SolidPoint DAST. Сканер защищенности веб-приложений и API

SolidPoint DAST — современное решение для динамического анализа веб-приложений на наличие уязвимостей информационной безопасности, использующее интеллектуальные алгоритмы для повышения вероятности обнаружения скрытых недостатков и снижения количества ложных срабатываний. 

Сценарии использования:

  • анализ защищенности браузерных веб-приложений, в том числе путем статико-динамического анализа JavaScript кода;

  • анализ защищенности мобильных приложений и веб-сервисов;

  • тестирование на уязвимости инфраструктуры доставки приложений;

  • проверка наличия уязвимостей, связанных с аутентификацией и авторизацией;

  • инвентаризация компонентного состава веб-приложений, управление изменениями API;

  • проверка безопасности приложений, находящихся в продуктивной эксплуатации;

  • динамический анализ приложений в рамках процессов защищенной разработки SDLC;

  • обнаружение уязвимостей ИТ-инфраструктуры в рамках процессов управления уязвимостями и патч-менеджмента;

  • Использование в формате облачного сервиса или в виде решения, размещаемого на площадке заказчика.

Преимущества SolidPoint DAST:

  • работа с самыми современными веб-приложениями, включая одностраничные;

  • эффективный анализ компонентного состава веб-приложений и обнаружение точек ввода данных;

  • обнаружение сложных классов недостатков, таких как DOM based XSS или Prototype Pollution;

  • масштабируемые конфигурации и гибкое регулирование нагрузки для сканирования распределенных инфраструктур;

  • управление с помощью Web UI, CLI и API, легкое встраивание в конвейер разработки;

  • интеграция с SolidWall WAF и другими инструментами для повышения эффективности защиты.

Ключевые функциональные особенности

Анализ инфраструктуры доставки приложений
SolidPoint DAST выполняет сканирование инфраструктуры доставки приложений на наличие известных уязвимостей и недостатков конфигурации, а также обнаруживает веб-приложения, доступные для анализа.

Выявление точек ввода данных
Решение поддерживает максимально широкий спектр технологий по обнаружению точек ввода данных, как традиционных (crawling, dirbusting), так и альтернативных (статико-динамический анализ JavaScript, FAST, загрузка описаний Open API).

Обнаружение различных классов уязвимостей
Модули сканирования в составе решения позволяют выявлять различные классы уязвимостей, в том числе инъекции, недостатки десериализации и парсинга форматов передачи данных, уязвимости аутентификации и авторизации и другие.

Поддержка авторизации в анализируемых приложениях
Решение поддерживает механизмы для проверки функционала веб-приложений, требующего авторизации (методом «серого ящика»). Поддерживаются способы авторизации с использованием cookie, заголовков и веб-форм.

Техническая поддержка и дополнительные сервисы сопровождения решения

Настройка средств анализа защищенности, включая разработку индивидуальных правил, подавление ложных срабатываний и определение уровня критичности недостатков.

Проверка эксплуатируемости выявленных недостатков и написание тестовых сценариев для демонстрации недостатка (Proof of Concept).

Консультационная поддержка процессов защищенной разработки, включая консультации по созданию защищенной архитектуры приложений и практикам защищенного кодирования, а также разработку нормативной документации.

Интеграция решения в инфраструктуру заказчика самостоятельно или в рамках платформы защищенной разработки.

Анализ срабатываний инструментов анализа защищенности и консультации по устранению выявленных недостатков.

Обучение специалистов заказчика практикам защищенной разработки.

Разработка аналитических отчетов.