1. AppScan Standard Trial
2. Малюнок 1. Кількість надходжень в магазин iTunes App в березні 2014 р
3. Усунення вразливостей за допомогою рішення IBM для перевірки безпеки методом статичного аналізу
4. Порівняння локального і серверного режимів
5. Малюнок 2. Локальний і серверний режими
6. Локальний і серверний режими в дії
7. Малюнок 3. Діалогове вікно вибору локального або серверного режиму
8. Малюнок 4. Меню Security Analysis в локальному режимі
9. Малюнок 5. Фільтри в локальному режимі
10. Малюнок 6. Зміни сканування в локальному режимі
11. Малюнок 7. Діалогове вікно Security Analysis
12. Малюнок 8. Меню Security Analysis в серверному режимі
13. Малюнок 9. Фільтри в серверному режимі
14. Швидке сканування мобільних додатків за допомогою AppScan Source for Development
15. Малюнок 11. Подання AppScan Source Eclipse
16. Малюнок 12. Фільтрація результатів за допомогою фільтра Mobile OWASP Top 10 Vulnerabilities
17. Ресурси для скачування

Виявлення та усунення вразливостей

Мобільні додатки швидко стали частиною повсякденного життя. Ще недавно важко було уявити собі ті способи їх використання, які існують сьогодні. По дорозі на роботу, я купую каву, розплачуючись за допомогою мобільного додатку. Якщо на тижні ми вирушаємо повечеряти з родиною, то поки накривають стіл, я і мій чоловік даємо дітям пограти в їх улюблені ігри на наших мобільних телефонах. Це забезпечує нам кілька хвилин спокою і можливість поговорити. А моя подруга навіть відстежує місцезнаходження своєї дочки за допомогою мобільного додатку!

AppScan Standard Trial

IBM® Security AppScan® - це передовий комплекс засобів тестування безпеки додатків, призначений для управління перевіркою уразливості в процесі розробки ПЗ. IBM Security AppScan автоматизує оцінку вразливості, скануючи і перевіряючи всі відомі уразливості веб-додатків, включаючи SQL-ін'єкцію, міжсайтовий скриптинг, переповнення буфера, а також уразливості нових flash / flex-додатків і додатків Web 2.0.

Завантажити пробну версію AppScan Standard .

Мобільні додатки розробляються і випускаються з неймовірною швидкістю. Веб-сайт 148Apps.biz (див. Розділ ресурси ) Повідомляє, що з 2008 року в iTunes App Store додано більше мільйона активних додатків. Як показано на малюнку 1, тільки в березні 2014 року презентували близько 7000 ігрових і більше 15 тис. Неігрових додатків.

Малюнок 1. Кількість надходжень в магазин iTunes App в березні 2014 р

Ці додатки приносять користувачам зручність і задоволення, але чи безпечні вони? І чи захищені від хакерів?

Дослідження, виконане бізнес-партнером IBM компанією Arxan, показало, що серед топ-100 платних додатків:

• зламано 100% додатків на платформі Google Android і
• 56% додатків на платформі Apple iOS.

Серед популярних безкоштовних додатків:

• зламано 73% Android-програм і
• 53% програм для Apple iOS.

Посилання на звіти Arxan приведена в розділі ресурси .

Явно, що компаніям потрібні інструменти і методи для забезпечення безпеки своїх додатків, і робити це необхідно швидко, щоб задовольнити зростаючі потреби сьогоднішнього ринку. Ідеальний момент для початку тестування безпеки додатків - рання стадія розробки. Ця стаття містить огляд рішення IBM для тестування безпеки на основі статичного аналізу і присвячена новим функціям версії 9.0, які допомагають сканувати мобільні додатки ще швидше.

Усунення вразливостей за допомогою рішення IBM для перевірки безпеки методом статичного аналізу

IBM Security AppScan Source визначає статичні уразливості, або уразливості вихідного коду, на початку циклу розробки програмного забезпечення, так щоб ці уразливості можна було виправити до розгортання програми. Крім традиційних мов програмування, AppScan Source підтримує сканування мобільних додатків, написаних на мовах HTML5, JavaScript, Java ™ і Objective-C. У версії 9.0 додана підтримка інтеграції з IBM Worklight® і сканування гібридних і нативних Worklight-додатків для iOS і Android. AppScan Source забезпечує підтримку інтеграції з плагінами Eclipse / Visual Studio, автоматизацію складання, а також аналіз і виправлення користувальницького інтерфейсу.

