DEV Community

Cover image for Como realizar uma análise dinâmica (DAST) com a Veracode em aplicações não publicadas?
Lucas Santos Ferreira for M3Corp

Posted on

Como realizar uma análise dinâmica (DAST) com a Veracode em aplicações não publicadas?

E colaboração aos posts anteriores sobre análise dinâmica (DAST)

Iremos entender nesse post, a importância de se utilizar o Internal Scanning Management [ISM] para realizar análises DAST em aplicações que estão fechadas para Internet.


ISM (Internal Scanning Management)

É um agente/endpoint que trabalha como uma espécie de Proxy Reverso dentro da rede da empresa. O objetivo dele é simplificar as análises DAST em aplicações que não estão publicados ainda, exemplo: ambientes de desenvolvimento e/ou homologação que não podem ser alcançáveis pela Internet.

Conforme a ilustração abaixo demonstra, o agente/endpoint estará rodando como um serviço dentro de um servidor interno que possui comunicação interna com as aplicações (Web ou API) e, realiza uma comunicação segura para Internet (porta 443) até seu Tenant na Veracode, permitindo que os scans sejam performados de forma segura.

arquitetura ISM


Qual importância do uso do ISM?

  1. Como boa prática, é recomendado realizar os testes de segurança "mais cedo possível", ou seja, em etapas antes da publicação para que os times tenham a possibilidade de saber antecipadamente se alguma vulnerabilidade crítica seja conhecida e corrigi-la antes que um atacante possa explorá-la. Geralmente os ambientes de desenvolvimento, homologação ou staging por exemplo, estão fechados para Internet o que impede que qualquer um fora da rede interna, onde as aplicações rodam, possam "enxergar" e realizar algum tipo de teste.

  2. De modo geral, todo Web Scanner atua enviando requisições diretamente nas aplicações, com objetivo de simular as principais ações de um cyber criminoso. As aplicações recebem e processam certas requisições que podem não ser corretamente interpretadas e causar algum tipo de desfiguração.
    O DAST da Veracode possui inteligência suficiente para enviar requisições de modo a não prejudicar a usabilidade das aplicações, mas, sempre há algum risco do alvo não processar corretamente as requisições.


Conclusão

Sempre que possível, utilize um endpoint/agent ISM para fazer as análises dinâmicas em ambientes não produtivos para que você possa ter maior segurança nos testes e principalmente conheça os riscos antecipadamente.

Top comments (0)