Evaluation of state-of-the-art web application vulnerability scanners

Abstract

Security of web applications is one of the largest problems of today due to the transformation of traditional services to online variants, fuelled by constantly evolving new technologies. While the modern development and testing of web applications has become faster and more efficient through the deployment agile methodologies, software security testing and especially penetration testing is lacking as it’s traditionally a manual and timeconsuming process conducted by security experts. In order to include security testing into various stages of software development life cycle, modern web application security scanners have been developed in order to make integrated web application security a reality through automation and integrating with the existing development related software. Essentially web vulnerability scanners detect potential security vulnerabilities in web application by performing automated tests, and while nearly all of them are based on similar functionalities and aim to resolve the same core problem, there are vast differences amongst them related to their threat detection capabilities, environment compatibility, integration possibilities and usability. This thesis analyses and compares different state-ofthe-art web vulnerability scanners and consists of four main sections: the first section covering the vulnerabilities related to modern web applications and explaining the role of penetration testing and web application scanners in software development, the second section defining the state-of-the-art web scanners, inspecting available literature and benchmark studies for scanners that match the defined qualities and forming an assessment criteria for the comparison study, the third part focusing in presenting the collected results and the last section focusing around analysing the study outcomes.

Verkkosivujen tietoturva on yksi nykypäivän suurimmista ongelmista useiden perinteisten palveluiden siirtyessä verkkoon uusien verkkoteknologioiden siivittämänä. Ketterien metodien yleistynyt käyttö kehitysympäristöissä ovat nopeuttaneet sovelluksen kehitysprosesseja sekä sovellustestausta, mutta sovellusten tietoturvatestaus sekä etenkin penetraatiotestaus eivät ole vielä mukautuneet näihin muutoksiin. Tämä johtuu suurelta osin perinteisen tietoturvatestauksen luonteesta, sillä testaaminen on usein manuaalista sekä aikaa vievää työtä, joka vaatii vankkaa tietoturvaosaamista. Verkkosivujen tietoturvaskannerit ovat työkaluja, jotka pyrkivät helpottamaan tietoturvatestauksen sisällyttämistä sovelluskehityksen eri vaiheisiin automatisoimalla testausprosessia sekä integroitumalla osaksi muita kehityksessä käytettäviä sovelluksia. Vaikka tietoturvaskannerit ovat lähtökohtaisesti samaan tarkoitukseen suunniteltuja, ne eroavat usein keskenään haavoittuvuuksien kattavuuden, sovellusten yhteensopivuuden sekä integraatiomahdollisuuksien suhteen. Tässä kandidaatintyössä analysoidaan ja vertaillaan keskenään luokkansa parhaita verkkosivujen tietoturvaskannereita ja työn sisältö on jaettu neljään osioon. Ensimmäisessä osiossa käydään läpi erilaisia verkkosivujen haavoittuvuuksia sekä penetraatiotestauksen ja skannereiden roolia osana verkkosivun kehitystä. Toisessa osiossa määritellään millä kriteereillä skannereita voidaan pitää luokkansa parhaina sekä etsitään ja valitaan tutkimuksen kohteeksi kuvaukseen sopivia skannereita olemassa olevasta kirjallisuudesta. Kolmannessa osiossa tutkimuksen tulokset on esitetty kootusti ja neljännessä osiossa keskitytään tutkimuksen tulosten arviointiin sekä vertailuun.