Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

Тестируем сканеры уязвимостей

Джордан Винс

Мало того, что продукт AppScan, разработанный в 2000 г. в качестве расширения межсетевого экрана (МЭ) прикладного уровня AppShield компании Sanctum, является наиболее зрелым сканером уязвимостей веб-приложений среди всех имеющихся на рынке — не так давно в результате покупки фирмы Watchfire компанией IBM последняя стала его полноправной обладательницей.

Мы были не очень уверены в том, что «квалификации» AppScan нам окажется достаточно: приложения Ajax, которыми мы «потчуем» наши сканеры уязвимостей, оказались для них весьма твердыми орешками, причем даже для сканеров, давно завоевавших репутацию высоконадежных. Однако AppScan приятно удивил нас простотой использования, продвинутой функциональностью и исключительной надежностью. До сих пор при сканировании наших приложений Ajax AppScan показывал по сравнению с другими продуктами наилучшие результаты.

Однако полностью избежать неприятных моментов нам все же не удалось. AppScan при сканировании демонстрационного приложения Ajax не сумел автоматически проанализировать код JavaScript и целиком «просчитать» приложение. Однако, после того как представитель компании Watchfire провел свое исследование, он заявил, что дело вовсе не в приложении. А в чем же тогда?

Поиск проблемы привел нас к тому, что наш сканер неверно регистрировал библиотеку Microsoft XML. Пока мы докапывались до точной причины этого, специалисты Watchfire оснастили инсталлятор AppScan временной «заплатой». Итак, нуждающиеся в функции тестирования кода JavaScript пользователи должны позаботиться о том, чтобы у них была инсталлирована утилита AppScan Update, позволяющая установить «заплату» для обнаруженной ошибки.

После того как эта проблема была разрешена, AppScan работал в полном соответствии с обещаниями производителя, став первым среди протестированных нами сканеров веб-приложений, правильно идентифицировавшим функциональность Ajax-кода и осуществлявшим навигацию по тем разделам приложения, которые другие сканеры приложений автоматически просканировать не смогли.

ПО AppScan предоставляет лучшие среди всех протестированных нами продуктов функциональные возможности, в нем было лишь небольшое число изъянов. Указанное ПО весьма грамотно спроектировано и предоставляет простой в использовании интерфейс, во многом схожий с интерфейсом продукта WebInspect компании Hewlett-Packard (HP), только без характерных для последнего проблем с надежностью.

С точки зрения продвинутых пользователей, встроенные утилиты сканера AppScan практически идентичны интегрированному с ПО WebInspect функционально богатому пакету инструментальных средств. Кроме того, начиная с версии 7.5, продукт AppScan, так же как и браузер Firefox, позволяет пользователям разрабатывать расширения, которые можно интегрировать с ним. Эти добавочные модули расширения отражают растущую популярность продуктов с открытым исходным кодом. Одним из примеров таких расширений является независимая полная среда разработки приложений, интегрирующая популярный язык написания сценариев с открытым исходным кодом Python и механизм ядра AppScan.

Ценность сканера зависит в основном от того, насколько гладко он «вписывается» в ваш рабочий процесс, предоставляя на протяжении всего периода разработки приложения значимую и действенную информацию. Предоставление доступа к AppScan через его расширения — великолепная идея, позволяющая клиентам использовать этот продукт оптимальным для их конкретных потребностей или особенностей среды способом. Возьмем, к примеру, модуль Pyscan. С его помощью организация может осуществлять специальное сканирование разных ветвей кода разрабатываемого приложения, автоматически составляя для точек ветвления кода как сценарии сканирования, так и сценарии генерации отчетов — на случай повторного использования или регистрации кода в репозитории исходного кода. Результатом «привязки» простого и популярного языка Python к механизму сканирования AppScan является весьма мощное инструментальное средство, задействуя которое творческие натуры смогут открыть неисчерпаемый источник всевозможных способов применения AppScan.

И все же, несмотря на все вышеизложенное, нельзя сказать, что AppScan — безупречный продукт. До тех пор пока кто-то из группы поддержки AppScan не установил, что веб-приложение электронной почты Ajax обнаруживает изменение параметра пользовательского агента (User-Agent) между исходным регистрируемым сеансом входа в систему и последующими запросами к ней, попытка сканирования этого почтового приложения Ajax приводила к «выгрузке» сканера обратно в окно регистрации входа в систему. После выявления причины проблемы корректирование параметра User-Agent сканера с целью приведения его в соответствие со сценарием входа в систему свелось к нескольким простейшим действиям.

Мы остались довольными быстротой реагирования технической службы Watchfire на наши запросы к ней, и у нас нет никаких оснований думать, что компания не будет столь же внимательной и к запросам ИТ-групп предприятий. Подводя итог, скажем, что, хотя сканер AppScan нельзя назвать идеальным продуктом, тем не менее он более надежен, функционален, расширяем и прост в использовании, если сравнивать его с любым другим продуктом, протестированным нами ранее..

  
7 '2008
СОДЕРЖАНИЕ

инфраструктура

• Накопители на жестких магнитных дисках уходят в прошлое

• Изоляция воздушных потоков в ЦОДе

• Современные технологии в инженерной инфраструктуре здания

бизнес

• Зашло ли лицензирование ПО в тупик?

• ZyXEL: 10 лет в одной лодке

• Планирование ресурсов контакт-центра

• Простился ли Fraport с ИТ?

информационные системы

• «Заплаты», которыми мы управляем

• Как заставить работать ILM

сети связи

• Тестовое оборудование для сетей xDSL

• Перспективные услуги сетей 3G

• Технологии для широкополосного доступа

кабельные системы

• Рынок кабеленесущих систем: развитие по всем направлениям

• Сварка оптических волокон: плюсы и минусы

защита данных

• Тестируем системы предотвращения «выжимки» данных

• Тестируем сканеры уязвимостей


• Калейдоскоп


Реклама:
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх