Целью работы является проведение сравнения инструментов для динамического анализа угроз безопасности программного обеспечения и выявление лучшего из них по нескольким критериям. Анализ проведен экспериментально на основе метрик времени, шумности и ложноположительных срабатываний путем проверки сканеров уязвимостей на web-приложении, содержащем 15 уязвимостей. Определены информативные параметры инструментов динамического анализа web-приложения, которые представлены графически. Показано, что отечественный программный продукт по рассматриваемым метрикам и ряду других показателей продемонстрировал наилучшие результаты. Предложенный подход к выбору инструментов динамического анализа инструментов безопасности web-приложений позволяет на стадии разработки сократить количество уязвимостей в web-приложениях и повысить их защищенность от возможных кибератак.
< ... >
The purpose of the work is to compare tools for dynamic analysis of software security threats and identify the best of them according to several criteria. The analysis was carried out experimentally based on metrics of time, noise and false positives. Informative parameters of web application dynamic analysis tools have been identified. It is shown that the domestic software showed the best results in terms of the metrics under consideration and a number of other indicators. The proposed approach allows, at the development stage, to reduce the number of vulnerabilities in web applications and increase their security from cyber attacks.
Keywords:
web application, cyber security, vulnerability scanner, dynamic analysis, attack, cross-site scripting, SQL injection, DAST
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
