Menu

Acunetix Web Vulnerability Scanner (WVS) Security Testing Tool (Hands on Review)

  • Hlavní
  • Recenze
  • Acunetix Web Vulnerability Scanner (WVS) Security Testing Tool (Hands on Review)

acunetix web vulnerability scanner security testing tool

Vyzkoušejte Náš Nástroj Pro Odstranění Problémů

Webové aplikace a webové stránky jsou v dnešní době základními součástmi jakékoli firmy. Se zvyšujícím se počtem webových stránek jsou útočníci také aktivnější při hackování webových stránek a krádeži důležitých obchodních dat.

S touto hrozbou se stává důležitým součástí skenování zranitelnosti webových stránek kompletní testovací cyklus .

Dnes přezkoumáme a nástroj pro bezpečnostní audit webových aplikací a webových stránek - Acunetix Web Vulnerability Scanner (WVS). Acunetix WVS je nástroj volby pro Testování SQL Injection , Cross-site skriptování (XSS) a OWASP dalších 10 nejzranitelnějších míst.

Recenze Acunetix WVS

Co se naučíte:

Praktická recenze skeneru zranitelnosti Acunetix Web

Acunetix WVS je automatické testování zabezpečení webových aplikací založené na potírání nárůstu útoků na vrstvu webových aplikací. Acunetix WVS kontroluje zabezpečení webových stránek zahájením řady útoků proti tomuto webu. Poté poskytuje stručné zprávy o všech zjištěných zranitelnostech a dokonce nabídne návrhy, jak je opravit.

V tomto tutoriálu budu brát Acunetix WVS na otočku a vysvětlím některé jeho jedinečné vlastnosti.

Provádí se skenování chyby zabezpečení online

Před zahájením skenování jsem potřeboval k testování zranitelný web. Acunetix udržuje své vlastní testovací weby, které můžete skenovat a produkt otestovat.

  • http://testhtml5.vulnweb.com
  • http://testphp.vulnweb.com
  • http://testaspnet.vulnweb.com
  • http://testasp.vulnweb.com

Spuštění nového skenování je stejně jednoduché jako spuštění souboru Průvodce skenováním kliknutím na Nové skenování tlačítko na hlavním panelu nástrojů. Průvodce vás provede některými možnostmi, které můžete použít k přizpůsobení skenování.

Recenze Acunetix WVS 1

Nejprve musíme říci Acunetix Web Vulnerability Scanner, jaký web chceme skenovat. V tomto případě se budu držet výše uvedeného testovacího webu PHP (tj. Http://testphp.vulnweb.com).

(Poznámka: Klikněte na libovolný obrázek pro zvětšené zobrazení)

Recenze Acunetix WVS 2

Dále budeme muset vybrat a Profil skenování . Profil skenování je logické seskupení testů, které provádějí konkrétní skupinu testů. Tato funkce vám umožňuje přizpůsobit, jaké testy chcete nebo nechcete, aby běžel Acunetix WVS. Můžete si vybrat z několika předdefinovaných profilů skenování nebo můžete vytvořit vlastní profily skenování, které vyhovují vašim konkrétním požadavkům.

The Výchozí Skenovací profil zahrnuje každý test, který lze spustit Acunetix Web Vulnerability Scanner. Předpokládejme však, že se zajímám pouze o vysoce riziková upozornění, můžu skenování přizpůsobit tak, aby byl jediným testem na tyto chyby zabezpečení.

Recenze Acunetix WVS 3

Profily skenování nejsou jediným způsobem, jak přizpůsobit skenování - Nastavení skenování umožňuje velmi zrnitý kontrolu nad skenováním. Většina uživatelů nebude muset tato nastavení upravovat, protože výchozí hodnoty byly pečlivě vybrány tak, aby vyhovovaly převážné většině webů a webových aplikací. Jelikož se ale náhodou připojuji k internetu pomocí HTTP HTTP, pokračuji a nakonfiguruji to odtud kliknutím na Přizpůsobit tlačítko vedle seznamu Nastavení skenování.

Recenze Acunetix WVS 4

Pokud je potřebujete, Acunetix WVS má také pokročilé možnosti, které můžete využít, pokud potřebujete ještě větší kontrolu nad stránkami, které chcete (nebo nechcete) procházet a skenovat.

Pomocí stránky můžete vybrat, které stránky chcete ze skenování vyloučit Po procházení mi dovolte vybrat soubory ke skenování možnost, a dokonce importovat výsledky z jiných nástrojů, jako je Portswigger's BurpSuite a Telerik's Fiddler, a samozřejmě Acunetix WVS 'vestavěný HTTP Sniffer.

