PT Application inspector

PT Application Inspector — решение для выявления уязвимостей в исходном коде или готовом приложении. Путем комбинации статических (SAST), динамических (DAST) и инфраструктурных (IAST) методов анализа. По итогам анализа PT Application Inspector не только выдает данные о номере строки и типе уязвимости, но и генерирует эксплойты — безопасные, но эффективные тестовые запросы, которые помогают подтвердить или опровергнуть наличие уязвимости. Благодаря модулю динамического анализа эти запросы запускаются на любом тестовом стенде, в том числе в автоматическом режиме, что радикально сокращает трудозатраты экспертов.

Возможности:

• Защита приложений любого масштаба. PT Application Inspector обнаруживает все основные типы уязвимостей веб-приложений (SQLi, XSS, XXE и т. п.). Вы можете использовать его для защиты любых приложений — от лендингов до корпоративных порталов, облачных сервисов и систем электронного правительства.
• Автоматическая проверка уязвимостей. PT Application Inspector автоматически генерирует эксплойты — максимально безопасные тестовые запросы для проверки найденных уязвимостей. Эксплойты помогают подтвердить наличие уязвимости, поставить задачу для исправления кода и проконтролировать результат.
• Сокращение трудозатрат. За счет комбинации статических, динамических и интерактивных методов проверки кода (SAST, DAST и IAST), PT Application Inspector находит только реальные уязвимости. Это помогает разработчикам сконцентрироваться на важных проблемах и снижает затраты экспертов на ручную проверку результатов.
• Минимизация рисков и возможного ущерба. Выявление и устранение уязвимостей на всех этапах разработки сокращает вероятность ошибок в готовом ПО и стоимость их исправления. Это снижает риски и величину возможного ущерба, повышает лояльность пользователей.
• Поддержка SSDL. Интеграция специальной версии PT Application Inspector SSDL Edition в цикл разработки позволяет сократить расходы и повысить эффективность безопасной разработки и тестирования.
• Соответствие требованиям регулирующих организаций. Банк России, ФСТЭК и PCI Council требуют выявления уязвимостей согласно своим стандартам. PT AI помогает выполнять РС БР ИББС-2.6-2014, приказы ФСТЭК и требования PA DSS и PCI DSS, что особенно актуально при сертификации.

Преимущества:

• Простота использования. PT Application Inspector не требует погружения в исходный код и процесс его разработки. Он позволяет получать понятные результаты и визуализацию уязвимостей без дополнительных настроек.
• Широкий охват и глубина анализа. PT Application Inspector имеет встроенную базу уязвимостей ПО и сторонних библиотек. А наличие механизмов проверки конфигурации позволяют убедиться, что веб-сервер настроен безопасно.
• Непрерывная защита. Результаты анализа PT Application Inspector автоматически выгружаются в межсетевой экран уровня веб-приложений PT Application Firewall для блокировки обнаруженных уязвимостей. Механизм называется virtual patching и сокращает риски, пока идет исправление кода.

Ключевые возможности:

• Защита приложений любого масштаба. PT Application Inspector обнаруживает все основные типы уязвимостей веб-приложений (SQLi, XSS, XXE и т. п.). Вы можете использовать его для защиты любых приложений — от лендингов до корпоративных порталов, облачных сервисов и систем электронного правительства.
• Автоматическая проверка уязвимостей. PT Application Inspector автоматически генерирует эксплойты — максимально безопасные тестовые запросы для проверки найденных уязвимостей. Эксплойты помогают подтвердить наличие уязвимости, поставить задачу для исправления кода и проконтролировать результат.
• Сокращение трудозатрат. За счет комбинации статических, динамических и интерактивных методов проверки кода (SAST, DAST и IAST), PT Application Inspector находит только реальные уязвимости. Это помогает разработчикам сконцентрироваться на важных проблемах и снижает затраты экспертов на ручную проверку результатов.
• Минимизация рисков и возможного ущерба. Выявление и устранение уязвимостей на всех этапах разработки сокращает вероятность ошибок в готовом ПО и стоимость их исправления. Это снижает риски и величину возможного ущерба, повышает лояльность пользователей.
• Соответствие требованиям регулирующих организаций. Банк России, ФСТЭК и PCI Council требуют выявления уязвимостей согласно своим стандартам. PT AI помогает выполнять РС БР ИББС-2.6-2014, приказы ФСТЭК и требования PA DSS и PCI DSS, что особенно актуально при сертификации.

Дополнительные возможности:

• Простота использования. PT Application Inspector не требует погружения в исходный код и процесс его разработки. Он позволяет получать понятные результаты и визуализацию уязвимостей без дополнительных настроек.
• Широкий охват и глубина анализа. PT Application Inspector имеет встроенную базу уязвимостей ПО и сторонних библиотек. А наличие механизмов проверки конфигурации позволяют убедиться, что веб-сервер настроен безопасно.
• Непрерывная защита. Результаты анализа PT Application Inspector автоматически выгружаются в межсетевой экран уровня веб-приложений PT Application Firewall для блокировки обнаруженных
• уязвимостей. Механизм называется virtual patching и сокращает риски, пока идет исправление кода.

Преимущества для разработчиков:

• Простота и безопасность тестирования. PT Application Inspector не требует установки и настройки приложения или доступа к тестовой среде. Просто укажите папку, содержащую готовый код приложения (или его часть) или ссылку на сайт, чтобы начать анализ.
• Выявление признаков НДВ и уязвимостей бизнес-логики. PT Application Inspector легко адаптируется к логике работы приложений благодаря возможности создавать собственные шаблоны для поиска. Заложив бизнес-логику приложения в систему, вы сможете выявлять недостатки функционирования приложения, а также закладки, оставленные в коде разработчиками или хакерами.
• Встроенная база знаний стороннего ПО. PT Application Inspector анализирует элементы сторонних программ (в том числе — с открытым кодом), которые используются в ваших приложениях.
• Выявление скрытых угроз. PT Application Inspector можно настроить как на поиск самих уязвимостей, так и на поиск признаков уязвимостей, что позволяет предотвратить реализацию скрытых угроз.
• Поддержка SSDL. Интеграция специальной версии PT Application Inspector SSDL Edition в цикл разработки позволяет сократить расходы и повысить эффективность безопасной разработки и тестирования.