Сканер захищеності веб-додатків (WASS) - огляд ринку в Росії і в світі

1. Вступ
2. Що таке сканери захищеності веб-додатків?
3. Принцип роботи сканерів захищеності веб-додатків
4. Світовий ринок сканерів захищеності веб-додатків
5. Російський ринок сканерів захищеності веб-додатків
6. Короткий огляд сканерів захищеності веб-додатків
7. HP
8. IBM
9. Qualys
10. Acunetix
11. Outpost24
12. N-Stalker
13. Rapid7
14. Positive Technologies
15. Висновки

В даному огляді розглядаються сканери захищеності веб-додатків (Web Application Security Scanner, WASS) в контексті світового та російського ринку. Дається визначення базової термінології, опис принципу, наводяться короткі огляди продуктів.

1. Введення

2. Що таке сканери захищеності веб-додатків?

3. Принцип роботи сканерів захищеності веб-додатків

4. Світовий ринок сканерів захищеності веб-додатків

5. Російський ринок сканерів захищеності веб-додатків

6. Короткий огляд сканерів захищеності веб-додатків

7. Висновки

Вступ

У сучасному світі робота будь-якої компанії тісно пов'язана з інформаційними технологіями. Бізнес-процеси вибудувані таким чином, що збої в роботі інформаційних систем компанії (незалежно від характеру виникнення: навмисні і ненавмисні) можуть привести до порушення діяльності компанії в цілому. У тому числі це стосується питань захисту інформації в експлуатованих інформаційних системах.

Для запобігання таким порушенням компаніям необхідно бути впевненими, що їх інформаційні системи налаштовані коректно, не містять критичних вразливостей і здатні протистояти різним атакам з метою їх компрометації.

Для вирішення таких завдань на ринку існують сканери безпеки, які здійснюють аналіз стану захищеності як інформаційної системи в цілому, так і окремих її компонентів (операційних систем, СУБД, веб-додатків і т. Д.). У даній статті будуть розглянуті сканери захищеності, орієнтовані на веб-додатки (WASS-сканери).

Що таке сканери захищеності веб-додатків?

Сканери захищеності веб-додатків мають такі англомовні найменування, як Web Application Scanning (WAS), Web Application Security Scanner (WASS), Web Application Vulnerability Scanners (WAVS), Web Application Security Vulnerability Scanners (WASVS), а також можливі інші альтернативні назви. Наприклад, на Заході зараз також використовується найменування Application Security Testing (AST), що є більш ємним класом продуктів (включає в себе кілька методів тестування, а також виконує сканування веб-додатків, хмарних рішень і мобільних додатків). У даній статті ми будемо дотримуватися найменування Web Application Security Scanner (WASS), яке перекладається як «сканер безпеки веб-додатків» (дане найменування не є якимось стандартним або загальноприйнятим і вибрано автором з метою написання даної статті).

Причини появи WASS-сканерів як окремого класу продуктів пов'язані з розвитком веб-додатків і їх використанням в інформаційних системах компаній. В даний час веб-додаток може являти собою як простий веб-сайт компанії, так і може бути великої системою обробки даних з веб-інтерфейсом. Відповідно зі збільшенням ролі веб-додатків збільшилася кількість атак, спрямованих на них (більшість зовнішніх атак на корпоративні інформаційні системи націлене саме на уразливості в веб-додатках). Цілі таких атак можуть бути різними: від порушення функціонування веб-додатки до проникнення в корпоративну інформаційну систему через уразливості в експлуатується веб-додатку. Таким чином, зі збільшенням ризиків проведення атак на веб-додатки в компаніях більша увага стала приділятися виявленню та закриття вразливостей в них.

Для проведення аналізу веб-додатків на наявність в них вразливостей як раз і призначені WASS-сканери. Основною функцією WASS-сканера є аналіз стану захищеності веб-додатки, що включає в себе пошук вразливостей, формування звітності за результатами проведених сканувань, а також оперативне оповіщення про знайдені проблеми. Крім того, деякі WASS-сканери дозволяють оцінювати відповідність безпеки веб-додатки різним стандартам (наприклад, стандарт PCI DSS).

Принцип роботи сканерів захищеності веб-додатків

За допомогою WASS-сканера може здійснюватися перевірка на наявність системних помилок, тестування на проникнення, а також контроль відповідності різним стандартам безпеки.

