acunetix web vulnerability scanner security testing tool
Webové aplikácie a webové stránky sú v dnešnej dobe základnými súčasťami každého podnikania. S nárastom počtu webových stránok sú útočníci aktívnejší aj pri hackovaní webových stránok a krádeži dôležitých obchodných údajov.
S touto hrozbou je čoraz dôležitejšie zahrnúť skenovanie zraniteľnosti webových stránok kompletný testovací cyklus .
Dnes sa chystáme preskúmať a nástroj na bezpečnostný audit webových aplikácií a webových stránok - Webový skener zraniteľnosti Acunetix (WVS). Acunetix WVS je nástroj voľby pre Testovanie pomocou SQL Injection , Cross-site scripting (XSS) a OWASP top 10 ďalších zraniteľností.
Čo sa dozviete:
- Praktická recenzia skenera zraniteľnosti na webe Acunetix
- Prebieha skenovanie zraniteľnosti online
- Ako skenovať oblasti chránené heslom na webových stránkach
- Výsledky skenovania zraniteľnosti webových stránok:
- Opätovné spustenie testov po oprave chyby zabezpečenia
- Hlásenie skenovania zraniteľnosti webu
- Technologické pokrytie
- DeepScan Engine na spracovanie Ajaxu a JavaScriptu
- AcuSensor pre presné a komplexné skenovanie
- AcuMonitor
- Stiahnutie skenera zraniteľnosti Acunetix:
- Záverečné poznámky
- Odporúčané čítanie
Praktická recenzia skenera zraniteľnosti na webe Acunetix
Acunetix WVS je automatizované testovanie zabezpečenia webových aplikácií založené na boji proti nárastu útokov na vrstvu webových aplikácií. Acunetix WVS kontroluje bezpečnosť webových stránok uskutočňovaním série útokov proti nim. Potom poskytuje stručné správy o všetkých zraniteľnostiach, ktoré zistil, a dokonca ponúkne návrhy, ako ich opraviť.
V tomto tutoriáli budem brať Acunetix WVS na otočku a vysvetľovať niektoré jeho jedinečné vlastnosti.
Prebieha skenovanie zraniteľnosti online
Pred spustením skenovania som potreboval otestovať zraniteľnú stránku. Acunetix udržiava svoje vlastné testovacie weby, ktoré môžete skenovať a testovať produkt.
- http://testhtml5.vulnweb.com
- http://testphp.vulnweb.com
- http://testaspnet.vulnweb.com
- http://testasp.vulnweb.com
Spustenie nového skenovania je také jednoduché ako spustenie programu Sprievodca skenovaním kliknutím na ikonu Nové skenovanie na hlavnom paneli nástrojov. Sprievodca vás prevedie niektorými možnosťami, ktoré môžete použiť na prispôsobenie skenovania.
Najprv musíme povedať Acunetix Web Vulnerability Scanner, aké stránky by sme chceli skenovať. V takom prípade zostanem pri testovacej stránke PHP vyššie (t. J. Http://testphp.vulnweb.com).
(Poznámka: Kliknite na ľubovoľný obrázok pre zväčšenie)
Ďalej budeme musieť zvoliť a Profil skenovania . Profil skenovania je logické zoskupenie testov, ktoré vykonávajú konkrétnu skupinu testov. Táto funkcia vám umožňuje prispôsobiť, aké testy chcete alebo nechcete, aby sa spustil program Acunetix WVS. Môžete si vybrať z niekoľkých zabudovaných profilov skenovania alebo môžete vytvoriť vlastné profily skenovania, ktoré vyhovujú vašim špecifickým požiadavkám.
The Predvolené Profil skenovania obsahuje všetky testy, ktoré je možné spustiť program Acunetix Web Vulnerability Scanner. Predpokladajme však, že sa obávam iba vysokorizikových upozornení, môžem skenovanie prispôsobiť tak, aby slúžilo ako jediný test na tieto chyby zabezpečenia.
