1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Вісник ТНТУ
  3. 2024
  4. Вісник ТНТУ, 2024, № 4 (116)
Veuillez utiliser cette adresse pour citer ce document : http://elartu.tntu.edu.ua/handle/lib/48186

Назва: Аналіз ефективності використання безкоштовних та комерційних сканерів вразливостей для веб-застосунків електронної комерції
Інші назви: Analysis of the efficiency of open source and commercial vulnerability scanners for e-commerce web applications
Автори: Тригубець, Богдан
Тригубець, Мирослав
Загородна, Наталія
Tryhubets, Bohdan
Tryhubets, Myroslav
Zagorodna, Nataliya
Приналежність: Тернопільський національний технічний університет імені Івана Пулюя, Тернопіль, Україна
Ternopil Ivan Puluj National Technical University, Ternopil, Ukraine
Бібліографічний опис: Тригубець Б. Аналіз ефективності використання безкоштовних та комерційних сканерів вразливостей для веб-застосунків електронної комерції / Богдан Тригубець, Мирослав Тригубець, Наталія Загородна // Вісник ТНТУ. — Т. : ТНТУ, 2024. — Том 116. — № 4. — С. 23–30.
Бібліографічне посилання: Тригубець Б., Загородна Н. Аналіз ефективності використання безкоштовних та комерційних сканерів вразливостей для веб-застосунків електронної комерції // Вісник ТНТУ, Тернопіль. 2024. Том 116. № 4. С. 23–30.
Bibliographic citation (APA): Tryhubets, B., Tryhubets, M., & Zagorodna, N. (2024). Analiz efektyvnosti vykorystannia bezkoshtovnykh ta komertsiinykh skaneriv vrazlyvostei dlia veb-zastosunkiv elektronnoi komertsii [Analysis of the efficiency of open source and commercial vulnerability scanners for e-commerce web applications]. Scientific Journal of the Ternopil National Technical University, 116(4), 23-30. TNTU. [in Ukrainian].
Bibliographic citation (CHICAGO): Tryhubets B., Tryhubets M., Zagorodna N. (2024) Analiz efektyvnosti vykorystannia bezkoshtovnykh ta komertsiinykh skaneriv vrazlyvostei dlia veb-zastosunkiv elektronnoi komertsii [Analysis of the efficiency of open source and commercial vulnerability scanners for e-commerce web applications]. Scientific Journal of the Ternopil National Technical University (Tern.), vol. 116, no 4, pp. 23-30 [in Ukrainian].
Є частиною видання: Вісник Тернопільського національного технічного університету, 4 (116), 2024
Scientific Journal of the Ternopil National Technical University, 4 (116), 2024
Журнал/збірник: Вісник Тернопільського національного технічного університету
Випуск/№ : 4
Том: 116
Дата публікації: 17-гру-2024
Дата подання: 5-вер-2024
Дата внесення: 19-лют-2025
Видавництво: ТНТУ
TNTU
Місце видання, проведення: Тернопіль
Ternopil
DOI: https://doi.org/10.33108/visnyk_tntu2024.04.023
УДК: 004
056
Теми: сканери вразливостей
веб-додатки
електронна комерція
OWASP Top 10
OWASP Juice Shop
безпека веб-додатків
vulnerability scanners
web applications
e-commerce
OWASP Top 10
OWASP Juice Shop
web application security
Кількість сторінок: 8
Діапазон сторінок: 23-30
Початкова сторінка: 23
Кінцева сторінка: 30
Короткий огляд (реферат): Проведено порівняльний аналіз ефективності використання популярних безкоштовних та комерційних сканерів вразливостей останніх версій для веб-застосунків електронної комерції. Актуальність зумовлена стрімким зростанням ринку електронної комерції, що робить його привабливою мішенню для зловмисників та створює нові загрози для користувачів і виклики для власників веб- застосунків. Сканери вразливостей є бюджетним способом пошуку слабких місць у веб-застосунках, проте їх ефективність потребує регулярного переоцінювання в зв’язку з появою нових векторів атак та оновленням сканерів. Метою дослідження було проведення порівняльного аналізу сканерів вразливостей останніх версій для веб-застосунків у сфері електронної комерції. Об’єктом тестування обрано спеціально розроблений прототип веб-застосунку OWASP Juice Shop, який містить актуальні вразливості з OWASP Top 10 та відображає реальні сценарії атак. Для аналізу обрано безкоштовні сканери OpenVAS та Nessus (безкоштовна версія) та комерційні інструменти Acunetix, Intruder, Burp Suite Enterprise Edition. Кількісні результати сканування показали, що комерційний сканер Acunetix виявив найбільшу кількість вразливостей різних рівнів критичності – загалом 22, зокрема 2 високих, 1 