Positive Technologies выпустила большое обновление облачного динамического анализатора веб-приложений (DAST) PT BlackBox Scanner. Новая версия инструмента выполняет более 110 видов проверок на наличие уязвимостей в коде веб-ресурсов. Продукт предоставляется в свободном доступе: чтобы просканировать приложение, его владельцу потребуется только ввести доменное имя ресурса на официальном сайте сервиса. Для доступа ко всем возможностям PT BlackBox Scanner пользователю необходимо зарегистрироваться и подтвердить, что он владелец сканируемого веб-ресурса. Об этом CNews сообщили представители Positive Technologies.
По итогам проверки анализатор формирует отчет с результатами, который можно скачать. Все обнаруженные уязвимости фильтруются по уровню критичности: эта опция позволит составить оптимальный план работы по устранению слабых мест веб-приложения.
В обновленную версию PT BlackBox Scanner вошли десятки улучшений. Наиболее важные из них: в два раза ускорен процесс сканирования веб-приложения за счет оптимизации проверок и исправления ошибок; добавлен профиль сканирования периметра приложения — поиск поддоменов и открытых портов. Это позволяет найти ресурсы приложения, которые также могут содержать уязвимости или не предназначены для доступа извне; включены новые проверки «1C-Битрикс» - добавлена информация о недавно опубликованных критически опасных уязвимостях, а также дополнительные проверки безопасности конфигурации; масштабно обновлены базы знаний отпечатков веб-приложений, известных версионных уязвимостей и сценариев их верификации.
«За последние три года в 63% случаев именно веб-приложения оказывались начальной точкой проникновения хакеров в инфраструктуру. Неудивительно, что на этом фоне растет интерес ИТ-сообщества к инструментам безопасной разработки. Так, в 2023 году число пользователей PT BlackBox Scanner с зарегистрированным аккаунтом удвоилось по сравнению с 2022 годом, а количество уникальных целей сканирования превысило 3800 доменов. В наших планах нарастить темпы обновления продукта и выпускать релизы раз в месяц», — сказал Сергей Синяков, руководитель продукта PT BlackBox.
DAST-анализатор моделирует поведение атакующего, у которого нет подробной информации о том, как устроен код приложения, — а есть только доменный адрес цели. Поэтому для запуска сканирования PT BlackBox Scanner достаточно сообщить лишь адрес приложения.