Scansioni autenticate semplici con il Custom Script Editor di Netsparker

Le scansioni autenticate hanno sempre rappresentato una sfida per le soluzioni di sicurezza delle applicazioni web automatizzate, ma Netsparker fornisce un editor visivo intuitivo per gli script di autenticazione per aiutare ad ottenere una scansione delle vulnerabilità accurata e dettagliata da ogni sito Web e applicazione nel proprio ambiente. Questo articolo mostra perché si dovrebbe assolutamente conoscere e utilizzare questa funzione.

Le sfide della scansione autenticata
Gli strumenti di Dynamic Application Security Testing (DAST) come Netsparker, chiamati anche black-box vulnerability scanners, funzionano controllando le vulnerabilità in tutte le parti accessibili di un’applicazione web. Per fare ciò, lo scanner deve prima identificare la superficie di attacco dell’applicazione di destinazione visitando ogni collegamento che trova nelle pagine Web ed effettuando richieste a tutti i punti di input nelle risorse Web rilevate. Ciò include gli URL utilizzati per raggiungere queste risorse.

Sebbene la scansione di pagine Web accessibili a tutti gli utenti sia relativamente facile, le pagine Web protette da password hanno sempre rappresentato una sfida per gli scanner di sicurezza a causa della varietà di metodi utilizzati per autorizzare l’accesso alle pagine. Oltre ai moduli di accesso di base, i siti possono utilizzare OAuth, impostare cookie di sessione personalizzati, richiedere Single Sign-On (SSO) e così via. Anche con l’autenticazione form-based, il modulo di accesso può, ad esempio, utilizzare elementi di modulo non standard, richiedere campi aggiuntivi (magari per selezionare un reparto da un elenco a discesa), utilizzare la verifica Captcha o estendersi su più pagine. E se lo scanner non riesce ad accedere, non può testare la pagina per le vulnerabilità.

Si ha davvero bisogno di scansionare siti web che richiedono l’autenticazione?
Può sorgere la domanda, tuttavia, su quanto sia davvero importante eseguire scansioni di sicurezza web autenticate. Ai tempi delle pagine web statiche, tutto ciò che richiedeva l’accesso dell’utente poteva essere considerato intrinsecamente sicuro semplicemente perché non era accessibile pubblicamente. Al giorno d’oggi, abbiamo applicazioni web complesse che richiedono l’autenticazione per accedere alla maggior parte (o a tutte) le loro funzionalità. Le scansioni autenticate possono aggiungere un valore importante alla sicurezza complessiva, rivelando vulnerabilità sfruttabili e altri problemi, come patch mancanti, autorizzazioni di condivisione deboli e configurazioni errate generali. In un certo senso, le scansioni autenticate rivelano il reale stato di sicurezza delle applicazione web.

Ancora più importante, il motivo per aggiungere l’autenticazione in primo luogo è proteggere l’accesso a qualcosa di prezioso, come dati personali, operazioni amministrative o informazioni finanziarie. Lungi dall’essere meno allettanti per i criminali informatici, le risorse protette sono in realtà gli obiettivi principali degli aggressori, quindi è fondamentale configurare lo scanner per eseguire la scansione e testare tutte le pagine Web che gli hacker malintenzionati potrebbero tentare di violare.

Custom Form Authentication facile
Per semplificare l’automazione del processo di autenticazione e garantire la massima copertura della scansione, Netsparker ha aggiornato la sua funzione di script personalizzato. Il nuovo editor di script ha un pannello dell’editor e una vista browser incorporata. E’ possibile utilizzare l’editor per scrivere script in qualsiasi HTML, JavaScript o DOM API supportata dai browser moderni. È inoltre possibile utilizzare funzioni di supporto aggiuntive fornite da Netsparker nello spazio dei nomi netsparker.auth.

Il Custom Script Editor è intuitivo e interattivo. La pagina di autenticazione viene caricata nel browser incorporato ed è possibile fare clic con il pulsante destro del mouse sugli elementi della pagina per inserire il codice CSS corrispondente direttamente nel pannello dell’editor. Successivamente, è possibile modificare il codice secondo necessità.

Scansioni autenticate semplici con il Custom Script Editor di Netsparker

I moduli di autenticazione che si estendono su più pagine sono una sfida comune durante la configurazione degli scanner. Ad esempio, si potrebbe avere una pagina per inserire il nome utente e poi un’altra pagina per fornire la password. L’editor di script lo gestisce facilmente, consentendo di definire pagine separate per abbinare la sequenza di accesso. Nella prima pagina, si direbbe all’editor di script di inserire un nome utente e quindi fare clic sul pulsante di invio. Nella seconda pagina, si indicherà quindi all’editor di inserire una password e fare clic sul pulsante per completare la sequenza di accesso.

Quello che si vede è quello che si scansiona
Il processo convenzionale di verifica dell’autenticazione consiste nell’immettere le credenziali e quindi monitorare i risultati della scansione o anche singole richieste e risposte HTTP per individuare errori o omissioni. Avere un’interfaccia visiva pratica per lo scripting personalizzato rende il lavoro più facile, veloce e preciso. Con un feedback immediato nel browser incorporato, è possibile perfezionare e testare gli script di autenticazione in pochi minuti e assicurarsi che le sequenze di accesso e disconnessione funzionino come previsto.

Il generatore di codice CSS automatico è anche un enorme risparmio di tempo rispetto all’ispezione manuale del codice della pagina per estrarre i selettori giusti. Ciò è particolarmente importante per le pagine che utilizzano elementi del modulo non standard o visualizzano il modulo di accesso in un popup. Lavorando con gli elementi effettivi della pagina nel browser incorporato, è possibile vedere in tempo reale se lo script funziona e cosa vedrà Netsparker durante la scansione autenticata.

Nessuna pagina va dimenticata
Una buona copertura della scansione è fondamentale per ottenere reali vantaggi in termini di sicurezza da una soluzione DAST. Dopotutto, se uno scanner di vulnerabilità salta alcune pagine in un’applicazione web perché non è in grado di autenticarsi, si ottengono solo informazioni limitate sullo stato di sicurezza corrente e qualcuno dovrà testare queste pagine manualmente. In qualità di leader del settore, Netsparker mira a massimizzare la copertura dei test di vulnerabilità con scansione e autenticazione avanzate su tutti i tipi di siti Web e applicazioni moderni.

Il custom authentication script editor rende molto più semplice e veloce garantire che Netsparker esegua il crawl e la scansione di ogni parte dell’applicazione web di destinazione. In combinazione con la sua tecnologia di rilevamento delle vulnerabilità estremamente accurata con Proof-Based Scanning™, questo offre un quadro fedele di tutti i problemi che è necessario risolvere per proteggere i siti Web e le applicazioni dai criminali informatici.

Per ulteriori informazioni e domande frequenti relative al modulo di autenticazione in Netsparker, vedere la pagina di supporto sullo script di autenticazione personalizzato.

 

 

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI

Tripletta per TitanHQ ai Best-Of Awards di Expert Insights

Tripletta per TitanHQ ai Best-Of Awards di Expert Insights

TitanHQ è stato riconosciuto da Expert Insights per la forza delle sue soluzioni di sicurezza web e e-mail. GALWAY , Irlanda e TAMPA, Florida , 25 febbraio 2021 / PRNewswire / - TitanHQ è lieta di annunciare che tre delle sue soluzioni di sicurezza sono state nominate...