1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Вісник ТНТУ
  3. 2024
  4. Вісник ТНТУ, 2024, № 4 (116)
霂瑞霂��撘����迨��辣: http://elartu.tntu.edu.ua/handle/lib/48186

Title: Аналіз ефективності використання безкоштовних та комерційних сканерів вразливостей для веб-застосунків електронної комерції
Other Titles: Analysis of the efficiency of open source and commercial vulnerability scanners for e-commerce web applications
Authors: Тригубець, Богдан
Тригубець, Мирослав
Загородна, Наталія
Tryhubets, Bohdan
Tryhubets, Myroslav
Zagorodna, Nataliya
Affiliation: Тернопільський національний технічний університет імені Івана Пулюя, Тернопіль, Україна
Ternopil Ivan Puluj National Technical University, Ternopil, Ukraine
Bibliographic description (Ukraine): Тригубець Б. Аналіз ефективності використання безкоштовних та комерційних сканерів вразливостей для веб-застосунків електронної комерції / Богдан Тригубець, Мирослав Тригубець, Наталія Загородна // Вісник ТНТУ. — Т. : ТНТУ, 2024. — Том 116. — № 4. — С. 23–30.
Bibliographic reference (2015): Тригубець Б., Загородна Н. Аналіз ефективності використання безкоштовних та комерційних сканерів вразливостей для веб-застосунків електронної комерції // Вісник ТНТУ, Тернопіль. 2024. Том 116. № 4. С. 23–30.
Bibliographic citation (APA): Tryhubets, B., Tryhubets, M., & Zagorodna, N. (2024). Analiz efektyvnosti vykorystannia bezkoshtovnykh ta komertsiinykh skaneriv vrazlyvostei dlia veb-zastosunkiv elektronnoi komertsii [Analysis of the efficiency of open source and commercial vulnerability scanners for e-commerce web applications]. Scientific Journal of the Ternopil National Technical University, 116(4), 23-30. TNTU. [in Ukrainian].
Bibliographic citation (CHICAGO): Tryhubets B., Tryhubets M., Zagorodna N. (2024) Analiz efektyvnosti vykorystannia bezkoshtovnykh ta komertsiinykh skaneriv vrazlyvostei dlia veb-zastosunkiv elektronnoi komertsii [Analysis of the efficiency of open source and commercial vulnerability scanners for e-commerce web applications]. Scientific Journal of the Ternopil National Technical University (Tern.), vol. 116, no 4, pp. 23-30 [in Ukrainian].
Is part of: Вісник Тернопільського національного технічного університету, 4 (116), 2024
Scientific Journal of the Ternopil National Technical University, 4 (116), 2024
Journal/Collection: Вісник Тернопільського національного технічного університету
Issue: 4
Volume: 116
Issue Date: 17-十二月-2024
Submitted date: 5-九月-2024
Date of entry: 19-二月-2025
Publisher: ТНТУ
TNTU
Place of the edition/event: Тернопіль
Ternopil
DOI: https://doi.org/10.33108/visnyk_tntu2024.04.023
UDC: 004
056
Keywords: сканери вразливостей
веб-додатки
електронна комерція
OWASP Top 10
OWASP Juice Shop
безпека веб-додатків
vulnerability scanners
web applications
e-commerce
OWASP Top 10
OWASP Juice Shop
web application security
Number of pages: 8
Page range: 23-30
Start page: 23
End page: 30
Abstract: Проведено порівняльний аналіз ефективності використання популярних безкоштовних та комерційних сканерів вразливостей останніх версій для веб-застосунків електронної комерції. Актуальність зумовлена стрімким зростанням ринку електронної комерції, що робить його привабливою мішенню для зловмисників та створює нові загрози для користувачів і виклики для власників веб- застосунків. Сканери вразливостей є бюджетним способом пошуку слабких місць у веб-застосунках, проте їх ефективність потребує регулярного переоцінювання в зв’язку з появою нових векторів атак та оновленням сканерів. Метою дослідження було проведення порівняльного аналізу сканерів вразливостей останніх версій для веб-застосунків у сфері електронної комерції. Об’єктом тестування обрано спеціально розроблений прототип веб-застосунку OWASP Juice Shop, який містить актуальні вразливості з OWASP Top 10 та відображає реальні сценарії атак. Для аналізу обрано безкоштовні сканери OpenVAS та Nessus (безкоштовна версія) та комерційні інструменти Acunetix, Intruder, Burp Suite Enterprise Edition. Кількісні результати сканування показали, що комерційний сканер Acunetix виявив найбільшу кількість вразливостей різних рівнів критичності – загалом 22, зокрема 2 високих, 1 середню, 6 