AppSpider Uygulama Güvenlik Analizi

Rapid7 AppSpider web uygulamalarınızı zararlı uygulamalara karşı tarar, zaafiyetleri tespit eder ve sürekli taramalar ile uygulamadaki değişiklikleri izler, sizi bilgilendirir. Web uygulamaları bir kurumun tüm dünyaya açılan, iş ortakları ve müşterilerine açılan vitrinidir. Burada meydana gelebilecek bir zaafiyet kurum imajını çok fazla negatif olarak etkileyebilmektedir.

Ücretsiz demo ile AppSpider'ın kurumunuza sağlayacağı faydaları öğrenin!


DAST: Dynamic Application Security Test

Rapid7'den uygun fiyatlı kara kutu test çözümü!


Rapid7, yıllardır Gartner'da lider pozisyonda olan uygulama güvenlik test çözümlerinden birisi olan NTObjectives'i satın alarak ürün ailesine AppSpider olarak dahil etti. Ürün artık Rapid7 ile çok daha uygun fiyatlı ve çok daha güçlü. NTObjectives bir çok firmanın güvenlik ürün yelpazesi içinde kendi sistemlerine entegre ettiği güvenlik çözümüydü.

Evrensel Kod Çevirici ile En Geniş Kapsam

Uygulama güvenlik tarayıcılarının başarılı olabilmesi için en önemli teknik özellik kapsamdır. Zaafiyet tarayıcıları bir tarayıcı motoru ve bir saldırı altyapısından oluşur. Ancak web servisleri ve diğer dinamik teknolojiler söz konusu olduğunda tarama motorunu kullanamazsınız.

AppSpider HTML gibi geleneksel formatları tarayabildiği gibi, evrensel çeviricisi sayesinde bugün kullanılmakta olan AJAX, GWT, REST, JSON, vb modern web teknolojileri içeren uygulamaları da tarayabilmektedir. AppSpider günümüz web uygulamaları açısından en geniş kapsamlı tarama özelliğini sunmaktadır.

rapid7-appspider-close-the-coverage-gap-with-universal-translator

rapid7-appspider-attack-with-intelligence

Zeka Ürünü Saldırı Teknolojisi

AppSpider, benzerleri gibi sadece bilinen uygulama zaafiyetlerini test etmez. Günümüz web uygulamaları tek elden çıkmış standartların ötesinde kendi özel alt yapılarına, şemalarına, parametre adlarına, ve cevap (response) türlerine sahiptir.

Uygulamanın kendi özel mimarisine yönelik özelleştirilmiş saldırılar ve testler yaparak size en gerçekçi zaafiyet testi deneyimini sunar. Formlarda beklenen girdi tiplerine göre değerler üreterek, gerçek dünyada saldırganların hareketlerini gerçeğe yakın taklit eder.


Uygulamalarınızı Sürekli İzler

Bilmediğiniz açıkları kapatamazsınız. Üstelik saldırganlar gece çalışır. AppSpider'ın sürekli uygulama takip sistemi, uygulamalarınızdaki değişiklikleri anında tespit ederek yeni oluşabilecek açıklara karşı sizi uyarması, gece gelen bir saldırı ile uyanmaktan yeğdir.

Uygulamada meydana gelen bir değişiklik tespit edildiğinde, örneğin geliştiriciniz yeni bir özellik, bir form eklediğinde, AppSpider yeni bir tarama ve test sürecini tetikler.

rapid7-appspider-continuously-monitor-your-applications

rapid7-appspider-stay-authenticated-for-deep-assessment

Yetkilendirilmiş Kullanıcı ile Derin Analiz

Uygulamaların kendi yetkilendirme mekanizmaları ve özelleştirilmiş yetkilendirme formları mevcuttur. İyi bir zaafiyet tarayıcının uygulamanıza kullanıcı girişi yaparak, misafir kullanıcıların erişemediği bölümlere erişerek daha derin analiz yapabilmesi çok önemlidir. Tarayıcı giriş formlarını tanıyabilmeli, giriş işleminin başarılı olup olmadığını çözebilmeli ve uygulama içerisinde giriş yapmış kullanıcı olarak gezebilmelidir.

AppSpider en kompleks yetkilendirme mekanizmaları ve formlarıda dahi başarılı giriş yapabilir, ayrıca Oauth, HMAC, Integrated NONCE ve kullanıcı tanımlı multi-faktör yetkilendirme mekanizmalarını kullanabilir.


İnteraktif Raporlar ile Daha Derin Analiz

Sayfalar dolusu bir zaafiyet tespit raporunun sayfalarında dolaşmak ne demektir biliriz: Vakit kaybı!

