Společnost McAfee oznámila, že skupina bezpečnostních služeb Foundstone Professional Services uvedla na trh WSDigger. Tento nový "open source" nástroj je navržen tak, aby pomáhal identifikovat zranitelnosti implementovaných webových služeb. Nástroj Foundstone WSDigger automatizuje bezpečnostní testování webových služeb metodou černé skříňky (také označováno jako penetrační testování).
WSDigger 1.0 obsahuje zásuvné moduly se vzorky útoků typu SQL injection, cross-site scripting a X-PATH injection. Uživatelé mohou psát své vlastní plugin moduly, a tak upravovat nebo vylepšovat nástroje určené pro konkrétní aplikace. Tento nástroj lze včetně zdrojového kódu stáhnout z Internetových stránek Foundstone na adrese www.foundstone.com/resources/freetools.htm.
WSDigger byl navržen takovým způsobem, aby využíval penetrační testování metodou černé skříňky. To znamená, že napodobuje škodlivého uživatele bez nutnosti znát interní programový kód, který používá daná webová služba. Funguje jako klient webové služby, který sám posuzuje, jak interagovat s touto webovou službou a následně vyzve uživatele k rozhodnutí. Struktura činnosti tohoto nástroje může být rozdělena na čtyři snadné kroky: průzkum služby, průzkum vektorů útoků, testování zneužitelnosti a analýza.
Foundstone® Professional Services je divize McAfee, Inc nabízející je kombinaci služeb a vzdělávání s cílem pomoci organizacím trvale a měřitelně chránit jejich nejdůležitější aktiva před nejkritičtějšími hrozbami. Prostřednictvím strategického přístupu k bezpečnosti Foundstone identifikuje, doporučuje a implementuje vyváženou směs technologie, lidských zdrojů a procesů pro řízení digitálních rizik a efektivnější využití investic do bezpečnosti.
PŘEDPLATNÉ
ČLÁNKY DO MAILU