Post on 13-Jan-2017
transcript
We believe that constant professionalism level growth helps to minimize the threats
to your company's information security thus ensuring your success.
Сканирование WEB–приложений
Александр ВетровИнженер информационной безопасности
We believe that constant professionalism level growth helps to minimize the threats
to your company's information security thus ensuring your success.
В данной статье я расскажу о том, как запустить сканирование web приложения
В первую очередь создадим Option Profile. C его помощью можно настроит параметры сканирования.
В разделе Profile Details указываем имя создаваемого профайла.
Для удобства можно использовать тэги.
We believe that constant professionalism level growth helps to minimize the threats
to your company's information security thus ensuring your success.
We believe that constant professionalism level growth helps to minimize the threats
to your company's information security thus ensuring your success.
В разделе Scan Parameters выбираем метод отправки формы, количество запросов, интенсивность сканирования. Существует возможность использовать парольный брутфорс. Предлагается несколько предустановленных вариантов и возможность использования своего словаря.
Далее останавливаем запись скрипта и сохраняем его. В результате должен быть файл HTML
We believe that constant professionalism level growth helps to minimize the threats
to your company's information security thus ensuring your success.
В разделе Search Criteria устанавливаем глубину поиска уязвимостей.Предлагается два варианта:Complete – поиск всех известных уязвимостейCustom – поиск только определенных уязвимостей.
We believe that constant professionalism level growth helps to minimize the threats
to your company's information security thus ensuring your success.
Во вкладке Comments можно добавить коментарий
We believe that constant professionalism level growth helps to minimize the threats
to your company's information security thus ensuring your success.
В последнем разделе проверяем все настройки и сохраняем
We believe that constant professionalism level growth helps to minimize the threats
to your company's information security thus ensuring your success.
Теперь создадим web приложение. Для этого переходим на вкладку Web Applications и жмем кнопку New Webb Application
В открывшемся окне выбираем Blank
We believe that constant professionalism level growth helps to minimize the threats
to your company's information security thus ensuring your success.
Далее задаем имя приложения и адрес, по которому расположено приложение
We believe that constant professionalism level growth helps to minimize the threats
to your company's information security thus ensuring your success.
В разделе Application Details можно указать глубину сканирования. Это может быть ограничение в рамках домена так и сканирование поддоменов
We believe that constant professionalism level growth helps to minimize the threats
to your company's information security thus ensuring your success.
Раздел Scan Settings предлагает выбрать Option Profile. Используем тот, который создали в начале статьи.
В пункте Scanner Appliance выбираем сканер, который хотим использовать. Здесь можно выбрать облачный (который предоставляет Qualys) и внутренний, который расположен в локальной сети
В разделе Crawl Settings можно добавить Selenium Script. Данный параметр не обязателен.Раздел Authentication позволяет нам использовать учетную запись для аутентификации в приложении.
Раздел Crawl Exclusion Lists позволяет настроит «белые» и «чёрные» списки адресов для сканирования.
Существует возможность использовать регулярные выражения
Раздел Malware Monitoring позволяет настроить мониторинг вредоносного содержимого в приложении
Далее указываем комментарий к приложению и сохраняем.
С этого окна можно сразу запустить сканирование приложения.
Выбираем Option Profile, указываем сканер, который хотим использовать и запускаем сканирование
В результате сканирования получаем все данные и уязвимости, которые Qualys смог найти в приложении
Продолжение следует…