Инструменты поиска уязвимостей не успевают за развитием веб-приложений

Исследователи из компании FishNet Security собираются представить на конференции Black Hat USA в Лас Вегасе доклад, в котором хотят рассказать об отставании систем автоматического тестирования и поиска багов от современных технологий, использующихся при создании веб-приложений.

Группа исследователей рынка информационной безопасности утверждает, что существующие сканеры уязвимостей и другие автоматизированные системы поиска ошибок недостаточно эффективны при разработки современных веб-приложений. Растущая разница между возможностями сканеров уязвимостей и ставящимися перед ними задачами создает уникальные возможности для злоумышленников, позволяя им проводить все большее количество атак. Эта ситуация будет обсуждаться на хакерской конференции Black Hat USA, которая начнется на следующей неделе в городе Лас Вегас.

Натан Хэмиел, один из представителей группы, заявляет, что технологии создания веб-приложений совершили значительный скачок, так что инструменты автоматического тестирования и поиска уязвимостей уже не в состоянии эффективно работать в этой среде. Разработчики веб-приложений, по его словам, стремятся как можно быстрее внедрять новшества в свои проекты, пытаясь быть быстрее конкурентов. Модернизация инструментов для тестинга и ловли багов не идет столь быстро.

На сегодняшний день, уверяет Натан Хэмиел, консультант FishNet Security автоматизированные тестировочные системы могут работать лишь в ограниченной области. Он, вместе со своими коллегами, планирует презентовать на конференции доклад, в котором будут убеждать слушающих в необходимости ручного тестирования веб-приложений с помощью людей-тестеров, поскольку только живые люди способны найти более широкий спектр ошибок и уязвимостей.

По мнению Хэмиела, программы тестирования могут стать хорошими помощниками людей-тестеров, позволят им найти правильную дорогу, направить их на правильный путь нахождения уязвимости, но доверяться инструментам полностью не стоит.

Кевин Бивер, владелец компании Principle Logic, предоставляющей консалтинговые услуги в области информационной безопасности, согласен с коллегами из FishNet Security. Бивер отмечает, что ряд функций современный веб-приложений, к примеру, проблемы в механизме аутентификации, система проверки данных, вводимых пользователем, слишком простые пароли,- автоматические программы эффективно протестировать не смогут, поскольку их алгоритмы слишком просты для этого. Еще сложнее для программ автоматического тестирования приходится при проверке приложений для мобильных устройств и программного обеспечения для построения инфраструктуры информационной сети.

По его мнению, результат автоматического тестирования безопасности веб-приложений слишком эфемерен, так что разработчикам приходится использовать ручное или полуавтоматическое тестирование. Но попытки автоматизации проверки при ручном тестировании заставляют разработчиков создавать специальные скрипты или использовать общепринятые приложения в непривычном режиме.

Советуем

ESET NOD32 Антивирус

Быстрый и не требовательный к ресурсам компьютера антивирус с надежной защитой. Простой и удобный в использовании.

Антивирус Dr.Web

Старейший отечественный антивирусный продукт. Защита от вирусов, шпионов и троянов. хорошая скорость и производительность.

Антивирус Касперского 2010

Популярный отечественный антивирус. Простой в использовании, надежный и эффективный в защите.

avast! Antivirus Home

Абсолютно бесплатный полнофункциональный антивирус для домашнего использования. Надежная и эффективная защита!

Голосование
Лучший антивирус по Вашему мнению?






Rambler's Top100
Рейтинг@Mail.ru