Recenze Acunetix WVS 5

Jako skener černé skříně může Acunetix WVS skenovat jakýkoli web nebo webovou aplikaci bez ohledu na technologie nebo programovací jazyky, které používá - v podstatě testuje web nebo webovou aplikaci bez jakékoli předchozí znalosti toho, jak tato stránka funguje, stejně jako skutečná útočník by.

Optimalizace skenování:

Android rozhovor otázky a odpovědi pdf

Acunetix Web Vulnerability Scanner má v rukávu několik inteligentních triků k optimalizaci skenování pro konkrétní technologii. Acunetix WVS se pokusí otisknout webovou aplikaci, aby zjistila technologie, které používá ke zkrácení doby skenování. Např. Pokud testuji web vytvořený pomocí PHP, není důvod hledat chyby zabezpečení, které mohou existovat pouze v aplikacích ASP.NET.

Recenze Acunetix WVS 6

Jak skenovat oblasti chráněné heslem na webových stránkách

Protože tento web má přihlašovací stránku, musíme vytvořit Pořadí přihlášení za účelem instruování skeneru, jak se přihlásit do aplikace. Toto je nezbytná součást procesu skenování a něco, co je obvykle obtížné nebo zdlouhavé správně nastavit u jiných skenerů.

Můžete se buď pokusit o přihlášení skeneru (bude to fungovat u většiny jednoduchých webů pouze s uživatelským jménem a heslem), nebo můžete vytvořit sekvenci přihlášení ručně (funguje lépe pro složitější přihlášení a poskytuje mnohem větší kontrolu) .

Recenze Acunetix WVS 7

Acunetix Web Vulnerability Scanner usnadňuje vytváření sekvence přihlášení jednoduše, stačí projít běžným přihlašovacím procesem přihlašování k účtu; všimnete si, že jsou zaznamenávány vaše akce. Skener tyto akce přehraje a přihlásí se během skenování.

Recenze Acunetix WVS 8

Můžete také použít tlačítko pro přehrání v levé dolní části Zapisovač sekvence přihlášení okno pro přehrání vašich akcí, abyste se ujistili, že vše funguje správně.

Jakmile kliknete další máte možnost vybrat, na které odkazy nechcete, aby skener klikal, když jste přihlášeni. Zjevně nechceme, aby se skener odhlásil z relace během procházení nebo skenování, takže kliknu na the Odhlásit se Chcete-li jej omezit, můžete si nastavit libovolná omezení.

Za zmínku stojí také to, že Záznamník sledu přihlášení má také podporu pro omezení odkazů na nonces (jednorázové tokeny v odkazech) pomocí zástupných znaků.

Recenze Acunetix WVS 9

Po dokončení omezení odkazů klikněte na další . Samotná sekvence přihlášení nestačí. Skener musí pochopit, kdy je přihlášen a kdy je odhlášen. Zapisovač sekvence přihlášení potřebuje tzv. A Vzor relace .

Vzor relace není nic jiného než něco jedinečného mezi přihlášeným a odhlášeným stavem webové aplikace. Záznamník sledu přihlášení pro vás tento vzor automaticky detekuje; pokud si to přejete, můžete si tento vzor přizpůsobit.

Recenze Acunetix WVS 10

Klikání Dokončit vás vyzve k uložení právě vytvořené Sekvence přihlášení. To lze použít později, takže nemusíte procházet procesem vytváření sekvence přihlášení pokaždé, když chcete skenovat stejný web.

jak otevřít soubor jar s java

Poté se zobrazí závěrečná obrazovka Průvodce skenováním, která vám dává možnost uložit jakékoli nastavení skenování, které jste nastavili. Kromě toho je Acunetix WVS dostatečně chytrý na to, aby zjistil, zda web poskytuje jinou odpověď na mobilní řetězec User-Agent, a zeptá se vás, zda chcete změnit svůj řetězec User Agent tak, aby říkal, že jde o iPhone nebo zařízení Android - užitečné, pokud je váš web vhodný pro mobilní zařízení.

Výsledky skenování chyby zabezpečení webových stránek:

Po dokončení procházení a skenování zobrazí Acunetix WVS seznam vysoce závažných chyb zabezpečení, které detekoval na testovacím webu.

V okamžiku, kdy kliknete na konkrétní chybu zabezpečení (v tomto případě SQL Injection), Acunetix WVS odhalí nejen to, který vstupní parametr je zranitelný, ale také vypíše varianty útoku na tento parametr.

