Mengingat bahwa sekitar sepertiga dari semua pelanggaran yang diketahui adalah akibat langsung dari serangan aplikasi web yang berhasil, sangat penting untuk menguji keamanan aplikasi web dan API Anda.
Anda tidak hanya perlu memastikan aplikasi web Anda aman karena alasan peraturan, tetapi Anda (harus) juga memperhatikan data klien Anda dan paparan risiko terhadap perusahaan Anda.
Anda tentu memiliki banyak pilihan untuk mengamankan aplikasi web Anda, semua dengan kelebihan dan kekurangannya. Beberapa solusi mengandalkan identifikasi masalah keamanan dalam kode sumber aplikasi Anda. Lainnya melindungi aplikasi Anda dari serangan. Dan yang lainnya mengandalkan pengujian keamanan aplikasi web Anda secara dinamis saat runtime, seperti yang dilakukan peretas.
Fokus artikel ini adalah pada kasus terakhir ini, yaitu pada Mungkin. Apa yang membuat Probely menarik jika dibandingkan dengan yang lain adalah ia menangani dua masalah utama pemindai kerentanan web: cakupan pemindaian aplikasi web modern dan kualitas hasilnya.
Probely memiliki dua edisi berbeda: edisi swalayan yang ditargetkan untuk UKM dan edisi lainnya ditargetkan untuk Perusahaan atau perusahaan dengan banyak aplikasi web dan API.
Probely berfokus pada penyediaan cakupan luar biasa di seluruh lingkungan pengembangan modern dan menghilangkan kesalahan positif dengan hasil Pemindaian Berbasis Bukti sambil memungkinkan Anda mengintegrasikan pemindaian DAST ke dalam siklus hidup pengembangan Anda.
Terlalu bagus untuk menjadi kenyataan?
Baca terus untuk mengetahui analisis saya tentang Probely.
Apa sebenarnya yang dilakukan Probely?
Dengan mempertimbangkan pengembang dan setiap ukuran bisnis, Probely menguji aplikasi dan API Anda, memindainya untuk menemukan masalah keamanan dan kerentanan. Saat pengujian selesai, ini memberikan panduan tentang cara memperbaiki masalah yang ditemukan.
Pengembang dan teknisi keamanan Anda dapat bekerja dengan Probely melalui antarmuka penggunanya yang intuitif. Tetapi jika Anda membutuhkan kekuatan dan fleksibilitas, Anda dapat mengandalkan API berfitur lengkap mereka karena mereka mengikuti pendekatan pengembangan yang mengutamakan API. API mereka menyediakan semua fitur yang Anda lihat di antarmuka pengguna, memungkinkan Anda untuk mengintegrasikan Probely ke dalam pipeline CI/CD, alat manajemen kerentanan, orkestra, atau pelacak masalah. Jika Anda menggunakan yang populer, Anda mungkin memiliki integrasi di luar kotak. Itulah yang terjadi pada alat seperti JIRA, Jenkins, Azure DevOps, DefectDojo, CircleCI, dan Slack. Tetapi jika Anda mengembangkan pelacak masalah atau orkestra Anda sendiri, maka API adalah cara yang tepat.
Cakupan, Perayapan, dan Akurasi
Probely menggunakan spider generasi berikutnya untuk menavigasi aplikasi Javascript yang kaya dengan cara yang sama seperti browser biasa, menghasilkan cakupan situs yang sangat baik, yang menjadi masalah bagi banyak alat DAST lainnya. Laba-laba ini ideal untuk Aplikasi Satu Halaman, seperti yang berbasis React atau Angular JS.
Ingatlah bahwa pemindai hanya dapat mengidentifikasi kerentanan di halaman yang ditemukan. Oleh karena itu laba-laba yang baik adalah yang paling penting.
Probely juga menawarkan profil pemindaian yang berbeda, bergantung pada lingkungan mana yang ingin Anda uji. Anda dapat mengatur profil pemindaian yang tidak terlalu mengganggu jika Anda ingin memindai lingkungan produksi Anda. Jika Anda menguji lingkungan QA Anda, Anda dapat mengatur profil yang lebih menyeluruh untuk pemindaian yang lebih lengkap. Dengan menguji lingkungan praproduksi, Anda dapat mengidentifikasi dan memperbaiki kerentanan sebelum menerapkan aplikasi dalam produksi.
Pelaporan
Meskipun Probely mendeteksi daftar kerentanan yang ekstensif, Probely berfokus pada pelaporan apa yang relevan dan tanpa positif palsu. Untuk kelas kerentanan tertentu, ini memberikan bukti bahwa kerentanan itu nyata, menghemat waktu tim Anda dalam memvalidasi apakah kerentanan itu nyata dan relevan.
