Cканеры защищенности веб-приложений (WASS) – обзор рынка в России и в мире

Cканеры защищенности веб-приложений (WASS) – обзор рынка в России и в мире

В данном обзоре рассматриваются сканеры защищенности веб-приложений (Web Application Security Scanner, WASS) в контексте мирового и российского рынка. Дается определение базовой терминологии, описание принципа, приводятся краткие обзоры продуктов.

 

 

 

 

1. Введение

2. Что такое сканеры защищенности веб-приложений?

3. Принцип работы сканеров защищенности веб-приложений

4. Мировой рынок сканеров защищенности веб-приложений

5. Российский рынок сканеров защищенности веб-приложений

6. Краткий обзор сканеров защищенности веб-приложений

7. Выводы

 

Введение

В современном мире работа любой компании тесно связана с информационными технологиями. Бизнес-процессы выстроены таким образом, что сбои в работе информационных систем компании (вне зависимости от характера возникновения: преднамеренные и непреднамеренные) могут привести к нарушению деятельности компании в целом. В том числе это относится к вопросам защиты информации в эксплуатируемых информационных системах.

Для предотвращения таких нарушений компаниям необходимо быть уверенными, что их информационные системы настроены корректно, не содержат критичных уязвимостей и способны противостоять различным атакам с целью их компрометации.

Для решения таких задач на рынке существуют сканеры безопасности, осуществляющие анализ состояния защищенности как информационной системы в целом, так и отдельных ее компонентов (операционных систем, СУБД, веб-приложений и т. д.). В данной статье будут рассмотрены сканеры защищенности, ориентированные на веб-приложения (WASS-сканеры).

 

Что такое сканеры защищенности веб-приложений?

Сканеры защищенности веб-приложений имеют такие англоязычные наименования, как Web Application Scanning (WAS), Web Application Security Scanner (WASS), Web Application Vulnerability Scanners (WAVS), Web Application Security Vulnerability Scanners (WASVS), а также возможны другие альтернативные наименования. К примеру, на Западе сейчас также используется наименование Application Security Testing (AST), являющееся более емким классом продуктов (включает в себя несколько методов тестирования, а также выполняет сканирование веб-приложений, облачных решений и мобильных приложений). В данной статье мы будем придерживаться наименования Web Application Security Scanner (WASS), которое переводится как «сканер безопасности веб-приложений» (данное наименование не является каким-либо стандартным или общепринятым и выбрано автором в целях написания данной статьи).

Причины появления WASS-сканеров как отдельного класса продуктов связаны с развитием веб-приложений и их использованием в информационных системах компаний. В настоящее время веб-приложение может представлять собой как простой веб-сайт компании, так и может являться крупной системой обработки данных с веб-интерфейсом. Соответственно с увеличением роли веб-приложений увеличилось количество атак, направленных на них (большинство внешних атак на корпоративные информационные системы нацелено именно на уязвимости в веб-приложениях). Цели таких атак могут быть различными: от нарушения функционирования веб-приложения до проникновения в корпоративную информационную систему через уязвимости в эксплуатируемом веб-приложении. Таким образом, с увеличением рисков проведения атак на веб-приложения в компаниях большее внимание стало уделяться выявлению и закрытию уязвимостей в них.

Для проведения анализа веб-приложений на наличие в них уязвимостей как раз и предназначены WASS-сканеры. Основной функцией WASS-сканера является анализ состояния защищенности веб-приложения, включающий в себя поиск уязвимостей, формирование отчетности по результатам проводимых сканирований, а также оперативное оповещение о найденных проблемах. Кроме того, некоторые WASS-сканеры позволяют оценивать соответствие безопасности веб-приложения различным стандартам (например, стандарт PCI DSS).

 

Принцип работы сканеров защищенности веб-приложений

Посредством WASS-сканера может осуществляться проверка на наличие системных ошибок, тестирование на проникновение, а также контроль соответствия различным стандартам безопасности.

Типовая работа WASS-сканера заключается в сканировании веб-приложения на наличие уязвимостей и выглядит следующим образом:

  • выбор объекта сканирования;
  • проведение сканирования (оценки безопасности) веб-приложения (может проводиться анализ на наличие системных ошибок и уязвимостей, а также на предмет соответствия различным стандартам безопасности);
  • формирование отчетности (о найденных системных ошибках и уязвимостях, о соответствии стандартам безопасности) и рекомендаций по устранению ошибок, уязвимостей и несоответствий стандартам безопасности.