Типова робота WASS-сканера полягає в скануванні веб-додатки на наявність вразливостей і виглядає наступним чином:

• вибір об'єкта сканування;
• проведення сканування (оцінки безпеки) веб-додатки (може проводитися аналіз на наявність системних помилок і вразливостей, а також на предмет відповідності різним стандартам безпеки);
• формування звітності (про знайдені системні помилки і слабкі місця, про відповідність стандартам безпеки) і рекомендацій щодо усунення помилок, вразливостей і невідповідностей стандартам безпеки.

WASS-сканери можуть використовуватися на постійній основі (при цьому продукт розгортається на виділеному апаратне забезпечення і постійно функціонує в автоматизованому режимі), а також разово, коли WASS-сканер запускається тільки адміністратором при необхідності проведення перевірки. При використанні автоматизованого функціоналу WASS-сканера (сканування проводиться автоматично за заданим розкладом) доступна функція оперативного оповіщення відповідальних осіб про знайдені вразливості.

Також на ринку присутні продукти класу Open Source, призначені для тестування безпеки веб-додатків. До подібних продуктів, наприклад, можна віднести такі рішення, як проект w3af (Фреймворк, що дозволяє використовувати більше сотні різних плагінів для дослідження сайту, пошуку вразливостей і їх подальшої експлуатації) та Gryffin (Відкритий сканер безпеки, призначений для проведення всебічних перевірок безпеки в веб, що охоплюють різні аспекти роботи веб-додатків).

Світовий ринок сканерів захищеності веб-додатків

На світовому ринку кошти аналізу захищеності веб-додатків представлені дуже широко і показують стабільний розвиток. Масштабні скандали навколо порушення роботи важливих веб-додатків наголосили на необхідності ефективного виявлення вразливостей безпеки в них.

Згідно з дослідженнями, що проводяться Gartner на Заході, WASS-сканери входять в одну велику групу продуктів для аналізу і тестування додатків, яка отримала назву Application Security Testing. До рішень даного класу відносять продукти для тестування веб-додатків, хмарних рішень і мобільних додатків.

Продукти, що відносяться до Application Security Testing, виконують аналіз і тестування додатків з використанням декількох методів:

• Static AST (SAST): статична сканування безпеки додатків, при якому здійснюється аналіз початкових кодів веб-додатки (коду), як правило, на стадіях його програмування і тестування;
• Dynamic AST (DAST): динамічне сканування безпеки додатків, при якому здійснюється аналіз робочого додатки;
• Interactive AST (IAST): інтерактивне сканування безпеки додатків, при якому здійснюється аналіз додатків за допомогою комбінованого підходу (з використанням SAST і DAST).

Найбільш популярним методом для перевірки додатків є DAST. А для веб-додатків він є переважним, так як в основному аналіз захищеності проводиться для вже робітників і запущених в виробничу експлуатацію веб-додатків (метод чорного ящика).

Раніше Gartner ділив Application Security Testing на кілька груп продуктів (за методом тестування: SAST і DAST) і відповідно готував для кожної з них свої квадранти. На той момент вендори, що використовують один з методів тестування в своїх продуктах (SAST і DAST), були непохитні і вважали його достатнім для проведення повноцінного тестування додатків. Згодом ситуація змінилася, і вендори стали застосовувати в своїх продуктах комбіновані методи тестування.

Поступово дані продукти розвивалися, їх інтерфейси ставали більш зручними для користувачів, додалася інтеграція з різними додатками (наприклад, з додатками для розробки і тестування), поліпшувалася аналітика і звітність. Також стали з'являтися можливості інтеграції з іншими рішеннями з безпеки, наприклад такими, як WAF (Web Application Firewall) . Крім того, в даний час багато вендори стали пропонувати свої продукти як хмарний сервіс.

Таким чином, на сьогоднішній день в своїх квадрантах Gartner робить основний фокус на вендорів, що використовують в своїх продуктах методи SAST, DAST і IAST для тестування веб-додатків, а також здатних виконувати тестування мобільних додатків.

Нижче наведені квадранти Gartner для рішень Application Security Testing, опубліковані за останні два роки:

Малюнок 1. Магічний квадрант Gartner для Application Security Testing, 2014 рік

Малюнок 2. Магічний квадрант Gartner для Application Security Testing, 2015 рік

Як можна побачити, вибір постачальників Application Security Testing досить широкий. Лідерами останні два роки є продукти таких вендорів, як HP, Varacode, IBM і WhiteHat Security.