AppSpider size interaktif, etkileşime girebileceğiniz raporlar sunar. Bir web uygulaması gibi şahane organize edilmiş, ilginizi çeken noktalarda derin analiz yapabilmeniz için tıkla-yakınlaştır mantığında bağlantılar ile rapor okumaktan, rapor ile derin analiz dönemine geçeceksiniz. Atak tiplerine göre organize edilmiş (XSS, SQLi, vb.) bir tıklama ile tespit edilen zaafiyet hakkında daha detaylı bilgi alabileceğiniz, harika bir web uygulaması. İsterseniz eski sıkıcı PDF raporu da alıp denetçiye gönderebilirsiniz ;-)

rapid7-appspider-conduct-deeper-analysis-with-interactive-reports

rapid7-appspider-quickly-re-play-web-attacks

Saldırıları Yeniden Oynatma Özelliği

Bir zaafiyet raporunu okurken zaafiyet tespitinde kullanılan saldırının tekrarını yapabilmek ve izlemek, atağı anlamak ve açığı kapatmak için çok yardımcı olabilir. Atağın tekrarını oynatarak, zaafiyeti geliştiricinize veya diğerlerine gösterebilirsiniz. AppSpider'ın atağı yeniden oynatma özelliği ile bir tıklama ile atağı eş zamanlı olarak yenileyebilir ve seyredersiniz.


Kolay Raporlama için Uygulama Gruplama

Kurumsal kullanımda, birden fazla web uygulaması söz konusuysa eğer, bu uygulamaları işi birimlerine, kritiklik seviyelerine, uygulama hedef kullanıcılarına veya uyumluluk gereksinimlerine göre gruplamak, kategorilendirmek veya etiketlemek büyük avantaj sağlar.

Bu sayede uygulamalara göre değil aynı zamanda iş birimlerine veya uyumluluk gereksinimlerine göre veya herhangi bir etiketinize göre kategorilendirilmiş zaafiyet raporları oluşturabilirsiniz.

rapid7-appspider-categorize-applications-for-easy-reporting

rapid7-appspider-manage-and-control-application-security-programs

Uygulama Güvenliği Projenizi Yönetin

Uygulama güvenliği açısından düne göre nerede olduğunuzu görebilmek önemlidir. İlerlemenin düzeyi, iş birimine göre, uyumluluk gereksinimine göre veya atak tiplerine göre zaman çizelgesi içerisinde düne, geçen yıla veya istediğiniz bir zaman dilimine göre ne aşamada olduğunuzu görebilmenizi sağlar.


Sanal Yamalama Otomasyonu

Yenilikçi otomatik kural oluşturma teknolojisi sayesinde, AppSpider'ın defansif yetenekleri güvenlik birimlerine açıkları tespit etmenin ötesinde kapatmak için yardımcı olur.

Web Uygulama Güvenlik Duvarınıza (Web Application Firewall - WAF) veya Saldırı Önleme Sisteminize (Intrusion Prevention System - IPS) özel kural oluşturma ihtiyacını ortadan kaldırarak, zaafiyeti kod içinde düzeltmenizi sağlar. Bu sayede açığı günler veya haftalar değil dakikalar içerisinde kapatırsınız. AppSpider, F5, Sourcefire ve Imperva gibi lider WAF/IPS sistemlerini desteklemektedir.

rapid7-appspider-automate-virtual-patching

rapid7-appspider-meet-compliance-requirements

Uyumluluklarınızı Kolayca Gerçekleştirin

En iyi uygulama pratiklerini takip ederek, yasal veya regülasyona dayalı uyumluluk/zorunluluklarınızı gerçekleştirmede size yardımcı olur. AppSpider, PCI, FISMA, SOX, HIPAA, GLBA, OWASP ve daha fazla uyumluluk için endüstri standartlarını, uygulama pratiklerini tavsiye ederek bunları gerçekleştirmenizi sağlar.


İş Süreçlerinize Entegre Olur

Geliştirme veya destek takımınız hali hazırda bir destek sistemi, hata takip sistemi, build sistemi kullanıyorsa AppSpider'ı bunlara hemen entegre edebilirsiniz. Daha geliştirme sürecinde AppSpider kodunuzu takip edip test ederek üretim ortamına almadan olabilecek açıkları ve zaafiyetleri, uyumluluk gereksinimlerini size gösterir ve bunların kapatılmasını sağlar.

CI uygulamanızın (örn: Jenkins) sürecine dahil olabilir, Kalite Denetim testlerini yaptığınız Selenium ile zaafiyet tarama testlerini otomasyona alabilirsiniz. RSA Archer, HP Quality Center, ve Atlassian JIRA gibi en popüler hata takip sistemlerine entegre olarak, bulduğu problemler için bunlarda kayıt (ticket) açabilir.

rapid7-appspider-integrate-sdlc-into-your-workflow