WASS-сканеры могут использоваться на постоянной основе (при этом продукт разворачивается на выделенном аппаратном обеспечении и постоянно функционирует в автоматизированном режиме), а также разово, когда WASS-сканер запускается только администратором при необходимости проведения проверки. При использовании автоматизированного функционала WASS-сканера (сканирование проводится автоматически по заданному расписанию) доступна функция оперативного оповещения ответственных лиц о найденных уязвимостях.

Также на рынке присутствуют продукты класса Open Source, предназначенные для тестирования безопасности веб-приложений. К подобным продуктам, например, можно отнести такие решения, как проект w3af (фреймворк, позволяющий использовать более сотни различных плагинов для исследования сайта, поиска уязвимостей и их последующей эксплуатации) и Gryffin (открытый сканер безопасности, предназначенный для проведения всесторонних проверок безопасности в веб, охватывающих различные аспекты работы веб-приложений).

 

Мировой рынок сканеров защищенности веб-приложений

На мировом рынке средства анализа защищенности веб-приложений представлены очень широко и показывают стабильное развитие. Масштабные скандалы вокруг нарушения работы важных веб-приложений подчеркнули необходимость эффективного обнаружения уязвимостей безопасности в них.

Согласно исследованиям, проводимым Gartner на Западе, WASS-сканеры входят в одну большую группу продуктов для анализа и тестирования приложений, которая получила название Application Security Testing. К решениям данного класса относят продукты для тестирования веб-приложений, облачных решений и мобильных приложений.

Продукты, относимые к Application Security Testing, выполняют анализ и тестирование приложений с использованием нескольких методов:

  • Static AST (SAST): статическое сканирование безопасности приложений, при котором осуществляется анализ исходников веб-приложения (кода), как правило, на стадиях его программирования и тестирования;
  • Dynamic AST (DAST): динамическое сканирование безопасности приложений, при котором осуществляется анализ рабочего приложения;
  • Interactive AST (IAST): интерактивное сканирование безопасности приложений, при котором осуществляется анализ приложений с помощью комбинированного подхода (с использованием SAST и DAST).

Наиболее популярным методом для проверки приложений является DAST. А для веб-приложений он является преимущественным, так как в основном анализ защищенности проводится для уже рабочих и запущенных в производственную эксплуатацию веб-приложений (метод черного ящика).

Ранее Gartner делил Application Security Testing на несколько групп продуктов (по методу тестирования: SAST и DAST) и соответственно готовил для каждой из них свои квадранты. На тот момент вендоры, использующие один из методов тестирования в своих продуктах (SAST и DAST), были непреклонны и считали его достаточным для проведения полноценного тестирования приложений. Со временем ситуация изменилась, и вендоры стали применять в своих продуктах комбинированные методы тестирования.

Постепенно данные продукты развивались, их интерфейсы становились более удобными для пользователей, добавилась интеграция с различными приложениями (например, с приложениями для разработки и тестирования), улучшалась аналитика и отчетность. Также стали появляться возможности интеграции с другими решениями по безопасности, например такими, как WAF (Web Application Firewall). Кроме того, в настоящее время многие вендоры стали предлагать свои продукты как облачный сервис.

Таким образом, на сегодняшний день в своих квадрантах Gartner делает основной фокус на вендорах, использующих в своих продуктах методы SAST, DAST и IAST для тестирования веб-приложений, а также способных выполнять тестирование мобильных приложений.

Ниже приведены квадранты Gartner для решений Application Security Testing, опубликованные за последние два года:

 

Рисунок 1. Магический квадрант Gartner для Application Security Testing, 2014 год

Магический квадрант Gartner для Application Security Testing, 2014 год

 

Рисунок 2. Магический квадрант Gartner для Application Security Testing, 2015 год

Магический квадрант Gartner для Application Security Testing, 2015 год

 

Как можно увидеть, выбор поставщиков Application Security Testing достаточно широк. Лидерами последние два года являются продукты таких вендоров, как HP, Varacode, IBM и WhiteHat Security.

Также к числу сильных игроков можно отнести Checkmarx, Qualys, Trustwave, Cigital, PortSwigger, Acunetix и Rapid7.

