МЕТОДИ ДЛЯ ТЕСТУВАННЯ БЕЗПЕКИ ВЕБ-ЗАСТОСУНКІВ

Анастасія Толкачова; Андріян Піскозуб

doi:10.28925/2663-4023.2024.26.668

Автор(и)

Анастасія Толкачова Національний Університет «Львівська Політехніка» https://orcid.org/0000-0002-8196-7963
Андріян Піскозуб Національний Університет «Львівська Політехніка» https://orcid.org/0000-0002-3582-2835

DOI:

https://doi.org/10.28925/2663-4023.2024.26.668

Ключові слова:

безпека; тестування на проникнення; вразливості; штучний інтелект; OWASP; BurpSuite.

Анотація

Тестування на проникнення є ключовим методом динамічної оцінки захищеності комп’ютерних мереж, інфраструктури, веб- та мобільних додатків, спрямованим на виявлення й експлуатацію вразливостей шляхом імітації ймовірних атак з боку зловмисників. Традиційно цей процес проводиться вручну, що вимагає високої кваліфікації фахівців з кібербезпеки та значного часу для підготовки, реалізації атак, аналізу результатів і формування звітів. Однак, із зростанням складності та кількості кіберзагроз виникла необхідність в автоматизованих інструментах, здатних пришвидшити процес тестування, підвищуючи при цьому його ефективність і точність. У статті здійснено огляд сучасних інструментів для тестування на проникнення, зокрема тих, що використовують методи штучного інтелекту (ШІ) для покращення виявлення вразливостей та оптимізації роботи пентестерів. Проаналізовано ряд популярних комерційних рішень, включаючи RidgeBot, vPenTest, Metasploit Pro, BreachLock PTaaS, Edgescan, Burp Suite Professional, AppCheck, NetSPI, Astra та Pentest-Tools.com. Для кожного інструменту розглянуто його основні можливості, платформи, на яких він здійснює тестування, основні типи вразливостей, які він здатний виявляти (такі як SQL-ін’єкції, XSS, CSRF, RCE та інші), а також специфічні технічні деталі реалізації. Також досліджено питання цінової політики для комерційних платформ, що дозволяє оцінити доцільність їх застосування залежно від потреб і специфіки підприємства. У статті підкреслюється важливість розвитку національних рішень для тестування на проникнення, зокрема в Україні, де інструмент такого рівня може відіграти важливу роль в забезпеченні інформаційної безпеки та зниженні ризиків витоку даних. Створення українських рішень також сприятиме збереженню коштів усередині країни, підтримуючи національну економіку і створюючи нові робочі місця для спеціалістів. З огляду на підвищений рівень кіберзагроз, розвиток таких інструментів є актуальним завданням для посилення кібербезпеки як приватного сектору, так і державних установ.

Завантаження

Дані завантаження ще не доступні.

Посилання

Piskozub, A., Zhuravchak, D., & Tolkacheva, A. (2023). Research of vulnerabilities in chatbots using large language models. Ukrainian Scientific Journal of Information Security, 29(3), 111–117. https://doi.org/10.18372/2225-5036.29.18069

Shebli, H. M. Z. A., & Beheshti, B. D. (2018). A study on penetration testing process and tools. In 2018 IEEE long island systems, applications and technology conference (LISAT). IEEE. https://doi.org/10.1109/lisat.2018.8378035

Chowdhary, A., Huang, D., Mahendran, J. S., Romo, D., Deng, Y., & Sabur, A. (2020). Autonomous security analysis and penetration testing. In 2020 16th international conference on mobility, sensing and networking (MSN). IEEE. https://doi.org/10.1109/msn50589.2020.00086

Vats, P., Mandot, M., & Gosain, A. (2020). A comprehensive literature review of penetration testing & its applications. In 2020 8th international conference on reliability, infocom technologies and optimization (trends and future directions) (ICRITO). IEEE. https://doi.org/10.1109/icrito48877.2020.9197961

Products in penetration testing tools category. (n. d.). https://www.gartner.com/reviews/market/penetration-testing-tools

Automated penetration testing tool | ridgebot | ridge security. (n. d.). Ridge Security. https://ridgesecurity.ai/products/

Network penetration testing platform | vpentest. (n. d.). Vonahi Security: Automated Penetration Testing & Cyber Security Services. https://www.vonahi.io/services/network-penetration-testing

Metasploit | penetration testing software, pen testing security | metasploit. (n. d.). Metasploit. https://www.metasploit.com/

PTaaS - BreachLock. (n. d.). BreachLock. https://www.breachlock.com/products/ptaas/

Home. (n. d.). Edgescan. https://www.edgescan.com/

Burp suite professional. (n. d.). Web Application Security, Testing, & Scanning - PortSwigger. https://portswigger.net/burp/pro

AppCheck | A complete enterprise security testing solution. (n. d.) https://appcheck-ng.com/

NetSPI penetration testing as a service (ptaas). (n. d.). https://www.netspi.com/netspi-ptaas/

Astra Pentest. (n. d.). https://www.getastra.com/pentest

Penetration testing toolkit, ready to use. (n. d.). Pentest-Tools.com. https://pentest-tools.com/

Hulak, H. M., Zhiltsov, O. B., Kyrychok, R. V., Korshun, N. V., & Skladannyi, P. M. (2024). Information and cyber security of the enterprise. Textbook. Lviv: Publisher Marchenko T. V.