Hailstorm находит дефекты Web-приложений

  ИНСТРУМЕНТЫ

Версия 2.6 платформы тестирования безопасности удобна в работе и имеет богатые возможности

Продукт Hailstorm 2.6 фирмы Cenzic предоставляет необычайно широкие возможности для тестирования защищенности Web-приложений. Это высокоавтоматизированное и удобное ПО существенно облегчает данную работу, и Тестовый центр eWeek Labs может по праву присудить исследованному продукту титул "Выбор аналитика".

Выпущенная в июле версия 2.6 обеспечивает более эффективную защиту ответственных Web-приложений и проверяет на прочность брандмауэры и другие средства обороны своих Web-приложений.

Hailstorm содержит разнообразные тесты на проникновение, вскрывающие уязвимости Web-приложений, в том числе переполнение буфера, SQL-инъекции и межсайтовый скриптинг, а также позволяет контролировать инфраструктуру организации на присутствие устаревших Web-серверных платформ. Индивидуальные правила аккуратно группируются в пакеты, которые можно легко использовать на практике, чтобы обеспечивать соблюдение принятых в стране стандартов или практически выработанных отраслевых рекомендаций.

Для распознания потенциальных уязвимостей Web-приложений Hailstorm вбрасывает в приложение реально инициируемый браузером трафик, используя для этого платформу Mozilla. Этот способ очень близко имитирует хакерские атаки, помогая избежать ложных сигналов тревоги, являющихся распространенным недостатком сканеров приложений.

Лицензионная стоимость Hailstorm зависит от числа нуждающихся в защите приложений. Его начальная цена составляет 15 тыс. долл. в год за одно тестируемое приложение, однако с ростом числа проверяемых приложений удельные расценки на ПО снижаются. В сумму годичной оплаты включены услуги по поддержке, обновлению продукта и политик, а также доступ к серверному модулю Hailstorm, обеспечивающему групповую работу с ПО. (В eWeek Labs этот модуль не проверялся.) Расценки на Hailstorm находятся примерно на одном уровне с аналогичными сканерами приложений, например AppScan Audit корпорации Watchfire.

Организациям, предпочитающим сторонний аудит безопасности своих приложений, Cenzic предлагает сервис тестирования ClickToSecure.

Мы инсталлировали Hailstorm 2.6 на ноутбуке Latitude D600 фирмы Dell с 1,6-ГГц процессором Pentium M и 512-Мб ОЗУ. Cenzic рекомендует применять ПК, имеющий процессор Pentium 4 с тактовой частотой не ниже 2 ГГц и 1 Гб ОЗУ, однако Hailstorm отлично работал и в нашей тестовой системе.

Пользователи могут легко настраивать параметры потенциальных атак и исключать из

проверки заданные Web-страницы (наверху). Новый мастер Hailstorm упрощает освоение продукта,

но вместе с тем предлагает ряд "продвинутых" средств управления тестированием (внизу)

Мы проверили Hailstorm 2.6 на двух тестовых приложениях, функционирующих в лаборатории. Одно из них, предназначенное для э-коммерции и действовавшее на Web-сервере Microsoft IIS (Internet Information Services) с базами данных SQL Server 2000, содержало большое число известных уязвимостей. Второе представляло собой автономную версию "упрочненного" Web-приложения, регулярно используемого в eWeek Labs, и работало при посредстве контейнера Java-сервлетов сервера Tomcat, созданного Apache Software Foundation, с базой данных IBM DB2.

Запустив Hailstorm 2.6, мы сразу же заметили его полезные усовершенствования. В начале его работы открывается интерфейс мастера Security Assessment Wizard, управляющего процессом ввода стартового URL-адреса тестируемого Web-приложения и данных авторизации пользователя (если это необходимо). В окне дополнительных параметров можно легко регулировать уровни глубины и широты проверки сайта, причем в качестве ориентира пользователю Hailstorm предлагается ряд типичных конфигурационных заготовок.