Також до числа сильних гравців можна віднести Checkmarx, Qualys, Trustwave, Cigital, PortSwigger, Acunetix і Rapid7.

Російський ринок сканерів захищеності веб-додатків

Російський ринок WASS-рішень на сьогоднішній день, на жаль, представлений не так широко, як на Заході. Тут присутні такі продукти, як Appercut (система аналізу коду бізнес-додатків для захисту від закладок і недокументованих можливостей; представлена ​​компанією InfoWatch), AppChecker (Статичний аналізатор коду, призначений для автоматизованого пошуку дефектів у вихідному коді додатків, розроблених на C / C ++, Java, PHP; представлений компанією «НВО Ешелон»), PT Application Inspector (засіб аналізу захищеності додатків; представлено компанією Positive Technologies) і ін.

Також у компанії Positive Technologies в складі продукту MaxPatrol (представляє собою засіб аналізу захищеності, яке виконує комплексну перевірку інформаційної мережі) розроблений спеціальний модуль для аналізу безпеки веб-додатків. Він дозволяє ідентифікувати уразливості в успадкованих додатках і додатках власної розробки. Евристичні механізми дозволяють виявляти більшість типових помилок, що допускаються при розробці веб-додатків: впровадження операторів SQL (SQL Injection), міжсайтового виконання сценаріїв (Cross-Site Scripting, XSS) і ін. Також функції сканування веб-додатків заявлені в іншому продукті вендора - Xspider . Беручи до уваги, що зазначені продукти є комплексними рішеннями (застосовуються для сканування всієї інформаційної системи), розглядатися детально в даній статті вони не будуть.

Серед західних продуктів на російському ринку представлені рішення наступних вендорів: HP, IBM, Qualys, Acunetix, Outpost24, N-Stalker і Rapid7, два з яких є лідерами квадранта Gartner (HP і IBM).

Короткий огляд західних продуктів, представлених на російському ринку, а також вітчизняного представника Positive Technologies наведено нижче.

Даний огляд стосується сканерів захищеності веб-додатків, які використовують у своїй роботі динамічне сканування (DAST). Сканери безпеки додатків, які здійснюють виключно аналіз вихідного коду (SAST), будуть розглянуті в іншій статті. Із зазначеної причини в даній статті не розглядаються продукти таких вендорів, як, наприклад, Checkmarx (продукт цього вендора - Checkmarx CxSuite - являє собою рішення для аналізу вихідного коду на предмет наявності закладок і вразливостей) або російський представник InfoWatch зі своїм продуктом Appercut (згадувався вище у статті).

Короткий огляд сканерів захищеності веб-додатків

HP

Компанією HP представлено засіб аналізу захищеності HP WebInspect - автоматизований інструмент для динамічного тестування безпеки додатки (DAST), що імітує реальні атаки і техніки злому і дозволяє виконувати всебічний динамічний аналіз комплексних веб-додатків і служб.

HP WebInspect підтримує інтеграцію з HP WebInspect Agent, що дозволяє виконувати інтерактивне сканування безпеки додатків (IAST, з використанням SAST і DAST).

HP WebInspect може надаватися як ліцензійного продукту або за запитом (як послуги).

переваги:

• простота розгортання і масштабування при необхідності;
• інтуїтивний інтерфейс (простота використання);
• підтримка сучасних технологій (дозволяє оцінювати додаток цілком незалежно від архітектури або використаних технологій);
• підтримує роботу з додатками, що використовують JavaScript / Ajax і Adobe Flash;
• динамічний аналіз і аналіз середовища виконання;
• надання інформації, необхідної для відтворення та усунення проблеми, в інтерактивному режимі;
• управління відповідністю - рішення дозволяє з легкістю формувати звіти для менеджменту (статистика вразливостей, управління відповідністю і показники окупності), а також створювати укладення для розробників (відомості про кожну уразливість і пріоритетність виправлень);
• інтегрована система побудови осмислених звітів (є готові шаблони і форми звітів, а також підтримується можливість створення своїх звітів);
• формування звітів на відповідність міжнародним стандартам, наприклад таким, як PCI DDS;
• надається звітність і опису допомагають швидко і точно визначити проблеми, які вимагають усунення;
• велика і регулярно поповнюється база знань (в тому числі база вразливостей);
• централізоване управління, що дозволяє створити загальнокорпоративні сервіс для розподіленого моніторингу безпеки з єдиним центром збору даних.