Profily skenovania nie sú jediným spôsobom prispôsobenia skenovania - Nastavenie skenovania umožňuje veľmi zrnitý kontrolu nad skenovaním. Väčšina používateľov nebude musieť tieto nastavenia upravovať, pretože predvolené hodnoty boli starostlivo vybrané tak, aby vyhovovali veľkej väčšine webových stránok a webových aplikácií. Pretože sa však náhodou pripájam na internet pomocou HTTP proxy, pokračujem a nakonfigurujem to odtiaľto kliknutím na Prispôsobiť tlačidlo vedľa zoznamu Nastavenia skenovania.
Ak ich potrebujete, Acunetix WVS má tiež pokročilé možnosti, ktoré môžete využiť, ak potrebujete ešte väčšiu kontrolu nad stránkami, ktoré chcete (alebo nechcete) prehľadávať a skenovať.
Pomocou stránky môžete zvoliť, ktoré stránky chcete vylúčiť zo skenovania Po prehľadaní si môžem vybrať súbory, ktoré sa majú prehľadať možnosť a dokonca importovať výsledky z ďalších nástrojov, ako sú Portswigger's BurpSuite a Telerik's Fiddler, a samozrejme zabudovaný HTTP Sniffer od Acunetix WVS.
Ako skener čiernej skrinky dokáže Acunetix WVS skenovať ľubovoľné webové stránky alebo webové aplikácie bez ohľadu na technológie alebo programovacie jazyky, ktoré používa - v podstate testuje webové stránky alebo webové aplikácie bez akýchkoľvek predchádzajúcich znalostí o tom, ako tieto stránky fungujú, rovnako ako skutočné aplikácie. útočník by.
Optimalizácia skenovania:
čo je dobrý poskytovateľ e-mailu
Z tohto dôvodu má Acunetix Web Vulnerability Scanner v rukáve niekoľko inteligentných trikov na optimalizáciu skenovania pre konkrétnu technológiu. Acunetix WVS sa pokúsi odtlačok prsta webovej aplikácie, aby zistil technológie, ktoré používa na zníženie času skenovania. Napr. Ak testujem web zostavený pomocou PHP, nie je dôvod hľadať zraniteľnosti, ktoré môžu existovať iba v aplikáciách ASP.NET.
Ako skenovať oblasti chránené heslom na webových stránkach
Pretože táto stránka obsahuje prihlasovaciu stránku, musíme vytvoriť Postupnosť prihlásenia s cieľom inštruovať skener o tom, ako sa prihlásiť do aplikácie. Toto je podstatná súčasť procesu skenovania a niečo, čo je zvyčajne ťažké alebo zdĺhavé správne nastaviť pomocou iných skenerov.
Môžete sa buď pokúsiť o prihlásenie skenera (bude to fungovať na väčšine jednoduchých webov iba s používateľským menom a heslom), alebo môžete vytvoriť sekvenciu prihlásenia manuálne (lepšie funguje pri zložitejších prihláseniach a poskytuje oveľa väčšiu kontrolu). .
Pomocou skenera zraniteľnosti webu Acunetix je vytváranie sekvencií prihlásenia úplne jednoduché, stačí prejsť bežným procesom prihlásenia a prihlásiť sa do účtu; všimnete si, že vaše akcie sa zaznamenávajú. Skener tieto akcie prehrá a prihlási sa počas kontroly.
Môžete tiež použiť tlačidlo prehrávania v ľavej dolnej časti súboru Prihlasovací sekvenčný záznamník okno na prehranie vašich akcií, aby ste sa ubezpečili, že všetko funguje správne.
Akonáhle kliknete Ďalšie máte možnosť vybrať si, na ktoré odkazy nechcete, aby skener klikal, keď ste prihlásený. Zjavne nechceme, aby sa skener odhlásil z relácie počas prehľadávania alebo skenovania, takže kliknem na the Odhlásiť sa Ak chcete obmedziť tento odkaz, môžete si nastaviť ľubovoľné množstvo obmedzení.