ПО обладает превосходными функциями отчетов. После выполнения задания с выбранным числом повторений теста Hailstorm предоставляет обобщенные сведения о соблюдении политики и перечень уязвимостей, сортируемых по степени риска и типу. Интерфейс продукта позволяет далее ознакомиться с более конкретной информацией о характере обнаруженных уязвимостей. Мы могли экспортировать полученные данные в разнообразные форматы документов, включая PDF, Microsoft Word и Excel, RTF и формат Crystal Reports компании Business Objects S.A.

Результаты первоначальной проверки подтвердили наше доверие к своему приложению на базе Tomcat - единственным найденным серьезным упущением оказалась возможность обхода каталогов, которую мы забыли заблокировать. Поменяв несколько параметров сервера Tomcat, мы запустили повторный тест, удостоверивший, что изменения решили указанную проблему. Особо отметим, что в подсистему генерации отчетов Hailstorm встроены функции дельта-анализа для выявления изменений в результатах последовательных тестов.

Между тем сканирование нашего сайта э-коммерции на базе IIS показало, что это приложение кишит всевозможными проблемами, включая уязвимости к межсайтовому скриптингу, переполнению буфера, SQL-инъекциям в строку ввода, а также дефекты безопасности SQL-парсера.

Ознакомившись с мастером тестирования Hailstorm, опытный специалист быстро перейдет к использованию более глубоких и мощных функций продукта, позволяющих тонко контролировать диапазон и параметры тестирования.

Система обследовала наш Web-сайт и изучила ссылки, формы и поля ввода

Тест на возможность проникновения в приложение должен начинаться с обследования структуры Web-сайта и инвентаризации страниц, которые подлежат проверке. Hailstorm дает возможность осуществлять этот проход и в ручном, и в автоматическом режиме. Мы настроили поисковую систему на обследование всего тестируемого сайта с заданной глубиной ссылок.

При желании ограничить тестирование какой-то конкретной частью приложения (например, подсистемой комплектования заказа или окном регистрации пользователя) можно воспользоваться записью результатов интерактивного обследования. При интерактивном способе отслеживаются ручные операции перемещения пользователя по сайту и записываются данные, которые вводятся в формы, чтобы впоследствии обращать внимание только на часто открываемые страницы и формы, участвующие в типичных транзакциях. При проверке продукта мы обнаружили, что слишком сложная структура сайта иногда застопоривает автоматическое обследование, а интерактивный метод помогает ускорить предварительную инвентаризацию.

Закладка Jobs (задания) позволяет применить к сохраненным результатам обследования установки политики. Каждая отдельная опция политики включает в проверку определенный класс или тип уязвимости, например переполнение буфера, ошибки конфигурирования Web-сервера или ошибки разработчика, открывающие возможность атаки приложения путем межсайтового выполнения сценариев.

Для каждой установки политики предлагаются квалифицированное разъяснение соответствующей уязвимости, информация о действиях ПО при выполнении теста и советы по исправлению дефектов. Администраторы могут легко задавать и дополнительные параметры политики, например страницы, не включаемые в процедуру проверки, или длину вставляемой порции данных при тестировании на переполнение.

При необходимости в еще более тонком контроле администраторы могут корректировать сценарии, лежащие в основе каждой опции политики.

На уровне интерфейса Hailstorm политики организуются в группу пакетов, формируемых на базе экспертных рекомендаций или регулятивных норм безопасности, взятых из большого числа разнообразных источников, что позволяет легко выполнить правильный тест в соответствии с конкретными целями безопасности. В этих пакетах учитываются правила, разработанные компаниями American Express, Visa USA и MasterCard International, а также требования, вытекающие из закона Sarbanes - Oxley Act.

В меню, отображаемом после инсталляции Hailstorm, содержится обширный перечень политик и пакетов, однако оказалось, что многие из них доступны только после обновления продукта. Для загрузки новых политик служит удобная встроенная функция автоматического обновления. По информации представителей Cenzic, ее разработчики постоянно улучшают политики и примерно раз в две недели поставляют новые сигнатуры.