низьких та 13 інформаційних. Burp Suite Enterprise Edition знайшов 1 середню, 5 низьких та 87 інформаційних вразливостей. Nessus виявив лише 5 інформаційних вразливостей, Intruder – 2 низькі, а OpenVAS – 1 високу. Водночас, автори наголошують, що найкращим рішенням є одночасне використання кількох сканерів для підвищення ефективності пошуку вразливостей. Разом з тим, сканери не здатні знайти усі вразливості та повноцінно змоделювати роботу користувача у випадку складних за структурою веб-застосунків, які використовують поєднання різних веб-технологій. Отримані результати можуть стати основою для подальших досліджень у цій області та орієнтиром для покращення практик щодо безпеки веб-застосунків
A comparative analysis of the efficiency of the latest versions of popular open source and commercial vulnerability scanners for e-commerce web applications is presented in this paper. A specially developed prototype of web application, OWASP Juice Shop, with embedded relevant vulnerabilities from OWASP Top 10, was chosen as the test object. The quantitative results of using different commercial scanners are described here. Acunetix is pampered to be the scanner that detected the largest number of vulnerabilities of various criticality levels. At the same time, the authors emphasize the need to use several scanners to increase the efficiency of vulnerability detection. The study highlights the importance of regular scanning and monitoring of web application security, especially for e-commerce organizations. However, the authors note that scanners are important but not the only tools for finding vulnerabilities in complex web applications
URI: http://elartu.tntu.edu.ua/handle/lib/48186
ISSN: 2522-4433
Copyright owner: © Тернопільський національний технічний університет імені Івана Пулюя, 2024
URL for reference material: https://sectools.org/tag/web-scanners/
https://www.hindawi.com/journals/scn/2017/6158107/
https://doi.org/10.1155/2017/6158107
https://www.researchgate.net/profile/Kinnaird-Mcquade/publication/267026342_Open_Source_Web_Vulnerability_Scanners_The_Cost_Effective_Choice/links/546150000cf2c1a63bff83dc/Open-Source-Web-Vulnerability-Scanners-The-Cost-Effective-Choice.pdf
https://owasp.org/www-project-juice-shop/
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
https://cwe.mitre.org/data/published/cwe_v4.10.pdf
https://owasp.org/www-project-web-security-testing-guide/
https://www.sans.org/white-papers/web-application-penetration-testing
https://ieeexplore.ieee.org/document/8691130
https://nvd.nist.gov/
https://www.zaproxy.org/
References (Ukraine): 1. Shay Chen (2023). Web Application Scanners. SecTools.Org: Top 125 Network Security Tools. Available at: https://sectools.org/tag/web-scanners/.
2. Hindawi. Performance-Based Comparative Assessment of Open Source Web Vulnerability Scanners. Available at: https://www.hindawi.com/journals/scn/2017/6158107/. https://doi.org/10.1155/2017/6158107
3. Kinnaird McQuade. Open Source Web Vulnerability Scanners: The Cost Effective Choice? - ISSN: 2167-1508. Available at: https://www.researchgate.net/profile/Kinnaird-Mcquade/publication/267026342_Open_Source_Web_Vulnerability_Scanners_The_Cost_Effective_Choice/links/546150000cf2c1a63bff83dc/Open-Source-Web-Vulnerability-Scanners-The-Cost-Effective-Choice.pdf.
4. OWASP Juice Shop. Available at: https://owasp.org/www-project-juice-shop/.
5. OWASP Foundation, the Open Source Foundation for Application Security. Available at: https: //owasp.org/.
6. Common Vulnerability Scoring System Calculator. Available at: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.
7. CWE Version 4.10. Available at: https://cwe.mitre.org/data/published/cwe_v4.10.pdf.
8. The Basics of Web Hacking: Tools and Techniques to Attack the Web by Josh Pauli. ISBN: 978-0124166004.
9. Hacking Exposed Web Applications, 3rd Edition by Joel Scambray. ISBN: 978-0071740647.
10. OWASP Web Security Testing Guide (WSTG). Available at: https://owasp.org/www-project-web-security-testing-guide/.
11. SANS Institute – Web Application Penetration Testing. Available at: https://www.sans.org/white-papers/web-application-penetration-testing.