Za zmienku stojí tiež to, že záznamník sekvencie prihlásenia má tiež podporu pre obmedzenie odkazov na nonces (jednorazové tokeny v odkazoch) pomocou zástupných znakov.
Po dokončení obmedzovania odkazov kliknite na ikonu Ďalšie . Samotná postupnosť prihlásenia nestačí. Skener musí rozumieť tomu, kedy je prihlásený a kedy je odhlásený. Zapisovač sekvencie prihlásenia potrebuje tzv Vzor relácie .
Vzor relácie nie je ničím iným než niečím jedinečným medzi prihláseným a odhláseným stavom webovej aplikácie. Nahrávač sekvencie prihlásenia tento vzor automaticky zistí za vás; tento vzor si však môžete prispôsobiť.
Klikanie Skončiť vás požiada, aby ste uložili sekvenciu prihlásenia, ktorú ste práve vytvorili. Toto môžete použiť neskôr, aby ste nemuseli prechádzať procesom vytvárania poradia prihlásenia zakaždým, keď chcete skenovať ten istý web.
veľké dáta ako spoločnosti poskytujúce služby
Potom sa vám zobrazí posledná obrazovka Sprievodcu skenovaním, ktorá vám dáva možnosť uložiť všetky nastavenia skenovania, ktoré ste nastavili. Acunetix WVS je navyše dostatočne inteligentný na to, aby zistil, či web poskytuje inú odpoveď na mobilný reťazec User-Agent, a opýta sa vás, či chcete zmeniť svoj reťazec User Agent na reťazec iPhone alebo Android. - užitočné, ak je váš web vhodný pre mobilné zariadenia.
Výsledky skenovania zraniteľnosti webových stránok:
Po dokončení prehľadávania a skenovania zobrazí Acunetix WVS zoznam vysoko závažných chýb zabezpečenia, ktoré zistil na testovacej stránke.
V okamihu, keď kliknete na konkrétnu chybu zabezpečenia (v tomto prípade SQL Injection), program Acunetix WVS odhalí nielen to, ktorý vstupný parameter je zraniteľný, ale zobrazí aj variácie útoku na tento parameter.
Výber jednej z variácií zraniteľnosti vysvetľuje zraniteľnosť veľmi podrobne. Skener najskôr poskytne súhrn zraniteľnosti a potom vysvetlí, aký je dosah tejto zraniteľnosti a ako je možné chybu opraviť.
Ak ste si nainštalovali Acunetix AcuSensor (toto je voliteľné), komponent na strane servera pre aplikácie PHP a .NET, ktorý komunikuje s výsledkami Acunetix WVS pre chyby zabezpečenia, ako je napríklad SQL Injection, bude dokonca obsahovať aj súbor a zraniteľný riadok kódu!
Výstraha vám potom poskytne ďalšie informácie obsahujúce zdĺhavejšie vysvetlenie problému, ako aj ďalšie podrobnosti o tom, ako opraviť chybu zabezpečenia, spolu so zoznamom referenčných adries URL, kde si môžete prečítať viac informácií o téme, pre prípad, že by skener našla niečo, čo ti nie je celkom známe.
Opätovné spustenie testov po oprave chyby zabezpečenia
Opätovné spustenie kontroly od začiatku je zjavne jedným zo spôsobov kontroly, či je oprava zistenej zraniteľnosti úspešná. Acunetix WVS má však veľmi šikovný Znova otestovať vlastnosť.
Jednoducho kliknite pravým tlačidlom myši na upozornenie, ktoré chcete znova otestovať, a vyberte ho Znova otestovať upozornenia . Testy, ktoré zistia, že táto chyba sa znovu spustí, sa zobrazia s novým výsledkom. Ak bude chyba odstránená, Acunetix ju označí sivým preškrtnutým písmom.
Hlásenie skenovania zraniteľnosti webu
Odtiaľ môžete ukladať výsledky skenovania alebo generovať rôzne ľahko zrozumiteľné správy. Prehľady môžete generovať kliknutím na ikonu Reportér na hlavnom paneli nástrojov.