 

Российский рынок сканеров защищенности веб-приложений

Российский рынок WASS-решений на сегодняшний день, к сожалению, представлен не так широко, как на Западе. Здесь присутствуют такие продукты, как Appercut (система анализа кода бизнес-приложений для защиты от закладок и недокументированных возможностей; представлена компанией InfoWatch), AppChecker (статический анализатор кода, предназначенный для автоматизированного поиска дефектов в исходном коде приложений, разработанных на C/C++, Java, PHP; представлен компанией «НПО Эшелон»), PT Application Inspector (средство анализа защищенности приложений; представлено компанией Positive Technologies) и др.

Также у компании Positive Technologies в составе продукта MaxPatrol (представляет собой средство анализа защищенности, выполняющее комплексную проверку информационной сети) разработан специальный модуль для анализа безопасности веб-приложений. Он позволяет идентифицировать уязвимости в наследуемых приложениях и приложениях собственной разработки. Эвристические механизмы позволяют обнаруживать большинство типичных ошибок, допускаемых при разработке веб-приложений: внедрение операторов SQL (SQL Injection), межсайтовое выполнение сценариев (Cross-Site Scripting, XSS) и др. Также функции сканирования веб-приложений заявлены в другом продукте вендора — Xspider. Принимая во внимание, что указанные продукты являются комплексными решениями (применяются для сканирования всей информационной системы), рассматриваться подробно в данной статье они не будут.

Среди западных продуктов на российском рынке представлены решения следующих вендоров: HP, IBM, Qualys, Acunetix, Outpost24, N-Stalker и Rapid7, два из которых являются лидерами квадранта Gartner (HP и IBM).

Краткий обзор западных продуктов, представленных на российском рынке, а также отечественного представителя Positive Technologies приведен ниже.

Данный обзор касается сканеров защищенности веб-приложений, которые используют в своей работе динамическое сканирование (DAST). Сканеры безопасности приложений, которые осуществляют исключительно анализ исходного кода (SAST), будут рассмотрены в другой статье. По указанной причине в данной статье не рассматриваются продукты таких вендоров, как, например, Checkmarx (продукт этого вендора — Checkmarx CxSuite — представляет собой решение для анализа исходного кода на предмет наличия закладок и уязвимостей) или российский представитель InfoWatch со своим продуктом Appercut (упоминался выше в статье).

 

Краткий обзор сканеров защищенности веб-приложений

 

HP

Компанией HP представлено средство анализа защищенности HP WebInspect — автоматизированный инструмент для динамического тестирования безопасности приложения (DAST), имитирующий реальные атаки и техники взлома и позволяющий выполнять всесторонний динамический анализ комплексных веб-приложений и служб.

HP WebInspect поддерживает интеграцию с HP WebInspect Agent, что позволяет выполнять интерактивное сканирование безопасности приложений (IAST, с использованием SAST и DAST).

HP WebInspect может предоставляться в качестве лицензионного продукта или по запросу (в качестве услуги).

Преимущества:

  • простота развертывания и масштабирования при необходимости;
  • интуитивный интерфейс (простота использования);
  • поддержка современных технологий (позволяет оценивать приложение целиком вне зависимости от архитектуры или использованных технологий);
  • поддерживает работу с приложениями, использующими JavaScript/Ajax и Adobe Flash;
  • динамический анализ и анализ среды выполнения;
  • предоставление информации, необходимой для воспроизведения и устранения проблемы, в интерактивном режиме;
  • управление соответствием — решение позволяет с легкостью формировать отчеты для менеджмента (статистика уязвимостей, управление соответствием и показатели окупаемости), а также создавать заключения для разработчиков (сведения о каждой уязвимости и приоритетность исправлений);
  • интегрированная система построения осмысленных отчетов (есть готовые шаблоны и формы отчетов, а также поддерживается возможность создания своих отчетов);
  • формирование отчетов на соответствие международным стандартам, например таким, как PCI DDS;
  • предоставляемая отчетность и описания помогают быстро и точно определить проблемы, которые требуют устранения;
  • обширная и регулярно пополняемая база знаний (в том числе база уязвимостей);
  • централизованное управление, позволяющее создать общекорпоративный сервис для распределенного мониторинга безопасности с единым центром сбора данных.

Подробнее с продуктом HP WebInspect можно ознакомиться здесь.