Детальніше з продуктом HP WebInspect можна ознайомитися тут .

IBM

Компанією IBM представлено засіб аналізу захищеності IBM Security AppScan. IBM Security AppScan оцінює наявність вразливостей, виконуючи автоматизоване сканування і пошук всіх поширених вразливостей в веб-додатках, в тому числі SQL-ін'єкції, міжсайтовий скриптинг, переповнення буфера і т. Д.

переваги:

• проводиться автоматизоване динамічне тестування захисту (із застосуванням способу чорного ящика) з метою виявити уразливості в веб-сервісах, програмах Web 2.0 і розширених мережевих програмах (JavaScript, Ajax і Adobe Flash);
• проводиться статичний аналіз (із застосуванням способу прозорого ящика) вразливостей на стороні замовника;
• поліпшена підтримка веб-сервісів і архітектури, спрямованої на сервіси (SOA), в тому числі SOAP і XML;
• точне сканування і поглиблене тестування;
• перевірка веб-сайтів для визначення шкідливих програм і вказівок на шкідливі або небажані сайти;
• зіставлення результатів з базою даних IBM X-Force;
• спрощене трактування результатів сканування;
• забезпечення адаптивної процедури тестування, розумно імітує логіку людини;
• забезпечення засобів для проведення ручного тестування, в тому числі розширені інструменти тестування захисту на базі сценаріїв Pyscan;
• надаються рекомендації щодо усунення неполадок, які є найбільш важливими;
• забезпечує кодові зразки для прискореного усунення неполадок;
• забезпечує розширені інструменти усунення неполадок, включаючи весь спектр завдань;
• підвищена прозорість і сумісність;
• зберігає шаблони звітів про відповідність вимогам: понад 40 закінчених звітів про відповідність, включаючи PCI DSS, PA-DSS, ISO 27001, ISO 27002 та Basel II;
• сприяє підтримці відповідності головним стандартам PCI DSS, забезпечуючи постійний контроль безпеки програм;
• підтримує інтеграцію з IBM Security AppScan Reporting Console, забезпечуючи видимість ризиків і постійних оновлень в продовження коригування по всьому підприємству.

Детальніше з продуктом IBM Security AppScan можна ознайомитися тут .

Qualys

Компанією Qualys представлено засіб аналізу захищеності веб додатків Qualys Web Application Scanning (WAS). Qualys WAS являє собою систему контролю вразливостей і оцінки рівня захищеності веб-додатків, яка дозволяє здійснювати автоматичне сканування користувальницьких веб-додатків (DAST).

Продукт призначений для оцінки, відстеження та усунення вразливостей веб-додатків. Він дозволяє виявляти всі уразливості з OWASP TOP 10 and WASC 10, оцінювати захищеність реалізації HTTPS, виявляти шкідливий код, шукати конфіденційну інформацію на сайтах, а також може самостійно виконувати аутентифікацію в веб-додатках.

переваги:

• автоматизація сервісу дозволяє проводити тестування на регулярній основі;
• виявляє уразливості в синтаксисі і семантиці призначених для користувача веб-додатків;
• проводить сканування і аудит як з використанням аутентифікаційних даних, так і без них;
• дозволяє створювати свої профілі аналізу вразливостей веб-додатків для забезпечення достовірності результатів і зниження кількості помилкових спрацьовувань;
• може бути використаний у виробництві або середовищі розробки;
• легко масштабується для будь-якої кількості внутрішніх і зовнішніх веб-додатків;
• має просунуту систему звітів з можливістю управління помилкові спрацьовування і винятками;
• тісно інтегрований з іншими сервісами Qualys.

Детальніше з продуктом Qualys Web Application Scanning можна ознайомитися тут .

Acunetix

Компанією Acunetix представлено засіб АНАЛІЗУ захіщеності Acunetix Web Vulnerability Scanner. Воно забезпечує автоматичний контроль безпеки веб-додатків і дозволяє виявити вразливі місця в захисті веб-сайту до того, як їх виявить і використовує зловмисник. При виявленні слабкого місця видається відповідне попередження, яке містить опис уразливості і рекомендації по її усуненню.

Acunetix Web Vulnerability Scanner автоматично виявляє такі уразливості:

• cross site scripting (виконання шкідливого сценарію в браузері користувача при зверненні та в контексті безпеки довіреної сайту);
• SQL injection (виконання SQL-запитів з браузера для отримання несанкціонованого доступу до даних);
• база даних GHDB (Google hacking database) - перелік типових запитів, що використовуються хакерами для отримання несанкціонованого доступу до веб-додатки та сайтам;
• виконання різних кодів (обхід каталогу, розкриття вихідного коду сценарію і т. д).