Výsledek skenování Acunetix WVS

Výběr jedné z variant zranitelnosti vysvětluje zranitelnost velmi podrobně. Skener nejprve poskytne souhrn této chyby zabezpečení a poté vysvětlí, jaký je dopad této chyby zabezpečení a jak tuto chybu zabezpečení opravit.

Pokud jste nainstalovali Acunetix AcuSensor (toto je volitelné), součást na straně serveru pro aplikace PHP a .NET, která komunikuje s výsledky Acunetix WVS pro chyby zabezpečení, jako je SQL Injection, bude dokonce zahrnovat soubor a zranitelnou linku kódu!

Acunetix WVS SQL Injection

Výstraha vám poté poskytne další informace obsahující zdlouhavější vysvětlení problému a další podrobnosti o tom, jak tuto chybu zabezpečení opravit, spolu se seznamem referenčních adres URL, kde si můžete přečíst více informací o předmětu, pro případ, že by skener našel něco, s čím nejste úplně obeznámeni.

Opětovné spuštění testů po opravě chyby zabezpečení

Opětovné spuštění kontroly od začátku je samozřejmě jedním ze způsobů kontroly, zda je oprava zjištěné chyby zabezpečení úspěšná. Acunetix WVS má však velmi šikovný Znovu otestovat Vlastnosti.

Jednoduše klikněte pravým tlačítkem na upozornění, které chcete znovu otestovat, a vyberte Znovu otestovat upozornění . Testy, které zjistily, že chyba zabezpečení bude znovu spuštěna, a zobrazí se nový výsledek. Pokud bude chyba odstraněna, Acunetix ji označí šedým přeškrtnutým písmem.

Testování Acunetix WVS

Hlášení o skenování zranitelnosti webu

Odtud můžete uložit výsledky skenování nebo generovat řadu snadno srozumitelných zpráv. Přehledy můžete generovat kliknutím na ikonu Zpravodaj tlačítko na hlavním panelu nástrojů.

Recenze Acunetix WVS 15

Když se načte Acunetix Web Vulnerability Scanner Reporter, zobrazí se vám výběr zpráv, ze kterých si můžete vybrat. Pokud hledáte přehledy na vysoké úrovni, Ovlivněné položky , Shrnutí , a Rychlá zpráva poskytovat různé stručné zprávy z čeho vybírat.

Recenze Acunetix WVS 16

Pokud na druhou stranu sledujete zprávy o shodě, reportér Acunetix může generovat zprávy přizpůsobené podle standardu souladu podle vašeho výběru, ať už jde o OWASP Top 10, PCI, HIPPA nebo kteroukoli z dalších dostupných zpráv o shodě. Tyto zprávy jsou pravidelně aktualizovány, aby byly vždy v souladu s nejnovější verzí standardu shody.

Typy zpráv Acunetix

Nejpodrobnější zprávou je Zpráva pro vývojáře . Tato sestava je také vysoce konfigurovatelná, což uživateli umožňuje zahrnout do zprávy pouze potřebné informace.

Průvodce zprávou o jednom skenování Acunetix

Klikání generovat vytvoří zprávu, kterou můžete uložit do formátu PDF, HTML a dalších a sdílet s kolegy a dalšími zúčastněnými stranami.

Souhrnná stránka:

Stránka se souhrnem přehledu Acunetix

Souhrn upozornění:

Souhrn upozornění

Podrobnosti upozornění:

Podrobnosti výstrahy

Technologické pokrytí

Již jsme se zabývali tím, že Acunetix je skener černé skříňky , a proto, pokud je web přístupný přes HTTP nebo HTTPS, lze jej skenovat, ale skener je velmi „inteligentní“, pokud jde o vyhledávání zranitelných míst, které jsou endemické pro určité rámce a technologie - z PHP, NET, Ruby on Rails a několik populárních rámců Java až po CMS, jako je WordPress a jeho pluginy. Acunetix WVS může identifikovat a auditovat web na základě toho, jaký technologický zásobník web běží.

DeepScan Engine pro zpracování Ajaxu a JavaScriptu

Kromě toho má Acunetix Web Vulnerability Scanner plnou podporu pro HTML5 a dokáže detekovat XSS založené na DOM s velmi vysokou přesností. A to díky inovativnímu modulu DeepScan, plně funkčnímu bezhlavému prohlížeči úzce integrovanému do prohledávače, který poskytuje Acunetix WVS plné pochopení toho, co se na stránce děje, a také schopnosti spouštět a komunikovat se stále populárnějším JavaScriptem. a aplikace náročné na AJAX, které se začínají objevovat na celém webu.