 

IBM

Компанией IBM представлено средство анализа защищенности IBM Security AppScan. IBM Security AppScan оценивает наличие уязвимостей, выполняя автоматизированное сканирование и поиск всех распространенных уязвимостей в веб-приложениях, в том числе SQL-инъекции, межсайтовый скриптинг, переполнение буфера и т. д.

Преимущества:

  • проводится автоматизированное динамическое тестирование защиты (с применением способа черного ящика) с целью выявить уязвимости в веб-сервисах, программах Web 2.0 и расширенных сетевых программах (JavaScript, Ajax и Adobe Flash);
  • проводится статический анализ (с применением способа прозрачного ящика) уязвимостей на стороне заказчика;
  • улучшенная поддержка веб-сервисов и архитектуры, направленной на сервисы (SOA), в том числе SOAP и XML;
  • точное сканирование и углубленное тестирование;
  • проверка веб-сайтов для определения вредоносных программ и указаний на вредоносные или нежелательные сайты;
  • сопоставление результатов с базой данных IBM X-Force;
  • упрощенная трактовка результатов сканирования;
  • обеспечение адаптивной процедуры тестирования, разумно имитирующей логику человека;
  • обеспечение средств для проведения ручного тестирования, в том числе расширенные инструменты тестирования защиты на базе сценариев Pyscan;
  • предоставляются рекомендации по устранению неполадок, которые являются наиболее важными;
  • обеспечивает кодовые образцы для ускоренного устранения неполадок;
  • обеспечивает расширенные инструменты устранения неполадок, включая весь спектр задач;
  • повышенная прозрачность и совместимость;
  • хранит шаблоны отчетов о соответствии требованиям: свыше 40 законченных отчетов о соответствии, включая PCI DSS, PA-DSS, ISO 27001, ISO 27002 и Basel II;
  • содействует поддержке соответствия главным стандартам PCI DSS, обеспечивая постоянный контроль безопасности программ;
  • поддерживает интеграцию с IBM Security AppScan Reporting Console, обеспечивая видимость рисков и постоянных обновлений в продолжение корректировки по всему предприятию.

Подробнее с продуктом IBM Security AppScan можно ознакомиться здесь.

 

Qualys

Компанией Qualys представлено средство анализа защищенности веб приложений Qualys Web Application Scanning (WAS). Qualys WAS представляет собой систему контроля уязвимостей и оценки уровня защищенности веб-приложений, которая позволяет осуществлять автоматическое сканирование пользовательских веб-приложений (DAST).

Продукт предназначен для оценки, отслеживания и устранения уязвимостей веб-приложений. Он позволяет обнаруживать все уязвимости из OWASP TOP 10 and WASC 10, оценивать защищенность реализации HTTPS, обнаруживать вредоносный код, искать конфиденциальную информацию на сайтах, а также может самостоятельно выполнять аутентификацию в веб-приложениях.

Преимущества:

  • автоматизация сервиса позволяет проводить тестирование на регулярной основе;
  • выявляет уязвимости в синтаксисе и семантике пользовательских веб-приложений;
  • проводит сканирование и аудит как с использованием аутентификационных данных, так и без них;
  • позволяет создавать свои профили анализа уязвимостей веб-приложений для обеспечения достоверности результатов и снижения количества ложных срабатываний;
  • может быть использован в производстве или среде разработки;
  • легко масштабируется для любого количества внутренних и внешних веб-приложений;
  • имеет продвинутую систему отчетов с возможностью управления ложными срабатываниями и исключениями;
  • тесно интегрирован с другими сервисами Qualys.

Подробнее с продуктом Qualys Web Application Scanning можно ознакомиться здесь.

 

Acunetix

Компанией Acunetix представлено средство анализа защищенности Acunetix Web Vulnerability Scanner. Оно обеспечивает автоматический контроль безопасности веб-приложений и позволяет выявить уязвимые места в защите веб-сайта до того, как их обнаружит и использует злоумышленник. При обнаружении слабого места выдается соответствующее предупреждение, которое содержит описание уязвимости и рекомендации по ее устранению.

Acunetix Web Vulnerability Scanner автоматически обнаруживает следующие уязвимости:

  • cross site scripting (выполнение вредоносного сценария в браузере пользователя при обращении и в контексте безопасности доверенного сайта);
  • SQL injection (выполнение SQL-запросов из браузера для получения несанкционированного доступа к данным);
  • база данных GHDB (Google hacking database) — перечень типовых запросов, используемых хакерами для получения несанкционированного доступа к веб-приложения и сайтам;
  • выполнение различных кодов (обход каталога, раскрытие исходного текста сценария и т. д).