Probely menyediakan pelaporan ekstensif dari antarmuka, tetapi Probely juga dapat menyinkronkan informasi kerentanan dengan pelacak masalah atau alat manajemen kerentanan, memungkinkan Anda menyesuaikan Probely dengan alur kerja keamanan dan pengembangan yang ada.
Mungkin dapat menguji perangkat lunak Anda terhadap kerentanan seperti yang tercantum dalam OWASP TOP 10 dan banyak lagi. Ini juga dapat membantu Anda mencapai kepatuhan dengan memeriksa persyaratan khusus PCI-DSS, GDPR, HIPAA, dan ISO270-01.
Diambil dari laporan OWASP TOP 10, Anda akan melihat sekilas apa yang salah terkait kepatuhan ini.
Antarmuka
Antarmukanya sederhana dan mudah dinavigasi, memungkinkan Anda untuk bangun dan berlari dengan cepat. Edisi Perusahaan memungkinkan Anda mengontrol pengguna, peran, dan menetapkan peran khusus. Anda juga dapat menggunakan label untuk mengatur pengguna, aset, dan kerentanan untuk mengelola keamanan aplikasi web Anda dengan lebih baik. Karena semua fitur tersedia melalui API, Anda dapat dengan mudah mengintegrasikan Probely ke aplikasi dan proses keamanan perusahaan Anda yang lain.
Jika Anda menggunakan Jira atau Azure Boards, Anda dapat mengonfigurasi Probely untuk mengirimkan semua kerentanan secara otomatis ke pelacak masalah Anda. Saat pengembang memperbaiki dan menutup masalah pada pelacak masalah, itu akan secara otomatis memicu pengujian ulang pada Probely, yang akan memeriksa apakah kerentanan telah diperbaiki dengan benar. Jika tidak, masalah akan dibuka kembali di pelacak masalah. Hal ini memungkinkan tim pengembangan Anda menangani laporan kerentanan seperti bug lainnya, langsung di pelacak masalah, bahkan tanpa menggunakan antarmuka Probely. Bagus, ya? π
Memulai π
Untuk tujuan pengujian saya, saya menggunakan edisi Probely’s Enterprise.
Mereka juga menawarkan edisi standar dan paket berbeda untuk dipilih, termasuk paket gratis. Dalam paket gratis, pemindaian hanya menguji tiga kelas kerentanan: bendera cookie, header keamanan, dan masalah SSL/TLS. Paket Pro menawarkan sebagian besar fitur dan berfokus pada UKM dan organisasi yang memiliki lima target atau kurang untuk dipindai.
Edisi Perusahaan berfokus pada organisasi yang memiliki banyak target dan menyertakan fitur tambahan seperti yang umum dalam perangkat lunak perusahaan: pengguna, grup, peran, dan izin. Ini juga memungkinkan Anda untuk memindai target internal (di jaringan pribadi Anda) dengan menginstal agen yang disediakan.
Menambahkan target
Menambahkan target itu mudah. Setelah Anda masuk dengan akun Anda, Anda perlu menavigasi ke halaman Target dan klik Tambah. Kemudian Anda memberikan nama, URL, dan satu atau beberapa label β yaitu, Pengujian, Produksi, Pengembangan, dll. β untuk target baru. Agar Probely memindai target ini sebagai API mandiri tanpa aplikasi web pendukung, Anda harus mencentang opsi yang sesuai untuk mengidentifikasinya sebagai target API.
Jika target Anda tidak terekspos di Internet dan Anda menginstal agen Probely di jaringan pribadi Anda, Anda dapat memilih agen mana yang akan digunakan saat menambahkan target.
Setelah menambahkan target, Anda perlu memvalidasi kepemilikannya karena Probely memerlukan bukti bahwa Anda memiliki hak istimewa yang diperlukan untuk memindainya. Ada dua metode alternatif untuk memvalidasi target: memuat file dengan konten yang disediakan di root target atau menambahkan entri TXT ke catatan DNS Anda, dengan nama domain dan beberapa konten catatan tertentu. Setelah target divalidasi, Anda siap memindainya hanya dengan menekan tombol Pindai.
Anda dapat memeriksa kemajuan dan status pemindaian dengan membuka tab Pemindaian di dasbor Probely. Halaman ini akan menunjukkan kepada Anda kapan pemindaian dimulai dan apa yang ditemukan sejauh ini. Temuan diwarnai dengan tingkat keparahannya, sehingga Anda bisa melihat sekilas jika ada masalah kritis yang perlu segera ditangani.