Преимущества:

• простий у використанні;
• має багато-сканер, що дозволяє перевіряти сотні тисяч сторінок без перерви;
• дозволяє виконувати автоматичне сканування та сканування складних захищених паролем областей веб-додатки;
• дозволяє виконувати сканування WordPress, має високий показник визначення вразливостей в цьому додатку (сканує для більш ніж 1200 відомих вразливостей в WordPress);
• генерує широкий спектр технічних звітів і звітів відповідності, призначених як для розробників, так і для керівників;
• підсумковий звіт може бути записаний в файл для подальшого аналізу і порівняння з результатами попередніх перевірок.

Детальніше з продуктом Acunetix Web Vulnerability Scanner можна ознайомитися тут .

Outpost24

Компанією Outpost24 представлено кілька засобів аналізу захищеності: WAS Outpost24 і Secure Web Application Tactics. На сьогоднішній день продукт WAS Outpost24 доступний тільки для продовження, т. Е. Для першого придбання продукт більше не надається. Таким чином, доступним для придбання продуктом є Secure Web Application Tactics (SWAT).

SWAT являє собою комплекс продукту і послуги, тому що крім сканера включає в себе ще послуги зовнішніх фахівців.

SWAT поєднує переваги найсучасніших скануючих засобів зі знаннями фахівців з безпеки. В SWAT застосовується «розумна» технологія, здатна виявляти і вивчати нові загрози, змінюючи відповідним чином свою поведінку і не впливаючи на повсякденну діяльність компанії.

SWAT забезпечує результати з нульовим кількістю помилкових спрацьовувань, не вимагає спеціальних навчальних заходів і включає компетентну технічну підтримку в будь-який час дня і ночі. Крім того, здійснюючи безперервний моніторинг, SWAT гарантує, що сайти замовника залишаться захищеними навіть у разі зміни веб-додатків або появи нового методу атаки.

Преимущества:

• здійснюючи безперервний моніторинг веб-додатків, SWAT виявляє будь-які зміни, такі, як нові сторінки або зміст;
• скануючи з дуже низькою інтенсивністю і навантаженням на протязі тривалого часу, SWAT забезпечує максимальне охоплення з мінімальним впливом;
• сканує, безпечне для виробництва (для забезпечення безпеки сканування SWAT слід найсуворішим правилам, не роблячи дій, що порушують доступність або цілісність інформації);
• генерує звіти з інформацією, перевіреної експертами з безпеки, ці звіти усувають проблему помилкових спрацьовувань і дозволяють замовникам швидко знизити рівень ризику;
• виявляється цілодобова технічна підтримка фахівцями вендора.

Детальніше з продуктом Secure Web Application Tactics (SWAT) можна ознайомитися тут .

N-Stalker

Компанією N-Stalker представлено засіб аналізу захищеності N-Stalker Web Application Security Scanner.

N-Stalker Web Application Security Scanner - це набір інструментів для перевірки захищеності і підвищення загального рівня безпеки інфраструктури веб-серверів за допомогою власної бази сигнатур. Продукт заснований на запатентованій технології сканування системи безпеки web-додатків, яка дозволяє в процесі впровадження інфраструктури та тестування веб-додатків оцінювати ступінь їх захищеності від зовнішніх загроз. N-Stalker Web Application Security Scanner дозволяє здійснювати перевірку більше 39 000 сигнатур і аналізувати безпеку інфраструктур, гарантуючи захищеність середовища функціонування розроблюваних веб-додатків.

Преимущества:

• володіє простим і зручним інтерфейсом і пропонує гнучку систему конфігурацій вимог безпеки, що дозволяють налаштовувати сканер відповідно до вимог захищеності розроблюваного програмного забезпечення;
• надійна технологія сканування системи безпеки web-додатків - Component-oriented Web Application Security Scanning - дозволяє оцінювати ступінь захищеності web-додатків від зовнішніх загроз на всіх етапах процесу їх розробки;
• підтримує ручне сканування (ручні тести безпеки дозволяють контролювати, які тести безпеки можуть бути виконані в веб-додатку і де саме).

Детальніше з продуктом N-Stalker Web Application Security Scanner можна ознайомитися тут .

Rapid7

Компанією Rapid7 представлено засіб аналізу захищеності Rapid7 AppSpider. Продукт Rapid7 AppSpider дозволяє просканувати веб-додатки на наявність вразливостей, а також надає рекомендації щодо їх усунення. Rapid7 AppSpider включає в себе актуальні інтерактивні звіти і розставляє пріоритети за найвищими ризиками і терміновим робіт з відновлення, що дозволяє швидко усунути і мінімізувати ризики.

Преимущества:

• здатний інтерпретувати нові технології, які використовуються в сучасному Інтернеті і мобільних додатках (AJAX, GWT, REST, JSON і т. д.);
• підтримує різні форми аутентифікації в веб-додатках;
• включає в себе інтерактивні звіти, що містять пріоритети за найвищими ризиками;
• звіти представлені у вигляді веб-сторінок, це допомагає виконувати більш глибокої аналіз за допомогою переходу «вглиб вразливостей»;
• оптимізує зусилля по виправленню, дозволяючи користувачам акцентувати свою увагу на важливих даних;
• забезпечує безперервний моніторинг веб-додатки, ідентифікує в ньому зміни, які можуть викликати нові уразливості, потім запускає повторне сканування відповідно до налаштованим параметрами;
• підтримується функція відтворення окремих атак в реальному часі (для демонстрації її актуальності);
• дозволяє проводити класифікацію веб-додатків для пріоритезації звітів;
• забезпечує централізоване управління і звітність, включаючи конфігурацію сканування, планування та моніторингу;
• виконує перевірку відповідності різним стандартам безпеки.

Детальніше з продуктом Rapid7 AppSpider можна ознайомитися тут .

Positive Technologies

Єдиним представником вітчизняного ринку в нашому огляді є PT Application Inspector від компанії Positive Technologies. Продукт є повністю автоматичним і автономним засобом аналізу і не вимагає в процесі експлуатації ні залучення і відправки результатів зовнішнім експертам, ні підключення до інтернету (поновлення можна завантажувати та встановлювати онлайн і офлайн). В системі PT Application Inspector реалізований унікальний гібридний підхід, що поєднує переваги статичного, динамічного і інтерактивного аналізу, а також використовує величезну базу знань вразливостей, накопичену експертами Positive Technologies.

Преимущества:

• за рахунок комбінації DAST, SAST і IAST, аналізу контексту і конфігурацій серверів і додатків значно зменшується число помилкових спрацьовувань, що дозволяє радикально знижувати витрати експертів на ручну перевірку результатів;
• може аналізувати код на самих ранніх стадіях розробки, при цьому команди контролю якості сповіщаються про небезпечному коді до того, як його почнуть експлуатувати, що знижує ризики атак і вартість перевірки відповідності стандартам безпеки;
• працює з безліччю платформ і мов, включаючи PHP, Java, .NET, SAP ABAP, HTML / JavaScript і SQL, а також з усіма типами вразливостей додатків, включаючи SQLi, XXS і XXE;
• функція генерації експлойтів демонструє ризики вразливостей на практичних прикладах, дозволяючи ставити чіткі завдання для виправлення коду;
• адаптація до бізнес-логікою додатка дозволяє виявляти закладки, залишені в коді розробниками або хакерами (виявлення ознак НДВ);
• підтримує інтеграцію з системою захистом PT Application Firewall: експлойти, які генерує продукт, дозволяють міжмережевий екран створювати віртуальні виправлення і захищати додатки, поки розробники будуть усувати уразливості програмного забезпечення;
• відповідає стандарту ЦБ РС БР Іббсе-2.6-2014, наказам ФСТЕК № 17 і 21, стандарту PCI DSS.

Детальніше з продуктом PT Application Inspector можна ознайомитися тут .

Висновки

WASS-сканери - це рішення для пошуку вразливостей і оцінки рівня захищеності веб-додатків, а також для виявлення невідповідності різним стандартам безпеки (наприклад, стандарт PCI DSS). Вони спрощують підтримку безпечної експлуатації веб-додатків, надаючи звітності про знайдені вразливості і рекомендації по їх усуненню.

З огляду на активне зростання використання компаніями різних веб-додатків, можна стверджувати, що кошти аналізу захищеності веб-додатків не втратять своєї актуальності, і в подальшому попит на ці рішення буде тільки рости. І це, безсумнівно, позитивно позначиться на розвитку ринку продуктів даного класу, в тому числі і продуктів російських розробників.