Po načítaní prehľadávača Acunetix Web Vulnerability Scanner Reporter sa zobrazí výber prehľadov, z ktorých si môžete vybrať. Ak hľadáte prehľady na vysokej úrovni, Ovplyvnené položky , Zhrnutie a Rýchla správa poskytujú rôzne stručné správy, z ktorých si môžete vybrať.
Ak ste na druhej strane po správach o súlade, reportér Acunetixu vám môže vygenerovať správy šité na mieru podľa štandardu zhody podľa vášho výberu, či už ide o OWASP Top 10, PCI, HIPPA alebo ktorúkoľvek z ďalších dostupných správ o zhode. Tieto správy sa pravidelne aktualizujú, aby boli vždy v súlade s najnovšou verziou štandardu súladu.
Najpodrobnejšou správou je Správa pre vývojárov . Tento prehľad je tiež vysoko konfigurovateľný, čo umožňuje používateľovi zahrnúť do prehľadu iba potrebné informácie.
Klikanie Generovať vytvorí správu, ktorú môžete uložiť do formátu PDF, HTML a ďalších formátov a zdieľať s kolegami a ďalšími zainteresovanými stranami.
Súhrnná stránka:
Zhrnutie upozornenia:
Podrobnosti výstrahy:
Technologické pokrytie
Už sme sa zaoberali tým, že Acunetix je skener čiernej skrinky , a preto, pokiaľ je web prístupný cez HTTP alebo HTTPS, je možné ho skenovať, avšak skener je veľmi „inteligentný“, pokiaľ ide o hľadanie zraniteľností, ktoré sú endemické pre určité rámce a technológie - z PHP, NET, Ruby on Rails a niekoľko populárnych rámcov Java až po CMS, ako je WordPress a jeho doplnky. Acunetix WVS dokáže identifikovať a auditovať lokalitu na základe toho, aký technologický rad je na nej spustený.
DeepScan Engine na spracovanie Ajaxu a JavaScriptu
Okrem toho má Acunetix Web Vulnerability Scanner plnú podporu pre HTML5 a dokáže detekovať XSS založené na DOM s veľmi vysokou presnosťou. Je to vďaka jeho inovatívnemu modulu DeepScan, plne funkčnému bezhlavému prehliadaču úzko integrovanému do prehľadávača, ktorý poskytuje aplikácii Acunetix WVS úplné pochopenie toho, čo sa na stránke deje, ako aj schopnosti spúšťať a pracovať s čoraz populárnejším jazykom JavaScript. a aplikácie náročné na AJAX, ktoré sa začínajú objavovať na celom webe.
najlepší web na pozeranie dabovaných anime
S cieľom ešte uľahčiť vývojárom webových aplikácií sledovanie zraniteľností XSS založených na DOM, poskytne Acunetix WVS používateľovi tiež stopové sledovanie toho, ako užitočné zaťaženie XSS prechádzalo cez Object Object Model (DOM) prehliadača.
AcuSensor pre presné a komplexné skenovanie
Ako sme už videli, AcuSensor je voliteľný komponent (súčasť dodávky Acunetix WVS), ktorý je nainštalovaný na strane servera a je k dispozícii pre aplikácie PHP aj .NET. Používanie AcuSensor poskytuje to, čo je známe ako Interactive Application Security Testing (IAST).
Inštalácia pre PHP aj .NET je veľmi jednoduchá a s .NET nie je potrebné znova kompilovať DLL - môžete jednoducho vstreknúť a jedným vstreknutím AcuSensor z predkompilovaných .NET DLL.
Väčšina skenerov čiernej skrinky webových aplikácií (vrátane Acunetix WVS bez AcuSensor) nevidí, ako sa kód správa počas jeho vykonávania. Na druhej strane spektra nemôžu nástroje na analýzu zdrojového kódu vždy pochopiť, čo sa stane, keď sa kód vykonáva.