Jika situs web Anda memiliki halaman masuk dan Anda ingin Probely melakukan pemindaian di belakangnya, Anda harus memberikan kredensial yang memungkinkannya merayapi situs sebagai pengguna yang diautentikasi. Probely mendukung sebagian besar metode autentikasi untuk halaman login.
Memindai API
Untuk memindai target API, Probely membutuhkan Anda untuk menyediakan skemanya. Anda melakukannya saat menambahkan target API, baik dengan menyediakan URL skema OpenAPI atau dengan mengunggah skema jika sebelumnya Anda menyimpannya sebagai file lokal. Opsi URL memungkinkan Probely mengambil skema sebelum setiap pemindaian, memastikannya selalu berfungsi dengan versi terbaru skema Anda.
Ada juga opsi berbeda dalam hal metode autentikasi untuk akses API. Probely tidak hanya mendukung token statis tetapi juga memungkinkan konfigurasi autentikasi dinamis saat memindai API. Anda dapat mengonfigurasi titik akhir login tempat Probely bisa mendapatkan token autentikasi, atau Anda dapat menyetel header khusus dengan kunci API tetap di dalamnya. Anda juga dapat memberikan nilai parameter khusus yang akan digunakan Probely untuk yang ditemukan dalam skema.
Setelah Anda selesai mengonfigurasi autentikasi dan parameter API, Anda dapat memulai pemindaian dengan menekan tombol Pindai Sekarang. Setelah beberapa detik, Anda akan dapat mengikuti kemajuan pemindaian pada halaman Pemindaian yang sama. Saat pemindaian berakhir, Anda dapat mengunduh laporan cakupan yang menampilkan semua titik akhir yang ditemukan dan setiap kode respons. Laporan ini juga akan memberi tahu jika ada titik akhir yang gagal.
Memeriksa temuan Anda
Halaman temuan menampilkan hasil pemindaian segera setelah ditemukan, bahkan saat pemindaian sedang berlangsung. Setiap temuan menunjukkan tingkat keparahan (tinggi, sedang, atau rendah), target dan URL yang sesuai, deskripsi temuan, waktu dan tanggal ditemukan, statusnya (tetap atau tidak tetap) dan penerima tugas, dan apakah hal itu memengaruhi PCI- Kepatuhan DSS atau OWASP.
Selain memberi Anda informasi tentang kerentanan yang terdeteksi, halaman temuan juga berguna untuk menetapkan kerentanan ke tim Anda untuk diperbaiki. Untuk melakukannya, Anda mengklik kotak centang di sebelah kiri dan memilih penerima tugas dari menu tarik-turun.
Probely juga memberikan informasi tentang cara memperbaiki kerentanan yang telah ditemukan. Bersamaan dengan instruksi ini, Anda dapat melihat permintaan dan tanggapan lengkap, serta buktinya.
Di halaman Dasbor, Anda dapat melihat berbagai bagan yang meringkas risiko keamanan target yang dipindai. Grafik menunjukkan tren dalam berbagai metrik menarik, seperti skor risiko, waktu rata-rata untuk memperbaiki masalah, dan tingkat keparahan. Anda juga dapat melirik situs yang paling membutuhkan perhatian dan peringkat 5 besar kerentanan dengan kejadian tertinggi.
Terakhir, pada halaman Integrasi, Anda dapat mengonfigurasi Probely untuk berintegrasi dengan berbagai alat untuk mengelola proyek, komunikasi tim, pelacakan masalah, dan lainnya. Integrasi yang tersedia meliputi Azure Boards, DefectDojo, Slack, Jira, Jenkins, dan CircleCI.
Alat untuk pengembang dan tim keamanan
Untuk tim pengembangan yang gesit, waktu ke pasar adalah prioritas utama. Apa pun yang dapat Anda lakukan untuk meminimalkan waktu yang dibutuhkan perangkat lunak Anda untuk masuk ke produksi tanpa mengorbankan kualitas sangat disambut baik. Probely hanya menawarkan itu β cara hemat biaya untuk meningkatkan keamanan situs web dan API Anda, membantu Anda menepati janji terkait jadwal dan memberikan produk perangkat lunak berkualitas tinggi.
Untuk tim keamanan, Probely memberi Anda platform untuk mengamankan aplikasi web Anda dan mengelola kerentanan yang memerlukan perbaikan. Ini juga memungkinkan Anda untuk memindahkan beberapa pengujian keamanan langsung ke tim pengembangan sambil memiliki peran pengawasan.
Probely menawarkan uji coba gratis, lisensi evaluasi perusahaan, dan demo produk. Kontak Mungkin untuk memulai.
