Варианты развертывания

Об облаках Валарм

FAST может взаимодействовать с одним из нескольких доступных облаков Валарм.

Вся содержащаяся в документации информация применима в равной степени ко всем облакам, если не указано иное.

Для упрощения в документации предполагается, что FAST использует американское облако Валарм. Если нужно использовать другое облако, задайте соответствующие ему адреса портала Валарм или API-сервера.

Решение FAST состоит из двух компонентов: FAST-ноды и облака Валарм.

Чтобы протестировать приложение, HTTP- или HTTPS-запросы (к примеру, из существующего набора тестов) проксируются через FAST-ноду. Затем в соответствии с заданными в облаке политиками FAST порождает новый набор запросов, основанный на исходных запросах. Порожденные запросы образуют набор тестовых запросов, который выполняется для тестирования приложения на уязвимости.

Процесс тестирования с FAST

Исходные запросы к приложению (иначе называемые базовыми запросами в терминологии FAST) могут быть получены из различных источников. Например, они могут быть вручную написаны тестировщиком приложения или сгенерированы уже существующим решением по автоматизации тестирования. Тестовые запросы могут быть сгенерированы на основе как легитимных, так и вредоносных запросов. FAST не требует наличия исключительно вредоносных базовых запросов для создания тестовых запросов. Создание и выполнение тестовых запросов происходит на FAST-ноде.

Схема работы FAST

Доступные варианты развертывания

Существует три варианта развертывания FAST-ноды:

  1. Нода располагается на хосте, который является источником исходных запросов (например, это может быть ноутбук тестировщика).
  2. Нода располагается на хосте целевого приложения.
  3. Нода располагается на отдельно выделенном хосте.

Варианты развертывания FAST

Необходимые условия для развертывания

FAST-нода поставляется в виде Docker-контейнера и может быть запущен на любой платформе с поддержкой Docker, включая Linux, macOS и Windows.

Наличие учетной записи в облаке Валарм — необходимое условие для любого из перечисленных выше вариантов развертывания, поскольку настройка и взаимодействие с FAST осуществляется с помощью веб-интерфейса облака. Кроме этого в облако передаются результаты тестирования.

После развертывания FAST-ноды в любом из вариантов следует убедиться, что она имеет доступ к целевому приложению и облаку Валарм, а также может проксировать исходные HTTP- или HTTPS-запросы.

Установка SSL-сертификата

Источники запросов при взаимодействии по HTTPS с целевым приложением через FAST-ноду могут не доверять самоподписанному SSL-сертификату, предоставляемому нодой. К примеру, при использовании браузера Mozilla Firefox в качестве источника запросов, будет выведено похожее сообщение (для других браузеров и источников запросов вид сообщения может быть иным):

Сообщение о незащищенном соединении

В такой ситуации следует либо установить самоподписанный SSL-сертификат FAST-ноды на источник запросов в качестве доверенного сертификата, либо установить уже существующий доверенный SSL-сертификат на FAST-ноду.

Особенности развертывания FAST в руководстве «Быстрый старт»

Это руководство демонстрирует принципы работы с FAST, используя вариант развертывания FAST-ноды совместно с источником запросов.

Особенности выполняемой инсталляции:

  • Источником базовых запросов служит браузер Mozilla Firefox.
  • Будет сконструирован один HTTPS-запрос в качестве базового.
  • Для браузера будет установлен самоподписанный сертификат FAST-ноды.
  • Целевое приложение — Google Gruyere.
  • Приложение будет тестироваться на наличие XSS-уязвимостей.
  • Настройка политик и запуск процесса тестирования будут проводиться с использованием веб-интерфейса облака Валарм.

Используемая схема развертывания FAST

Google Gruyere

Google Gruyere — специально разработанное уязвимое приложение для проведения тестирования безопасности. Оно содержит в себе множество умышленно оставленных уязвимостей, и из соображений безопасности каждый экземпляр приложения запускается в изолированной «песочнице». Чтобы начать тестирование и работу с приложением, необходимо перейти по ссылке https://google-gruyere.appspot.com и запустить «песочницу» с отдельным экземпляром приложения Gruyere.

results matching ""

    No results matching ""