12. Comparative Study of Automated Web Vulnerability Scanners. Available at: https://ieeexplore.ieee.org/document/8691130 .
13. Stuttard D., & Pinto M. (2018). The Web Application Hackerʼs Handbook: Finding and Exploiting Security Flaws (2nd ed.). Wiley.
14. Messier R. (2019). Network Vulnerability Assessment: From Auditing to Continuous Monitoring. OʼReilly Media.
15. Hope P., & Walther B. (2021). Web Security for Developers: Real Threats, Practical Defense. No Starch Press.
16. NIST. (2023). National Vulnerability Database. Available at: https://nvd.nist.gov/.
17. OWASP ZAP Development Team. (2023). OWASP Zed Attack Proxy (ZAP). Available at: https://www.zaproxy.org/.
References (International): 1. Shay Chen (2023). Web Application Scanners. SecTools.Org: Top 125 Network Security Tools. Available at: https://sectools.org/tag/web-scanners/.
2. Hindawi. Performance-Based Comparative Assessment of Open Source Web Vulnerability Scanners. Available at: https://www.hindawi.com/journals/scn/2017/6158107/. https://doi.org/10.1155/2017/6158107
3. Kinnaird McQuade. Open Source Web Vulnerability Scanners: The Cost Effective Choice? - ISSN: 2167-1508. Available at: https://www.researchgate.net/profile/Kinnaird-Mcquade/publication/267026342_Open_Source_Web_Vulnerability_Scanners_The_Cost_Effective_Choice/links/546150000cf2c1a63bff83dc/Open-Source-Web-Vulnerability-Scanners-The-Cost-Effective-Choice.pdf.
4. OWASP Juice Shop. Available at: https://owasp.org/www-project-juice-shop/.
5. OWASP Foundation, the Open Source Foundation for Application Security. Available at: https: //owasp.org/.
6. Common Vulnerability Scoring System Calculator. Available at: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.
7. CWE Version 4.10. Available at: https://cwe.mitre.org/data/published/cwe_v4.10.pdf.
8. The Basics of Web Hacking: Tools and Techniques to Attack the Web by Josh Pauli. ISBN: 978-0124166004.
9. Hacking Exposed Web Applications, 3rd Edition by Joel Scambray. ISBN: 978-0071740647.
10. OWASP Web Security Testing Guide (WSTG). Available at: https://owasp.org/www-project-web-security-testing-guide/.
11. SANS Institute – Web Application Penetration Testing. Available at: https://www.sans.org/white-papers/web-application-penetration-testing.
12. Comparative Study of Automated Web Vulnerability Scanners. Available at: https://ieeexplore.ieee.org/document/8691130 .
13. Stuttard D., & Pinto M. (2018). The Web Application Hackerʼs Handbook: Finding and Exploiting Security Flaws (2nd ed.). Wiley.
14. Messier R. (2019). Network Vulnerability Assessment: From Auditing to Continuous Monitoring. OʼReilly Media.
15. Hope P., & Walther B. (2021). Web Security for Developers: Real Threats, Practical Defense. No Starch Press.
16. NIST. (2023). National Vulnerability Database. Available at: https://nvd.nist.gov/.
17. OWASP ZAP Development Team. (2023). OWASP Zed Attack Proxy (ZAP). Available at: https://www.zaproxy.org/.
Content type: Article
�蝷箔����:Вісник ТНТУ, 2024, № 4 (116)

��辣銝剔�﹝獢�:
獢�獢� ��膩 憭批���撘� 
TNTUSJ_2024v116n4_Tryhubets_B-Analysis_of_the_efficiency_23-30.pdf992,56 kBAdobe PDF璉�閫�/撘��
TNTUSJ_2024v116n4_Tryhubets_B-Analysis_of_the_efficiency_23-30__COVER.png1,3 MBimage/png璉�閫�/撘��
�蝷箸�辣摰蝥芸��


�DSpace銝剜�������★��������雿��.