середню, 6 низьких та 13 інформаційних. Burp Suite Enterprise Edition знайшов 1 середню, 5 низьких та 87 інформаційних вразливостей. Nessus виявив лише 5 інформаційних вразливостей, Intruder – 2 низькі, а OpenVAS – 1 високу. Водночас, автори наголошують, що найкращим рішенням є одночасне використання кількох сканерів для підвищення ефективності пошуку вразливостей. Разом з тим, сканери не здатні знайти усі вразливості та повноцінно змоделювати роботу користувача у випадку складних за структурою веб-застосунків, які використовують поєднання різних веб-технологій. Отримані результати можуть стати основою для подальших досліджень у цій області та орієнтиром для покращення практик щодо безпеки веб-застосунків
A comparative analysis of the efficiency of the latest versions of popular open source and commercial vulnerability scanners for e-commerce web applications is presented in this paper. A specially developed prototype of web application, OWASP Juice Shop, with embedded relevant vulnerabilities from OWASP Top 10, was chosen as the test object. The quantitative results of using different commercial scanners are described here. Acunetix is pampered to be the scanner that detected the largest number of vulnerabilities of various criticality levels. At the same time, the authors emphasize the need to use several scanners to increase the efficiency of vulnerability detection. The study highlights the importance of regular scanning and monitoring of web application security, especially for e-commerce organizations. However, the authors note that scanners are important but not the only tools for finding vulnerabilities in complex web applications
URI (Уніфікований ідентифікатор ресурсу): http://elartu.tntu.edu.ua/handle/lib/48186
ISSN: 2522-4433
Власник авторського права: © Тернопільський національний технічний університет імені Івана Пулюя, 2024
URL-посилання пов’язаного матеріалу: https://sectools.org/tag/web-scanners/
https://www.hindawi.com/journals/scn/2017/6158107/
https://doi.org/10.1155/2017/6158107
https://www.researchgate.net/profile/Kinnaird-Mcquade/publication/267026342_Open_Source_Web_Vulnerability_Scanners_The_Cost_Effective_Choice/links/546150000cf2c1a63bff83dc/Open-Source-Web-Vulnerability-Scanners-The-Cost-Effective-Choice.pdf
https://owasp.org/www-project-juice-shop/
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
https://cwe.mitre.org/data/published/cwe_v4.10.pdf
https://owasp.org/www-project-web-security-testing-guide/
https://www.sans.org/white-papers/web-application-penetration-testing
https://ieeexplore.ieee.org/document/8691130
https://nvd.nist.gov/
https://www.zaproxy.org/
Перелік літератури: 1. Shay Chen (2023). Web Application Scanners. SecTools.Org: Top 125 Network Security Tools. Available at: https://sectools.org/tag/web-scanners/.
2. Hindawi. Performance-Based Comparative Assessment of Open Source Web Vulnerability Scanners. Available at: https://www.hindawi.com/journals/scn/2017/6158107/. https://doi.org/10.1155/2017/6158107
3. Kinnaird McQuade. Open Source Web Vulnerability Scanners: The Cost Effective Choice? - ISSN: 2167-1508. Available at: https://www.researchgate.net/profile/Kinnaird-Mcquade/publication/267026342_Open_Source_Web_Vulnerability_Scanners_The_Cost_Effective_Choice/links/546150000cf2c1a63bff83dc/Open-Source-Web-Vulnerability-Scanners-The-Cost-Effective-Choice.pdf.
4. OWASP Juice Shop. Available at: https://owasp.org/www-project-juice-shop/.
5. OWASP Foundation, the Open Source Foundation for Application Security. Available at: https: //owasp.org/.
6. Common Vulnerability Scoring System Calculator. Available at: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.
7. CWE Version 4.10. Available at: https://cwe.mitre.org/data/published/cwe_v4.10.pdf.
8. The Basics of Web Hacking: Tools and Techniques to Attack the Web by Josh Pauli. ISBN: 978-0124166004.
9. Hacking Exposed Web Applications, 3rd Edition by Joel Scambray. ISBN: 978-0071740647.
10. OWASP Web Security Testing Guide (WSTG). Available at: https://owasp.org/www-project-web-security-testing-guide/.
11. SANS Institute – Web Application Penetration Testing. Available at: https://www.sans.org/white-papers/web-application-penetration-testing.
