Проверка ресурсов для всех желающих
Positive Technologies выпустила большое обновление облачного динамического анализатора веб-приложений (DAST) PT BlackBox Scanner. Новая версия сервиса получила десятки улучшений, а также дает возможность скачать отчет по итогам проверки. Сканер выполняет более 110 видов проверок на наличие уязвимостей в коде веб-ресурсов и находится в свободном доступе.
Метод тестирования DAST (динамический анализ кода) – это сканирование, подразумевающее моделирование реальных атак на готовое работающее приложение с целью поиска уязвимостей, которые могут быть использованы злоумышленниками.
Обновления продукта
Среди десятков обновлений, вошедших в новую версию PT BlackBox Scanner, в Positive Technologies отдельно отмечают несколько наиболее важных функций.
Прежде всего, это ускорение вдвое процесса сканирования веб-приложения за счет оптимизации проверок и исправления ошибок. Также добавлен профиль сканирования периметра приложения для поиска поддоменов и открытых портов, что позволяет найти ресурсы приложения, которые также могут содержать уязвимости или не предназначены для доступа извне. Кроме того, в сервис включены новые проверки «1C-Битрикс» с добавленной информацией о недавно опубликованных критически опасных уязвимостях, а также дополнительные проверки безопасности конфигурации. Наконец, было проведено масштабное обновление баз знаний отпечатков веб-приложений, известных версионных уязвимостей и сценариев их верификации.
Все обнаруженные уязвимости фильтруются по уровню критичности: эта опция позволит составить оптимальный план работы по устранению слабых мест веб-приложения.
При регистрации пользователи получают расширенные возможности: сканирование своего сетевого периметра и умные профили сканирования, например для Bitrix, более того мы даже даем возможность интеграции нашего облачного решения в свой процесс сборки продукта, рассказал CNews руководитель PT BlackBox Сергей Синяков.
Бесшовная смена версий и новый движок
«В наших планах нарастить темпы развития облачной версии продукта, со временем она полностью заменит старую. – Рассказал Сергей Синяков. – Переход для пользователей происходит бесшовно. Базовый пользовательский опыт в новой версии PT BlackBox Scanner остался без изменений, но мы улучшили некоторые элементы интерфейса, опираясь на обратную связь текущих пользователей продукта. При этом для обновленной версии сканера мы применили движок новой версии, который используется во флагманских продуктах Positive Technologies, а также значительно расширили функциональность продукта».
Рынок и конкуренты
По словам Сергея Синякова, подобные решения есть на рынке, но PT BlackBox Scanner единственный бесплатный сканер, который позволяет получить практически применимый результат в 1 клик. Для того, чтобы просканировать приложение, его владельцу потребуется ввести доменное имя ресурса на официальном сайте сервиса. Для доступа ко всем возможностям PT BlackBox Scanner потребуется регистрация и подтверждение, что сканируемый веб-ресурс принадлежит конкретному владельцу.
Прямых бесплатных конкурентов у PT BlackBox Scanner нет, но в классе DAST существуют платные приложения «Солар», ZAP, Acunetix. Как DAST-сканер PT BlackBox Scanner входит в число инструментов для безопасной разработки (AppSec), но в России рынок AppSec пока что практически не измерялся, поэтому оценить долю бесплатного сканера в такой нише крайне сложно.
В 2023 г. число пользователей PT BlackBox Scanner с зарегистрированным аккаунтом удвоилось по сравнению с 2022 г., а количество уникальных целей сканирования превысило 3800 доменов.
Как отмечают в компании Positive Technologies, за последние три года в 63% случаев именно веб-приложения оказывались начальной точкой проникновения хакеров в инфраструктуру. На этом фоне закономерно растет интерес ИТ-сообщества к инструментам безопасной разработки.
Positive Technologies планирует выпускать релизы BlackBox Scanner ежемесячно.
Поделиться