На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2000-11-12 на главную / новости от 2000-11-12
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 12 ноября 2000 г.

Обнаружение лазеек в защите: глубинный подход

Новая версия продукта AppScan компании Sanctum позволяет веб-разработчикам еще тщательнее проверять свои приложения на наличие пробелов в защите

Инструменты для сканирования сетей и серверов с целью контроля на наличие пробелов в защите существуют давно. Последнее достижение в этой области — новая версия продукта AppScan компании Sanctum, который позволяет веб-разработчикам еще тщательнее проверять свои приложения.

Модернизированный AppScan 1.5 выводит контроль защиты на новый уровень. Другие продукты, такие как инструменты разработки, тоже способны выполнять аналогичные функции, но ничего подобного сочетанию средств прослеживания пути, анализа защиты и предотвращения ручного проникновения в сеть, присутствующему в AppScan, eWeek Labs не знает. AppScan ведет подробный список слабых мест и позволяет разработчикам попытаться взломать свой собственный сайт, чтобы проверить его на наличие проблем защиты. Продукт фиксирует множество потенциальных проблем, начиная с обычных приемов подбора параметров и кончая самыми невероятными потайными ходами.

К сожалению, AppScan подает слишком много ложных сигналов. В ходе испытаний он указал такие проблемы, которые просто не могут присутствовать в сканируемых нами веб-приложениях. Тем не менее мы считаем этот инструмент довольно полезным. Конечно, всю предоставляемую продуктом информацию можно найти на специальных сайтах, таких как SANS Institute и CERT Coordination Center. Однако на то, чтобы при помощи этих сайтов обнаружить проблемы в своем приложении, у разработчика с хорошей подготовкой уйдет неделя-другая. AppScan же сокращает требуемое для этой работы время до одного-двух дней.

AppScan оплачивается по модели подписки: цена продукта — от 20 тыс. $ в год на пользователя. Существует также консалтинговая модель подписки — за 70 тыс. $ в год.

Продукт устанавливается на выделенную Pentium-систему, предоставленную заказчиком. Установка осуществляется посредством загрузки системы с CD-ROM, содержащего Debian Linux и AppScan. Пожалуй, самая большая трудность, которую приходится преодолевать, это чрезвычайно сложная модель лицензирования AppScan. Прежде чем приступить к работе с продуктом, нам пришлось предоставить Sanctum адрес управления доступом к носителю, IP-адрес и имя хост-системы AppScan, а также имена хостов всех веб-приложений, которые мы намеревались тестировать. Кроме того, нужны специальные идентификаторы пользователей, которые выдаются только после того, как эти пользователи пройдут двухдневный курс обучения работе с продуктом. Лицензирование продуктов защиты, которые могут использоваться не по назначению, безусловно, полезно, но подход Sanctum кажется избыточным, особенно по сравнению с требованиями к лицензированию других средств защиты — ими можно злоупотреблять в не меньшей степени.

При помощи AppScan мы проверили веб-приложения, написанные на разных языках и установленные на разные серверы. Ложные предупреждения, на долю которых иногда приходилось 80% результатов, раздражают, но среди всего этого мусора нам удалось обнаружить несколько довольно тонких лазеек. Чтобы проверить веб-приложение, достаточно настроить AppScan на контроль своих действий в процессе работы с этим приложением. Затем можно приступать к анализу, однако при задании параметров анализа AppScan предлагает ограниченный набор опций. Мы предпочли бы иметь возможность более точно фильтровать процесс сканирования, чтобы предотвратить анализ несуществующих проблем защиты.

По завершении анализа вы получаете список пробелов защиты, которые AppScan обнаружил в веб-приложении. По каждому из них предлагается полная информация, к тому же AppScan позволяет попытаться взломать приложение вручную. Кроме того, AppScan может особо выделить в своих отчетах проблемы защиты, указанные пользователем.
Обсуждение и комментарии

Viktor - zdotstoyru.ru
13 Nov 2000 12:20 PM
Какие-то отстнойные статьи становятся в обозрениях ZDNET.RU
Ждал чего-то нового, а здесть пугают дырами в чужой защите. Да еще и ложными... ха, ха , ха http://ad1.lbe.ru/bb.cgi?cmd=go&pubid=12271&pg=1&vbn=2&num=1&w=100&h=100&nocache=5032
 

I
14 Nov 2000 9:30 AM
А отстойные они потому, что zdnet.ru - это, по-моему, просто инициатива zdnet.com в России. Ну, "шоб було". А что тут печатают - zdnet.com не колышет. Из 50 обзоров на zdnet.com тут выбирают один, который легче перевести на русский. Отсюда и "отстойность" статей и их неинтересность. Тем более что zdnet.com посещают в основном "простые смертные", и для них это, может быть, и интересно.
 

den - webmastermegastyle.com
14 Dec 2000 1:13 AM
А вы, что же - кул хацкеры? Ну, отформатируйте меня, что-ли... =Р http://www.megastyle.com
 

 

← октябрь 2000 4  8  9  10  12  13  14  15  16 декабрь 2000 →
Реклама!
 

 

Место для Вашей рекламы!