12. Comparative Study of Automated Web Vulnerability Scanners. Available at: https://ieeexplore.ieee.org/document/8691130 .
13. Stuttard D., & Pinto M. (2018). The Web Application Hackerʼs Handbook: Finding and Exploiting Security Flaws (2nd ed.). Wiley.
14. Messier R. (2019). Network Vulnerability Assessment: From Auditing to Continuous Monitoring. OʼReilly Media.
15. Hope P., & Walther B. (2021). Web Security for Developers: Real Threats, Practical Defense. No Starch Press.
16. NIST. (2023). National Vulnerability Database. Available at: https://nvd.nist.gov/.
17. OWASP ZAP Development Team. (2023). OWASP Zed Attack Proxy (ZAP). Available at: https://www.zaproxy.org/.
References: 1. Shay Chen (2023). Web Application Scanners. SecTools.Org: Top 125 Network Security Tools. Available at: https://sectools.org/tag/web-scanners/.
2. Hindawi. Performance-Based Comparative Assessment of Open Source Web Vulnerability Scanners. Available at: https://www.hindawi.com/journals/scn/2017/6158107/. https://doi.org/10.1155/2017/6158107
3. Kinnaird McQuade. Open Source Web Vulnerability Scanners: The Cost Effective Choice? - ISSN: 2167-1508. Available at: https://www.researchgate.net/profile/Kinnaird-Mcquade/publication/267026342_Open_Source_Web_Vulnerability_Scanners_The_Cost_Effective_Choice/links/546150000cf2c1a63bff83dc/Open-Source-Web-Vulnerability-Scanners-The-Cost-Effective-Choice.pdf.
4. OWASP Juice Shop. Available at: https://owasp.org/www-project-juice-shop/.
5. OWASP Foundation, the Open Source Foundation for Application Security. Available at: https: //owasp.org/.
6. Common Vulnerability Scoring System Calculator. Available at: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.
7. CWE Version 4.10. Available at: https://cwe.mitre.org/data/published/cwe_v4.10.pdf.
8. The Basics of Web Hacking: Tools and Techniques to Attack the Web by Josh Pauli. ISBN: 978-0124166004.
9. Hacking Exposed Web Applications, 3rd Edition by Joel Scambray. ISBN: 978-0071740647.
10. OWASP Web Security Testing Guide (WSTG). Available at: https://owasp.org/www-project-web-security-testing-guide/.
11. SANS Institute – Web Application Penetration Testing. Available at: https://www.sans.org/white-papers/web-application-penetration-testing.
12. Comparative Study of Automated Web Vulnerability Scanners. Available at: https://ieeexplore.ieee.org/document/8691130 .
13. Stuttard D., & Pinto M. (2018). The Web Application Hackerʼs Handbook: Finding and Exploiting Security Flaws (2nd ed.). Wiley.
14. Messier R. (2019). Network Vulnerability Assessment: From Auditing to Continuous Monitoring. OʼReilly Media.
15. Hope P., & Walther B. (2021). Web Security for Developers: Real Threats, Practical Defense. No Starch Press.
16. NIST. (2023). National Vulnerability Database. Available at: https://nvd.nist.gov/.
17. OWASP ZAP Development Team. (2023). OWASP Zed Attack Proxy (ZAP). Available at: https://www.zaproxy.org/.
Тип вмісту: Article
Розташовується у зібраннях:Вісник ТНТУ, 2024, № 4 (116)

Файли цього матеріалу:
Файл Опис РозмірФормат 
TNTUSJ_2024v116n4_Tryhubets_B-Analysis_of_the_efficiency_23-30.pdf992,56 kBAdobe PDFПереглянути/відкрити
TNTUSJ_2024v116n4_Tryhubets_B-Analysis_of_the_efficiency_23-30__COVER.png1,3 MBimage/pngПереглянути/відкрити
Показати повний опис матеріалу Перегляд статистики


Усі матеріали в архіві електронних ресурсів захищені авторським правом, всі права збережені.