Zoopla's Application Security Enhancement with Rapid7 InsightAppSec

技术

应用基础设施与中间件 - 事件驱动型应用
网络安全和隐私 - 应用安全

适用行业

建筑物
国家安全与国防

适用功能

产品研发
质量保证

用例

实验自动化
篡改检测

服务

测试与认证
培训

挑战

Zoopla 是一家总部位于伦敦的房地产门户网站，在维护其应用程序的安全性方面面临着重大挑战。其旗舰房地产网站和应用程序每月的访问量超过 6000 万次，该公司必须确保用户的最大安全。该公司的安全团队由应用程序安全工程师 Alikhan Uzakov 领导，负责指导数百名 Zoopla 开发人员完成应用程序安全测试过程。这包括进行培训并帮助开发人员将安全工具嵌入到他们的流程中，以确保新功能和产品在发布之前进行安全测试。然而，由于只有三名员工，安全团队发现为大量开发人员提供支持具有挑战性。

关于客户

Zoopla 是一家领先的房地产门户网站，总部位于英国伦敦。该公司为房地产买家、卖家和租户提供服务，提供房地产研究以及销售和租赁列表，以帮助用户做出明智的决定。 Zoopla 列出了英国和荷兰超过 100 万处房产，其旗舰房产网站和应用程序每月的访问量超过 6000 万次。该公司与数百家应用程序开发商合作，通过创建自己的网站并为他们提供培训来帮助房地产经纪人启动业务。 Zoopla 不仅仅是一个网站；它是一家综合性企业，为广泛的房地产专业人士提供支持。

解决方案

为了应对这一挑战，Zoopla 转向了 Rapid7 InsightAppSec，这是一种提供动态应用程序安全测试 (DAST) 的工具。 Uzakov 以前曾使用过该工具，但他对其进行了试验，以确保它满足 Zoopla 的特定要求。根据价格、功能和供应商提供的支持级别测试、评估和比较几种应用安全工具后，他们选择了 InsightAppSec。该工具允许 Zoopla 将安全测试作为开发过程的一部分进行自动化，评估现代 Web 应用程序和 API，减少误报和遗漏的漏洞，通过丰富的报告和集成进行快速修复，并通过评估应用程序组合的安全性轻松扩展，无论其大小。 InsightAppSec 还使他们能够扫描 Web 应用程序以识别 SQL 注入、XSS 和 CSRF 等漏洞。

运营影响

The implementation of Rapid7 InsightAppSec has had a significant impact on Zoopla's operations. The tool's intuitive interface has empowered developers to conduct security testing themselves, reducing the burden on the security team. This has also enhanced coordination with all stakeholders, including Legal and IT departments, as well as external customers. The security team has been able to demonstrate InsightAppSec to developers in engineering meetups, raising general awareness about the tool and its capabilities. The response from developers has been overwhelmingly positive, with several teams requesting to embed InsightAppSec in their projects. Additionally, InsightAppSec has provided a more efficient way to conduct penetration testing, saving both time and money.

数量效益