СИСТЕМАТИЗАЦІЯ ТА ПОРІВНЯЛЬНИЙ АНАЛІЗ ІНСТРУМЕНТІВ АВТОМАТИЗОВАНОГО ТЕСТУВАННЯ НА ПРОНИКНЕННЯ ВЕБ-ДОДАТКІВ

Володимир Хома; Андрій Партика; Дмитро Сабодашко

doi:10.28925/2663-4023.2025.31.1068

Автор(и)

Володимир Хома Національний університет «Львівська Політехніка» https://orcid.org/0000-0001-9391-6525
Андрій Партика Національний університет «Львівська Політехніка» https://orcid.org/0000-0003-3037-8373
Дмитро Сабодашко Національний університет «Львівська Політехніка» https://orcid.org/0000-0003-1675-0976

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1068

Ключові слова:

безпека; тестування на проникнення; вразливості; штучний інтелект; OWASP; BurpSuite.

Анотація

У статті досліджено сучасні підходи до автоматизації процесу тестування на проникнення веб-додатків. Зростання кількості та складності веб-загроз, обмеженість ресурсів на ручне тестування зумовлюють критичну потребу в ефективному використанні інструментів автоматизованого тестування. Проте різноманіття архітектур, принципів роботи та функціональних можливостей наявного інструментарію пентестингу створює проблему обґрунтованого вибору та ефективного поєднання. Метою статті є систематизація основних інструментів з відкритим кодом та проведення їх порівняльного аналізу на основі комплексу розроблених критеріїв. У роботі запропоновано класифікувати інструменти за чотирма категоріями: активні сканери на основі проксі (наприклад, OWASP ZAP), сканери на основі шаблонів (Nuclei), спеціалізовані інструменти експлуатації (sqlmap) та фаззери/сканери параметрів (ffuf). Для порівнялього аналізу визначено систему критеріїв, що включає функціональні (покриття OWASP Top-10, підтримка сучасних технологій), операційні (інтеграція в CI/CD, зручність) та технічні (ліцензія, активність розвитку) аспекти. На основі цих критеріїв проаналізовано інструменти, що представяють кожну з категорій. Результати дослідження показали, що жоден інструмент не є універсальним, а ефективність залежить від специфіки завдання. Встановлено, що найбільш універсальним для глибинного аналізу є OWASP ZAP, найшвидшим для масштабованого сканування – Nuclei, а найефективнішим для розвідки – ffuf. Ключовим висновком є рекомендація щодо синергетичного комбінування інструментів у єдиному робочому процесі (workflow) для максимального покриття фаз тестування: від розвідки до глибокої експлуатації. Отримані результати формують теоретичну основу для обґрунтованого вибору інструментів та побудови ефективних процесів автоматизованого тестування безпеки в рамках підходів DevSecOps.

Завантаження

Дані завантаження ще не доступні.

Посилання

OWASP Foundation. (2021). OWASP Top Ten Web Application Security Risks. OWASP. https://owasp.org/Top10/

OWASP Foundation. (2021). OWASP Web Security Testing Guide (WSTG) Version 4.2. OWASP. https://owasp.org/www-project-web-security-testing-guide/

OWASP Foundation. (2023). OWASP Zed Attack Proxy (ZAP) – User Guide. OWASP. https://www.zaproxy.org/docs/

ProjectDiscovery. (2024). Nuclei Documentation. ProjectDiscovery.io. https://docs.nuclei.sh/

sqlmap developers. (2024). sqlmap: Automatic SQL injection and database takeover tool – User Manual. sqlmap.org. http://sqlmap.org/

ffuf project. (2024). ffuf – Fast web fuzzer written in Go – Documentation. GitHub. https://github.com/ffuf/ffuf

Duchene, F., Rawat, S., Gupta, V., & Balzarotti, D. (2018). A Case Study of Automated Penetration Testing: The Status Quo and Future Challenges. In Proceedings of the 13th International Conference on Availability, Reliability and Security (ARES '18). ACM. https://doi.org/10.1145/3230833.3233284

Al-Saleh, M. I., & Espinoza, A. M. (2019). A Survey on Web Application Vulnerability Scanning Tools. International Journal of Advanced Computer Science and Applications (IJACSA), 10(5), 384-390. https://doi.org/10.14569/IJACSA.2019.0100549

Antunes, N., & Vieira, M. (2015). Assessing and comparing vulnerability detection tools for web services: Benchmarking approach and examples. IEEE Transactions on Services Computing, 8(2), 269-283. https://doi.org/10.1109/TSC.2013.2295792

Doupé, A., Cova, M., & Vigna, G. (2010). Why Johnny Can’t Pentest: An Analysis of Black-Box Web Vulnerability Scanners. In Proceedings of the 7th International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment (DIMVA '10). Springer. https://doi.org/10.1007/978-3-642-14215-4_11

Bau, J., Bursztein, E., Gupta, D., & Mitchell, J. (2010). State of the Art: Automated Black-Box Web Application Vulnerability Testing. In Proceedings of the 2010 IEEE Symposium on Security and Privacy (SP '10). IEEE. https://doi.org/10.1109/SP.2010.27

Garside, J. (2022). Integrating Security into DevOps: A Survey of Open-Source Tools for Automated Penetration Testing. Journal of Cybersecurity and Privacy, 2(3), 512-527. https://doi.org/10.3390/jcp2030026

Sokolov, V., Skladannyi, P., & Platonenko, A. (2023). Jump-stay jamming attack on Wi-Fi systems. In 2023 IEEE 18th International Conference on Computer Science and Information Technologies (CSIT) (pp. 1–5). IEEE. https://doi.org/10.1109/CSIT61576.2023.10324031

Vorontsov, A. M., & Ivanchenko, I. V. (2021). Suchasni metody ta zasoby testuvannia bezpeky veb-zastosunkiv [Modern methods and tools for web application security testing]. Cybersecurity: Education, Science, Technique, 2(14), 87–101. https://doi.org/10.28925/2663-4023.2021.14.87101