Многие люди не знают разницы между программой вознаграждения за ошибки и автоматическим сканированием безопасности. Вот шпаргалка, позволяющая быстро узнать основные различия.
Синонимы
Сканер безопасности также известен как сканер веб-приложений или DAST. DAST расшифровывается как Dynamic Application Security Testing.
DAST – это процесс тестирования веб-приложений, мобильных приложений и приложений API с целью поиска уязвимостей и ошибок безопасности посредством имитационного тестирования.
Этический хакерство взаимозаменяемо используется с этими синонимами, т.е. тестирование на проникновение или пен-тестирование или этический хакерство или тестирование безопасности или программы Bug Bounty.
Определение
DAST расшифровывается как динамическое тестирование безопасности приложений. Это процесс тестирования веб-, мобильных и API-приложений с целью поиска уязвимостей и ошибок безопасности с помощью автоматизированного подхода.
Этический взлом – это процесс поиска ошибок безопасности с помощью человеческого интеллекта.
Большинство тестировщиков безопасности могут использовать и модифицировать автоматизированные инструменты для поиска труднодоступных уязвимостей.
Доступ к коду
DAST: Доступ к коду не требуется. Большинство инструментов не зависят от языка и технологии.
Этический взлом: Доступ к коду не требуется. Знание внутреннего технологического стека помогает создавать специализированные тесты
Доступ к реальному трафику:
Доступ к живому трафику не требуется обоим
Поддержка технологических стеков:
DAST требует различных инструментов для веб-, мобильных, REST API, GraphQL и т.д.
Этический хакерский взлом использует всевозможные техники, включая ручное тестирование веб-/мобильного пользовательского интерфейса, Burp-тесты для веб-/API, shell-скрипты и т.д.
Обнаруженные уязвимости
С помощью DAST мы обычно можем найти SQLi, XSS, конфигурацию сервера и т.д.
Этический хакинг обычно используется для поиска Zero-day, логических ошибок, несанкционированного доступа к данным, захвата аккаунтов, доступа к PII/финансовым данным и т.д.
Плюсы
DAST может работать непрерывно в среде разработчиков
Этический хакинг находит труднодоступные уязвимости
Минусы
DAST имеет ограниченный охват и обнаруживает менее часто встречающиеся проблемы
Этические взломы проводятся реже, большинство компаний проводят тестирование на проникновение раз в 3/6/12 месяцев.
Стоимость
DAST требует низких затрат, в то время как этический взлом всегда имеет высокую стоимость.
Удобство для разработчиков
Находки сканера распространяются на производственную установку и код. Не все находки требуют исправления разработчиками. Например, конфигурации сервера, SSL и т.д. требуют исправления DevOps или команды поддержки производства.
Разработчики ненавидят или не понимают многие предложения. Работа с разработчиками – это основная проблема.
Когда речь идет об этическом взломе, большинство находок требуют от разработчиков исправления проблем, и это проблемы, связанные с кодом, которые являются обычными ошибками. Разработчики получают большинство проблем и с радостью добавляют их в свой список ошибок.
Популярные инструменты
Бесплатный сканер API
https://apisec-inc.github.io/pentest/
Сканер веб-приложений Qualys
https://www.qualys.com/apps/web-app-scanning/
Сканер мобильных приложений
https://www.ostorlab.co/
Программа вознаграждения за ошибки
https://www.hackerone.com/
Тестирование веб-приложений
https://portswigger.net/burp/communitydownload