado con una clave de API fija. También puede proporcionar valores de parámetros personalizados que Probely utilizará para los que se encuentran en el esquema.
Una vez que termine de configurar la autenticación y los parámetros de la API, puede iniciar el escaneo presionando el botón Escanear ahora. Después de unos segundos, podrá seguir el progreso del escaneo en la misma página de escaneo. Cuando finaliza el escaneo, puede descargar un informe de cobertura que muestra todos los puntos finales encontrados y cada código de respuesta. Este informe también indicará si hubo puntos finales defectuosos.
Comprobación de sus hallazgos
La página de resultados muestra los resultados del análisis tan pronto como se encuentran, incluso cuando los análisis están en curso. Cada hallazgo muestra una gravedad (alta, media o baja), el objetivo y la URL correspondientes, la descripción del hallazgo, la hora y la fecha en que se encontró, su estado (fijo o no fijo) y el responsable, y si afecta PCI- Conformidad con DSS u OWASP.
Además de mantenerlo informado sobre las vulnerabilidades detectadas, la página de hallazgos también es útil para asignar vulnerabilidades a su equipo para que las corrija. Para hacerlo, haga clic en la casilla de verificación a la izquierda y seleccione el asignado de un menú desplegable.
Probely también proporciona información sobre cómo corregir las vulnerabilidades que se han encontrado. Junto con estas instrucciones, puede ver la solicitud y la respuesta completas, y las pruebas.
En la página Panel, puede ver varios gráficos que resumen el riesgo de seguridad de los objetivos escaneados. Los gráficos muestran tendencias en diferentes métricas interesantes, como puntajes de riesgo, el tiempo promedio para solucionar problemas y niveles de gravedad. También puede echar un vistazo a los sitios que requieren más atención y una clasificación de los 5 principales de vulnerabilidades con mayor incidencia.
Finalmente, en la página Integraciones, puede configurar Probely para que se integre con muchas herramientas diferentes para administrar proyectos, comunicación en equipo, seguimiento de problemas y más. Las integraciones disponibles incluyen Azure Boards, DefectDojo, Slack, Jira, Jenkins y CircleCI.
Una herramienta para desarrolladores y equipos de seguridad
Para los equipos de desarrollo ágiles, el tiempo de comercialización es una prioridad máxima. Todo lo que pueda hacer para minimizar el tiempo que tarda su software en entrar en producción sin comprometer la calidad es muy bienvenido. Probely ofrece precisamente eso: una forma rentable de mejorar la seguridad de sus sitios web y API, ayudándole a cumplir sus promesas relacionadas con la programación y a ofrecer productos de software de alta calidad.
Para los equipos de seguridad, Probely les brinda una plataforma para proteger sus aplicaciones web y administrar las vulnerabilidades que requieren reparación. También le permite descargar algunas de las pruebas de seguridad directamente a los equipos de desarrollo mientras tiene una función de supervisión.
Probely ofrece pruebas gratuitas, licencias de evaluación empresarial y demostraciones de productos. Contacto probablemente Para empezar.