Преимущества:

  • простой в использовании;
  • имеет многопоточный сканер, позволяющий проверять сотни тысяч страниц без перерыва;
  • позволяет выполнять автоматическое сканирование и сканирование сложных защищенных паролем областей веб-приложения;
  • позволяет выполнять сканирование WordPress, имеет высокий показатель определения уязвимостей в этом приложении (производит сканирование для более чем 1200 известных уязвимостей в WordPress);
  • генерирует широкий спектр технических отчетов и отчетов соответствия, предназначенных как для разработчиков, так и для руководителей;
  • итоговый отчет может быть записан в файл для дальнейшего анализа и сравнения с результатами предыдущих проверок.

Подробнее с продуктом Acunetix Web Vulnerability Scanner можно ознакомиться здесь.

 

Outpost24

Компанией Outpost24 представлено несколько средств анализа защищенности: WAS Outpost24 и Secure Web Application Tactics. На сегодняшний день продукт WAS Outpost24 доступен только для продления, т. е. для первоначальной покупки продукт больше не предоставляется. Таким образом, доступным для приобретения продуктом является Secure Web Application Tactics (SWAT).

SWAT представляет собой комплекс продукта и услуги, потому что помимо сканера включает в себя еще услуги внешних специалистов.

SWAT сочетает преимущества самых современных сканирующих средств со знаниями специалистов по безопасности. В SWAT применяется «умная» технология, способная  выявлять и изучать новые угрозы, изменяя соответствующим образом свое поведение и не оказывая влияния на повседневную деятельность компании.

SWAT обеспечивает результаты с нулевым количеством ложных срабатываний, не требует специальных учебных мероприятий и включает компетентную техническую поддержку в любое время дня и ночи. Кроме того, осуществляя непрерывный мониторинг, SWAT гарантирует, что сайты заказчика останутся защищенными даже в случае изменения веб-приложений или появления нового метода атаки.

Преимущества:

  • осуществляя непрерывный мониторинг веб-приложений, SWAT обнаруживает любые изменения, такие, как новые страницы или содержание;
  • сканируя с очень низкой интенсивностью и нагрузкой на протяжении длительного времени, SWAT обеспечивает максимальный охват с минимальным воздействием;
  • производит сканирование, безопасное для производства (для обеспечения безопасности сканирования SWAT следует самым строгим правилам, не предпринимая действий, нарушающих доступность или целостность информации);
  • генерирует отчеты с информацией, проверенной экспертами по безопасности, эти отчеты устраняют проблему ложных срабатываний и позволяют заказчикам быстро снизить уровень риска;
  • оказывается круглосуточная техническая поддержка специалистами вендора.

Подробнее с продуктом Secure Web Application Tactics (SWAT) можно ознакомиться здесь.

 

N-Stalker

Компанией N-Stalker представлено средство анализа защищенности N-Stalker Web Application Security Scanner.

N-Stalker Web Application Security Scanner — это набор инструментов для проверки защищенности и повышения общего уровня безопасности инфраструктуры веб-серверов с помощью собственной базы сигнатур. Продукт основан на запатентованной технологии сканирования системы безопасности web-приложений, которая позволяет в процессе внедрения инфраструктуры и тестирования веб-приложений оценивать степень их защищенности от внешних угроз. N-Stalker Web Application Security Scanner позволяет осуществлять проверку более 39 000 сигнатур и анализировать безопасность инфраструктур, гарантируя защищенность среды функционирования разрабатываемых веб-приложений.

Преимущества:

  • обладает простым и удобным интерфейсом и предлагает гибкую систему конфигураций требований безопасности, позволяющих настраивать сканер в соответствии с требованиями защищенности разрабатываемого программного обеспечения;
  • надежная технология сканирования системы безопасности web-приложений — Component-oriented Web Application Security Scanning — позволяет оценивать степень защищенности web-приложений от внешних угроз на всех этапах процесса их разработки;
  • поддерживает ручное сканирование (ручные тесты безопасности позволяют контролировать, какие тесты безопасности могут быть выполнены в веб-приложении и где именно).

Подробнее с продуктом N-Stalker Web Application Security Scanner можно ознакомиться здесь.