Acunetix AcuSensor spája obe testovacie metodiky a vo výsledku môže poskytnúť presnejšie a komplexnejšie skenovanie. Pretože snímač má znalosti o backendovom systéme, dokáže nájsť zraniteľnosti aj v ťažko dostupných oblastiach pomocou typického skenera čiernej skrinky. Napríklad chyby zabezpečenia SQL injection sa zvyčajne nachádzajú buď prostredníctvom informácií uniknutých cez chyby databázy, alebo prostredníctvom slepý injekčné techniky. AcuSensor dokáže nájsť chyby zabezpečenia SQL Injection v ktoromkoľvek dotaze SQL; vrátane výpisov INSERT.
Ako sme už videli, Acunetix AcuSensor môže označiť zraniteľný riadok kódu a môže dokonca nahlásiť ďalšie informácie o ladení. To výrazne zvyšuje efektivitu vývojového tímu pri riešení kritických bezpečnostných chýb.
AcuMonitor
AcuMonitor je a nastav a zabudni technológia, ktorá je súčasťou Acunetix WVS. Slúži ako sprostredkovateľská služba, ktorá pracuje na pozadí a umožňuje detekciu skenera druhá objednávka zraniteľnosti.
Testovanie zraniteľností druhého poriadku zohľadňuje zraniteľnosti, ktoré počas testovania neodpovedajú na skener. Medzi tieto chyby patrí napríklad Blind XSS (tiež označovaný ako oneskorený XSS), XML External Entity Injection (XXE), Server Side Request Forgery (SSRF), Host Header Attacks, Email Header Injection, Password Reset Poisoning, Blind Out-of-Band SQL Injection a slepé vzdialené vykonávanie kódu mimo pásma; to všetko je možné automaticky zistiť pomocou aplikácie AcuMonitor.
Na zistenie zraniteľností druhého rádu musí existovať sprostredkovateľ, ktorý skener ovláda alebo ku ktorému má prístup. Aplikácia Acunetix WVS v kombinácii s nástrojom AcuMonitor umožňuje automatickú detekciu takýchto slabých miest bezbolestnú a transparentnú pre používateľa, ktorý skenuje.
Stiahnutie skenera zraniteľnosti Acunetix:
Acunetix je k dispozícii online alebo lokálne. Acunetix ponúka 14-dennú skúšobnú verziu Acunetix WVS a taktiež ponúkajú online vydanie skenera s názvom Acunetix OVS , ktoré si môžete tiež vyskúšať na 14 dní. Jediným skutočným spôsobom, ako sa vyrovnať s akýmkoľvek produktom, je vyskúšať si to na vlastnej koži.
Záverečné poznámky
Okrem všetkého vyššie uvedeného je Acunetix Web Vulnerability Scanner dodávaný aj s radom integrovaných nástrojov na ručné testovanie penetrácie. Tieto nástroje umožňujú audítorom spúšťať automatizované skenovania a overovať výsledky manuálne bez potreby prepínania nástrojov.
Acunetix WVS ponúka bezpečnostným profesionálom aj softvérovým inžinierom množstvo ohromujúcich funkcií v ľahkom, priamočiarom a veľmi robustnom balení. Táto recenzia samozrejme môže pokrývať iba toľko, a hoci je cieľom tohto výukového programu poskytnúť široký prehľad o produkte, nie je v ňom zahrnutých niekoľko ďalších užitočných funkcií.
Už si použil Acunetix alebo akýkoľvek iný skener zraniteľnosti webu? Dajte nám vedieť svoje skúsenosti alebo otázky v komentároch nižšie.
Odporúčané čítanie
- Najlepšie nástroje na testovanie softvéru 2021 [QA Test Automation Tools]
- Testovanie zabezpečenia siete a najlepšie nástroje zabezpečenia siete
- Stiahnutie e-knihy Testing Primer
- Sprievodca testovaním bezpečnosti webových aplikácií
- Rozdiel v hodnotení zraniteľnosti a penetračnom testovaní
- Testovanie záťaže s výukovými programami HP LoadRunner
- 10 najlepších nástrojov na testovanie bezpečnosti mobilných aplikácií v roku 2021
- Rozdiel medzi počítačom, klientskym serverom a webom