Application Security Testing

Application Security Testing (AST) omvat vrijwel alle taken waarmee een veilige manier van software ontwikkeling voor ontwikkelteams wordt gerealiseerd. Het uiteindelijke doel is om de securitygesteldheid verder te verbeteren en tegelijkertijd security issues te vinden, repareren en bij voorkeur security issues in applicaties te voorkomen. De gehele applicatie ontwikkelcyclus wordt gedekt vanaf de analyse van de eisen en wensen, het ontwerp, de implementatie en verificatie tot aan de onderhoudsfase.

Security testing oplossingen zoeken naar kwetsbaarheden en gaten in applicaties. Deze kwetsbaarheden maken het voor kwaadwillenden mogelijk om misbruik te maken. Security testing komt het beste tot zijn recht als het in de gehele software ontwikkel cyclus (SDLC) is opgenomen. Hierdoor kunnen kwetsbaarheden vroegtijdig en grondig worden aangepakt.

Security testing oplossingen zoeken naar kwetsbaarheden en gaten in applicaties. Deze kwetsbaarheden maken het voor kwaadwillenden mogelijk om misbruik te maken. Security testing komt het beste tot zijn recht als het in de gehele software ontwikkel cyclus (SDLC) is opgenomen. Hierdoor kunnen kwetsbaarheden vroegtijdig en grondig worden aangepakt.

• Static Application Security Testing (SAST); analyseert broncode op kwetsbaarheden gedurende de ontwikkeling van een applicatie. Vergeleken met DAST kan SAST zelfs worden ingezet voordat de applicatie in ‘uitvoerbare’ modus verkeert. Daar SAST toegang heeft tot de volledige broncode noemen we deze aanpak de white-box aanpak. Deze aanpak zorgt voor meer gedetailleerde resultaten maar kan ook resulteren in veel false-positives die handmatig moeten worden geverifieerd.
• Dynamic Application Security Testing (DAST); detecteert kwetsbaarheden automatisch door websites te scannen en ‘crawlen’. Deze op de black-box aanpak gebaseerde scanmethode is zeer schaalbaar, eenvoudig te integreren en snel. DAST oplossingen zijn goed bruikbaar om het hoofd te bieden aan ‘low-level’ aanvallen zoals injecties maar zijn niet zo goed geschikt om ‘high-level’ fouten zoals bijvoorbeeld fouten in de logica te detecteren.
• Interactive Application Security Testing (IAST); onderzoekt applicaties van binnenuit door gebruik te maken van de software instrumentatie. Deze gray-box gebaseerde aanpak combineert de kracht van zowel SAST en DAST methodes en biedt tevens toegang tot code, HTTP verkeer, informatie over libraries, back-end connecties en informatie over configuraties. Sommige van de IAST oplossingen vereisen dat de applicatie wordt ‘aangevallen’ terwijl andere oplossingen kunnen worden ingezet tijdens normale quality assurance tests.
• Mobile Application Security Testing (MAST); in de basis worden applicaties door mobiele AST applicaties op 3 manieren getest: SAST: deze oplossingen analyseren statisch de bron, binaries of bytecode van een applicatie om mogelijke kwetsbaarheden te kunnen herkennen. Op gedrag gebaseerd testen: Mobiele AST applicaties maken gebruik van op gedrag gebaseerde analyse om het gedrag van een applicatie gedurende runtime te observeren en om acties te kunnen identificeren die door een hacker zouden kunnen worden benut. DAST: deze oplossingen maken ook gebruik van dynamische analyse om de applicatie te testen in de ‘runtime’ staat. DAST simuleert aanvallen op een applicatie en analyseert de reactie van de applicatie om te bepalen of er zich een kwetsbaarheid in bevindt.

iSOC24 heeft zowel de oplossing van Rapid7 als de crowd sourced security testing diensten van Synack in haar brede portfolio.

Hieronder staat de aanpak en functionaliteit van beide oplossingen verder beschreven:

• Lees verder
• Rapid7 InsightAppSec
• Synack Application Testing

Wilt u meer weten over de Rapid7 oplossingen en de Synack dienstverlening en hoe deze het best kunnen toegepast in uw specifieke situatie neemt u dan contact op met één van onze specialisten.