Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

Сканеры Ajax-приложений

Джордан Винс

Мы рассчитывали, что сканеры веб-приложений сумеют автоматически найти все уязвимости ПО, разрабатываемого в среде Ajax. Однако, как оказалось, большинство из них, будучи неспособными к этому, оставляют код приложения незащищенным. Чтобы обеспечить его безопасность, вам придется анализировать код вручную.

Если интенсивно использующая инструментарий Ajax компания не хочет стать жертвой хакерских атак, она должна предпринять определенные меры защиты: силами собственного квалифицированного аналитика безопасности проверить код приложений SaaS (Software as a Service — ПО как услуга) или — самый дорогой вариант — привлечь к проверке стороннего консультанта. Как показало наше тестирование, за исключением сканера Watchfire AppScan фирмы IBM, все остальные автоматические сканеры веб-приложений просто не способны обнаруживать бреши в Ajax-коде. И не потому, что мы ставили перед ними сложные задачи: Ajax-приложения, которые мы использовали при тестировании, были относительно простыми. Ни одна из оставшихся не замеченными сканерами уязвимостей тестового кода не была чересчур уж сложной и не требовала углубленного анализа. Это были традиционные уязвимости веб-приложений, с той лишь разницей, что они «открывались» через новый Ajax-интерфейс. Если бы тестируемые сканеры могли ориентироваться в приложении самостоятельно, то поиск уязвимостей был бы для них пустяковым делом.

К нашему огорчению, большинство сканеров не могут автоматически перемещаться по приложению. Им требуется, чтобы человек, войдя на соответствующий сайт, указывал, куда двигаться, что и где проверять.

Тем не менее по результатам нашего четырехмесячного тестирования мы хотели бы присудить некоторым сканерам заслуженные баллы. Хотя только сканер Watchfire AppScan компании IBM автоматически справлялся с нашими тестовыми Ajax-приложениями, способность анализировать их код и обнаруживать его уязвимости, но исключительно при «ручной» наводке, проявили также сканеры Web Vulnerability Scanner фирмы Acunetix, Hailstorm фирмы Cenzic и WebInspect фирмы Hewlett-Packard — HP — (после обновления ПО).

К сожалению, это никуда не годится. Сканер должен уметь автоматически перемещаться по приложению, осуществляя в нем исчерпывающий поиск. Если для перемещения ему требуется помощь человека, то проверить весь код не представляется возможным, и итоговая результативность работы сканера оказывается низкой. И хотя мы не даем соответствующим продуктам оценку «абсолютно неудовлетворительно», их еще нужно совершенствовать и совершенствовать, чтобы они стали реально полезными для Ajax-сред. А пока вам придется быть готовыми к копанию в коде вручную.

Полную версию данной статьи смотрите в 6-м номере журнала за 2008 год.


  
6 '2008
СОДЕРЖАНИЕ

инфраструктура

• Мобильные дата-центры в фокусе российского рынка

• БЛВС стандарта 802.11n: пришло ли их время?

• Видео-конференц-связь — «дорогая игрушка» или массовый сервис?

информационные системы

• Анализируем продукты мобильной электронной почты

• Технология Web 2.0: болезни роста

• Виртуализация наступает!

сети связи

• Сетевая инфраструктура для IP-ТВ

• В дорогу с телефоном в кармане

кабельные системы

• Кабели UTP в деталях

• Оптический рефлектометр: работать с ним становится проще

защита данных

• Иметь «глаза» и «уши»

• Сканеры Ajax-приложений

новые продукты

• Новинки EnLighten для сетей FTTH


• Калейдоскоп


Реклама:
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх