Firma Mavituna Security opublikowała niedawno darmowe narzędzie do przeprowadzania w pełni zautomatyzowanych, ofensywnych testów bezpieczeństwa aplikacji internetowych. WebRaider pozwala w sprzyjających warunkach na przejęcie całkowitej kontroli nad docelowym systemem przy pomocy jednego kliknięcia myszką. Tym razem jednak Mavituna przygotowała jeszcze większą niespodziankę. Otóż brytyjska firma udostępniła darmową wersję swego sztandarowego i bardzo kosztownego oprogramowania Netsparker (Next Generation Web Application Security Scanner).
Netsparker jest przez firmę Mavituna Security określany mianem Next Generation Web Application Security Scanner i trzeba przyznać, że slogan ten nie jest wyłącznie zabiegiem marketingowym. Program jest zaawansowanym środowiskiem do automatycznego wykrywania błędów w zabezpieczeniach serwisów internetowych, niezależnie od zastosowanych w ich ramach technologii. Bez problemu obsługiwane są technologie AJAX oraz JavaScript.
Netsparker jest w stanie wykryć całą gamę luk bezpieczeństwa, takich jak podatności na:
- SQL Injection,
- Cross-site Scripting,
- Cross-site Scripting via Remote File Injection,
- Local/Remote File Inclusions,
- Remote Code Injection,
- OS Level Command Injection oraz wiele innych.
Na wykryciu podatności na atak jednak się nie kończy, Netsparker jest również w stanie w sposób automatyczny wykorzystać (ang. exploit) obecność luk do wykonania testowego włamania!
Wskaźnik wykryć fałszywych (false-positive) jest niezwykle niski (producent twierdzi wręcz, że takie zjawisko w przypadku Netsparkera w ogóle nie występuje), ze względu na to, że program potwierdza istnienie odkrytych przez siebie luk za pomocą prawdziwych ataków testowych (Integrated Exploitation Engine).
Możliwości oprogramowania są więc naprawdę imponujące, niestety cena Netsparkera mogła skutecznie ostudzić nasz entuzjazm, gdyż roczna subskrypcja wersji Professional to koszt 3000 USD. Firma Mavituna Security zdecydowała się jednak na opublikowanie darmowej wersji Community Edition, dzięki której każdy może zapoznać się z możliwościami Netsparkera. Oto jak darmowa wersja Netsparkera prezentuje się w działaniu:
Jak widać, interfejs jest bardzo przejrzysty, a obsługa programu banalnie prosta. Pozostaje nam więc tylko przetestować za pomocą tego świetnego programu bezpieczeństwo własnych (testowanie cudzych serwisów za pomocą Netsparkera jest nielegalne) serwisów internetowych, a następnie załatać wszystkie odnalezione luki (raporty generowane przez Netsparkera są bardzo precyzyjne, co na pewno ułatwi nam całe zadanie).