Всіх випусках AppScan Source до версії 9.0 потрібно підключення до AppScan Enterprise Server, що призводило до витрати часу на установку і настройку цього продукту. З введенням в версії 9.0 локального режиму в плагінах AppScan Source for Development для Eclipse і Visual Studio це вимога виключено. У локальному режимі плагіни працюють без підключення до AppScan Enterprise Server, що сприяє швидкому скануванню безпеки мобільних додатків. Користувачі отримують перевагу економії часу, необхідного для підготовки до тестування мобільних додатків за допомогою AppScan Source. Варто відзначити, що Worklight-додатки розробляються в тому ж примірнику Eclipse, до якого підключений AppScan Source. Результатом є тісна інтеграція між розробкою мобільних додатків за допомогою Worklight і скануванням цих додатків з використанням AppScan Source. У решти цієї статті міститься порівняння локального і серверного режимів роботи AppScan Source і описані можливості, доступні в кожному з цих режимів.

Порівняння локального і серверного режимів

Локальний режим плагіна AppScan Source for Development полегшує швидке сканування безпеки мобільних додатків. У локальному режимі користувачі можуть проводити аналіз безпеки за допомогою стандартного набору конфігурацій сканування. Вони можуть переглядати результати, застосовувати готові фільтри, створювати свої власні фільтри, поглядати трасування і усувати уразливості. AppScan Enterprise Server потрібно лише для доступу до загальних правил, конфігурацій сканування і фільтрів. AppScan Source for Analysis надає наступні додаткові можливості при розробці плагінів: підтримка звітності, можливість публікації на Enterprise Server, управління обліковими записами користувачів, створення спеціальних правил, створення конфігурацій сканування, організація черговості і інтеграція з системами відстеження дефектів. Крім того, в процесі розробки програмного забезпечення (software development lifecycle - SDLC) користувачі можуть застосовувати AppScan Source for Automation для інтеграції сканування безпеки вихідного коду з середовищем збірки. Для роботи плагінів AppScan Source for Analysis і Automation потрібно з'єднання з AppScan Enterprise Server. На малюнку 2 наведена ілюстрація порівняння локального і серверного режимів.

Малюнок 2. Локальний і серверний режими

Модулі AppScan Source for Development можна перемикати між серверним і локальним режимами. Однак на початку своїх програм тестування безпеки додатків користувачі, швидше за все, будуть застосовувати локальний режим. Але в міру дозрівання процесів забезпечення безпеки в своїх організаціях вони можуть задіяти AppScan Source for Analysis або Automation з сервером AppScan Enterprise Server для отримання згаданих вище додаткових функціональних можливостей.

Що стосується ліцензування, то плагіни AppScan Source for Development дозволяють застосовувати призначені для користувача або плаваючі ліцензії. Ця вимога залишається в силі, незалежно від того, який режим використовується, локальний або серверний. Всі плаваючі ліцензії вимагають підключення до сервера ліцензій; це з'єднання обов'язково як в локальному, так і в серверному режимах роботи. Для користувальницьких ліцензій, які пов'язані з ідентифікатором вузла, сервер ліцензій не потрібно.

Локальний і серверний режими в дії

У цьому розділі наводяться інструкції по вибору локального режиму і переключення в серверний режим. Я наведу деякі особливості кожного режиму і торкнуся питань ліцензування.

Після запуску продукту відкривається діалогове вікно, показане на малюнку 3. У діалоговому вікні Use AppScan Enterprise Server пропонується попередньо вибрати локальний або серверний режим. Припустимо, що ви вибрали Do Not Use Server (Не використовувати сервер), щоб залишитися в локальному режимі.

Малюнок 3. Діалогове вікно вибору локального або серверного режиму

У локальному режимі меню Security Analysis виглядає так, як показано на малюнку 4.

Малюнок 4. Меню Security Analysis в локальному режимі

У локальному режимі користувачеві все одно необхідна діюча ліцензія на експлуатацію продукту. При використанні плаваючої ліцензії підключення до сервера ліцензій не потрібно. Пункт Release Scanning License в діалоговому вікні на малюнку 4 дозволяє анулювати плаваючу ліцензію на сканування, коли вона більше не потрібна.

На малюнку 5 наведено приклад фільтрів, доступних в локальному режимі. Це поєднання готових стандартних фільтрів зі спеціальними, створеними локально.

Малюнок 5. Фільтри в локальному режимі

На малюнку 6 наведено приклад конфігурацій сканування в локальному режимі.

Малюнок 6. Зміни сканування в локальному режимі

Почніть сканування, і вам не буде запропоновано увійти в AppScan Enterprise Server. Тепер, використовуючи сторінку настройки, як показано на малюнку 7, перейдіть в серверний режим. Після натискання кнопки ОК з'явиться пропозиція перезавантажити інтегроване середовище розробки (IDE). Потім вам буде запропоновано увійти на сервер.

Малюнок 7. Діалогове вікно Security Analysis

У серверному режимі меню Security Analysis аналогічно показаному на малюнку 8. Зверніть увагу на пункти Change Password (Змінити пароль) і Log Out from Server (Вийти з сервера), які тепер присутні в серверному режимі. У серверному режимі при виході користувача з сервера плаваюча ліцензія на сканування неявно анулюється.

Малюнок 8. Меню Security Analysis в серверному режимі

У серверному режимі користувачі бачать, що фільтри і конфігурації сканування, перераховані на малюнках 9 і 10, доступні для фільтрації результатів і для сканування. Зверніть увагу, що в серверному режимі виділені загальні операції тепер доступні всім клієнтам AppScan Source, які мають доступ до загального сервера підприємства. У локальному режимі загальні фільтри і конфігурації сканування недоступні.

Малюнок 9. Фільтри в серверному режимі

Малюнок 10. Конфігурація сканування в серверному режимі

Як згадувалося вище, при скануванні в серверному режимі використовуються спеціальні правила, загальні для AppScan Enterprise Server. У локальному режимі спеціальні правила недоступні.

Швидке сканування мобільних додатків за допомогою AppScan Source for Development

У цьому прикладі користувач встановив плагін AppScan Source for Development в своє середовище Eclipse з встановленим плагіном Worklight. Установка плагіна AppScan Source в Eclipse здійснюється швидко і займає всього кілька хвилин.

Я коротко продемонструю результати сканування мобільного додатка, створеного як проект Worklight Eclipse в локальному режимі і за допомогою наявних інструментів, що дозволяють виявляти і усувати уразливості.

Коли проект створений і повністю готовий до роботи, можна вибрати конфігурацію сканування, вказавши Security Analysis> Configure Scan> Security Scan Configuration. В даному випадку я вибрала Quick Scan (Швидке сканування), як показано на малюнку 10. Оскільки ми знаходимося в локальному режимі, у нас є доступ тільки до стандартних і будь-яким попередньо створеним спеціальним фільтрам.

Тепер запустимо сканування всього проекту Worklight, клацнувши на ньому правою кнопкою миші і вибравши Run Scan (Пуск сканування). Після завершення сканування Security Analysis відображає екран, подібний зображеному на малюнку 11. За допомогою різних інструментів, представлених на цьому екрані, можна вивчати результати і вносити виправлення в вихідний код.

Примітка. Приклади коду, що містяться в цій статті, призначені тільки для демонстрації. У цих прикладах є відомі уразливості додатків, внесені спеціально для демонстрації функціональності засобів тестування безпеки додатків. IBM не несе ніякої відповідальності за результати використання цього додатка. Ви самі повинні визначити, чи підходить дана програма і чи безпечна вона для ваших технічних умов. Ніколи не встановлюйте це додаток в виробничу середу. Ви визнаєте і приймаєте всі ризики, пов'язані з використанням цього додатка.

Малюнок 11. Подання AppScan Source Eclipse

У прикладі на малюнку 11 я двічі натискаю на уразливості витоку даних (Data Leakage) у вікні результатів (Findings). Примітка у вікні Trace вказує на те, що причина цієї уразливості криється в рядку 18 вихідного коду, який також відкривається в редакторі на цьому рядку. У вікні Помічника відновлення (Remediation Assistant) міститься інформація про уразливість і опис причини небезпеки; тут же пропонуються способи усунення вразливості.

На малюнку 12 показаний спосіб фільтрації вразливостей, знайдених, наприклад, за допомогою фільтра OWASP Mobile Top 10 Vulnerabilities. Після застосування фільтра кількість знайдених вразливостей зменшується до 29.

Малюнок 12. Фільтрація результатів за допомогою фільтра Mobile OWASP Top 10 Vulnerabilities

висновок

Описане рішення зручно тим, що дозволяє швидко перевірити безпеку за допомогою плагіна AppScan Source for Development, що працює в локальному режимі. Щоб отримати ці додаткові можливості, користувач може вибрати AppScan Source for Development, підключений до корпоративного сервера з загальними фільтрами, конфігураціями сканування, і спеціальними правилами. При необхідності можна використовувати Source for Analysis поряд із загальним AppScan Enterprise Server для створення звітів, їх публікації на сервері підприємства, управління обліковими записами користувачів, створення спеціальних правил і конфігурацій сканування, сортування і інтеграції з системами відстеження дефектів. Також варто відзначити, що при роботі AppScan Source for Development 9.0 в локальному режимі база даних, така як IBM solidDB®, не використовується. Крім локального режиму, в AppScan Source 9.0 з'явилася підтримка Eclipse-плагіна для мобільних додатків на платформі Mac і інтеграції з IBM Worklight в одному і тому ж примірнику Eclipse.

Ресурси для скачування

Схожі теми

Підпишіть мене на повідомлення до коментарів