DAST

SolidPoint DAST

Современное решение для динамического анализа веб-приложений и API на наличие уязвимостей информационной безопасности, использующее интеллектуальные алгоритмы для повышения вероятности обнаружения скрытых недостатков и снижения количества ложных срабатываний.

Сайт продукта SolidPoint 📚 Пользовательская документация Скачать листовку

Сценарии использования

  • Анализ защищённости браузерных веб-приложений, включая статико-динамический анализ JavaScript-кода;
  • Анализ защищённости мобильных приложений и веб-сервисов;
  • Тестирование на уязвимости инфраструктуры доставки приложений;
  • Проверка уязвимостей, связанных с аутентификацией и авторизацией;
  • Инвентаризация компонентного состава веб-приложений, управление изменениями АРI;
  • Апробация правил анализа приложений в эксплуатации, увязка с SDLC;
  • Обнаружение уязвимостей ИТ-инфраструктуры в процессах управления уязвимостями и патч-менеджмента;
  • Использование как облачного сервиса или как решения на площадке заказчика.

Преимущества SolidPoint DAST

  • Работа с самыми современными веб-приложениями, включая одностраничные (SPA);
  • Эффективный анализ компонентного состава и выявление точек ввода данных;
  • Обнаружение сложных классов уязвимостей (например, DOM-based XSS/Prototype Pollution);
  • Масштабируемые конфигурации и гибкое регулирование нагрузки;
  • Управление через Web UI, CLI и API, встраивание в конвейер разработки;
  • Интеграция с SolidWall WAF и другими инструментами.

Ключевые функциональные особенности

Анализ инфраструктуры доставки приложений

Сканирование инфраструктуры доставки приложений на наличие известных уязвимостей и недостатков конфигурации, а также обнаружение веб-приложений, доступных для анализа.

Выявление конечных точек приложения

Поддерживается широкий спектр технологий обнаружения конечных точек: статический и динамический краулинг, перебор директорий и файлов по словарям, импорт и обнаружение спецификаций OpenAPI, SOAP, GraphQL, HAR, интеграция с SolidWall WAF для импорта конечных точек из трафика, статико-динамический анализ клиентского JS-кода.

!

Обнаружение различных классов уязвимостей

Модули сканирования выявляют инъекции (включая XSS, SQLi, SSTI), уязвимости сериализации и парсинга форматов, проблемы авторизации и аутентификации и другие.

Интеграция в процессы автоматизации и CI/CD

Поддержка интеграции с помощью REST API или с применением CLI, c синхронным или асинхронным выполнением сканирования, поддержка экспорта JSON отчета во внешние системы управления уязвимостями.

🔐

Поддержка аутентификации в анализируемых приложениях

Базовые методы
  • Cookie
  • Заголовки
  • HTTP Basic Auth
  • Локальное хранилище
  • Клиентский TLS-сертификат
Расширенные методы
  • Алгоритм проверки аутентификации
  • Обновление аутентификации по HTTP-запросу
  • Обновление аутентификации с помощью браузерного сценария
  • Аутентификация в веб-форме

Профессиональные сервисы и сопровождение

  • Настройка целей сканирования, включая параметры аутентификации
  • Анализ результатов сканирования
  • Запуск сканирования с настройкой и валидацией параметров цели
  • Интеграция со сторонними решениями