 

Rapid7

Компанией Rapid7 представлено средство анализа защищенности Rapid7 AppSpider. Продукт Rapid7 AppSpider позволяет просканировать веб-приложения на наличие уязвимостей, а также предоставляет рекомендации по их устранению. Rapid7 AppSpider включает в себя актуальные интерактивные отчеты и расставляет приоритеты по самым высоким рискам и срочным работам по восстановлению, что позволяет быстро устранить и минимизировать риски.

Преимущества:

  • способен интерпретировать новые технологии, которые используются в современном вебе и мобильных приложениях (AJAX, GWT, REST, JSON и т. д.);
  • поддерживает различные формы аутентификации в веб-приложениях;
  • включает в себя интерактивные отчеты, содержащие приоритеты по самым высоким рискам;
  • отчеты представлены в виде веб-страниц, это помогает выполнять более глубокой анализ посредством перехода «вглубь уязвимостей»;
  • оптимизирует усилия по исправлению, позволяя пользователям акцентировать свое внимание на важных данных;
  • обеспечивает непрерывный мониторинг веб-приложения, идентифицирует в нем изменения, которые могут вызвать новые уязвимости, затем запускает повторное сканирование в соответствии с настраиваемыми параметрами;
  • поддерживается функция воспроизведения отдельных атак в реальном времени (для демонстрации ее актуальности);
  • позволяет проводить классификацию веб-приложений для приоритезации отчетов;
  • обеспечивает централизованное управление и отчетность, включая конфигурацию сканирования, планирования и мониторинга;
  • выполняет проверку соответствия различным стандартам безопасности.

Подробнее с продуктом Rapid7 AppSpider можно ознакомиться здесь.

 

Positive Technologies

Единственным представителем отечественного рынка в нашем обзоре является PT Application Inspector от компании Positive Technologies. Продукт является полностью автоматическим и автономным средством анализа и не требует в процессе эксплуатации ни привлечения и отправки результатов внешним экспертам, ни подключения к интернету (обновления можно скачивать и устанавливать онлайн и офлайн). В системе PT Application Inspector реализован уникальный гибридный подход, сочетающий преимущества статического, динамического и интерактивного анализа, а также использующий огромную базу знаний уязвимостей, накопленную экспертами Positive Technologies.

Преимущества:

  • за счет комбинации DAST, SAST и IAST, анализа контекста и конфигураций серверов и приложений значительно уменьшается число ложных срабатываний, что позволяет радикально снижать затраты экспертов на ручную проверку результатов;
  • может анализировать код на самых ранних стадиях разработки, при этом команды контроля качества оповещаются о небезопасном коде до того, как его начнут эксплуатировать, что снижает риски атак и стоимость проверки соответствия стандартам безопасности;
  • работает со множеством платформ и языков, включая PHP, Java, .NET, SAP ABAP, HTML/JavaScript и SQL, а также со всеми типами уязвимостей приложений, включая SQLi, XXS и XXE;
  • функция генерации эксплойтов демонстрирует риски уязвимостей на практических примерах, позволяя ставить четкие задачи для исправления кода;
  • адаптация к бизнес-логике приложения позволяет выявлять закладки, оставленные в коде разработчиками или хакерами (выявление признаков НДВ);
  • поддерживает интеграцию с системой защитой PT Application Firewall: эксплойты, которые генерирует продукт, позволяют межсетевому экрану создавать виртуальные исправления и защищать приложения, пока разработчики будут устранять уязвимости программного обеспечения;
  • соответствует стандарту ЦБ РС БР ИББС-2.6-2014, приказам ФСТЭК № 17 и 21, стандарту PCI DSS.

Подробнее с продуктом PT Application Inspector можно ознакомиться здесь.

 

Выводы

WASS-сканеры — это решение для поиска уязвимостей и оценки уровня защищенности веб-приложений, а также для выявления несоответствия различным стандартам безопасности (например, стандарт PCI DSS). Они упрощают поддержку безопасной эксплуатации веб-приложений, предоставляя отчетности о найденных уязвимостях и рекомендации по их устранению.

Учитывая активный рост использования компаниями различных веб-приложений, можно утверждать, что средства анализа защищенности веб-приложений не потеряют своей актуальности, и в дальнейшем спрос на эти решения будет только расти. И это, несомненно, положительно скажется на развитии рынка продуктов данного класса, в том числе и продуктов российских разработчиков.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.

RSS: Новые статьи на Anti-Malware.ru