Aby vývojáři webových aplikací ještě snáze vystopovali zranitelnosti XSS založené na DOM, poskytne Acunetix WVS uživateli také stopové sledování toho, jak užitečné zatížení XSS proudilo přes Object Object Model (DOM) prohlížeče.

Acunetix WVS DeepScan Engine

AcuSensor pro přesné a komplexní skenování

Jak jsme již viděli, AcuSensor je volitelná součást (součástí Acunetix WVS), která je nainstalována na straně serveru a je k dispozici pro aplikace PHP i .NET. Použití AcuSensoru poskytuje tzv. Interaktivní testování zabezpečení aplikací (IAST).

Instalace pro PHP i .NET je velmi přímočará a díky .NET není nutné znovu kompilovat DLL - můžete jednoduše vstříknout a jednou injekcí AcuSensor z předkompilovaných knihoven .NET DLL.

Většina skenerů černé skříňky webových aplikací (včetně Acunetix WVS bez AcuSensor) nevidí, jak se kód chová při jeho provádění. Na druhém konci spektra nemohou nástroje pro analýzu zdrojového kódu vždy pochopit, co se stane, když se kód provádí.

Acunetix AcuSensor spojuje obě metodiky testování dohromady a ve výsledku může poskytnout přesnější a komplexnější skenování. Vzhledem k tomu, že senzor má znalosti o backendovém systému, může také najít zranitelná místa v obtížně přístupných oblastech s typickým skenerem černé skříňky. Například chyby zabezpečení SQL Injection se obvykle nacházejí buď prostřednictvím informací uniklých chybami databáze, nebo prostřednictvím slepý injekční techniky. AcuSensor najde chyby zabezpečení SQL Injection v jakémkoli dotazu SQL; včetně výpisů INSERT.

Jak jsme již viděli, Acunetix AcuSensor může označit zranitelný řádek kódu a může dokonce hlásit další informace o ladění. To výrazně zvyšuje efektivitu vývojového týmu při řešení kritických bezpečnostních chyb.

AcuMonitor

AcuMonitor je a připrav to a zapomeň technologie, která je součástí Acunetix WVS. Slouží jako zprostředkovatelská služba, která pracuje na pozadí a umožňuje detekci skeneru druhá objednávka zranitelnosti.

Testování zranitelnosti druhého řádu zohledňuje zranitelnosti, které během testování neposkytují odpověď na skener. Mezi takové chyby patří Blind XSS (označované také jako zpožděné XSS), XML External Entity Injection (XXE), Server Side Request Forgery (SSRF), Host Header Attacks, Email Header Injection, Password Reset Poisoning, Blind Out-of-Band SQL Injection a slepé vzdálené spuštění kódu mimo pásmo; to vše lze automaticky detekovat pomocí AcuMonitoru.

Aby bylo možné zjistit chyby zabezpečení druhého řádu, musí existovat prostředník, který skener ovládá nebo k němu má přístup. Acunetix WVS v kombinaci s AcuMonitorem činí automatickou detekci těchto zranitelných míst bezbolestnou a transparentní pro uživatele, který spouští skenování.

jak otevřít soubor dat

Stažení skeneru webové zranitelnosti Acunetix:

Acunetix je k dispozici online nebo na místě. Acunetix nabízí 14denní zkušební verzi Acunetix WVS a také nabízejí online ztvárnění skeneru s názvem Acunetix OVS , které si můžete také vyzkoušet na 14 dní. Jediným skutečným způsobem, jak zvládnout jakýkoli produkt, je vyzkoušet si to na vlastní kůži.

Závěrečné poznámky

Kromě všeho výše uvedeného je Acunetix Web Vulnerability Scanner dodáván také s řadou integrovaných nástrojů pro ruční penetrační testování. Tyto nástroje umožňují auditorům spouštět automatická skenování a ověřovat výsledky ručně bez nutnosti přepínání nástrojů.

Acunetix WVS nabízí bezpečnostním profesionálům i softwarovým technikům řadu ohromujících funkcí v jednoduchém, přímém a velmi robustním balíčku. Tato recenze samozřejmě může pokrýt jen tolik, a přestože si tento výukový program klade za cíl poskytnout široký přehled o produktu, existuje několik dalších užitečných funkcí, které nebyly zahrnuty.

Už jsi použil Acunetix nebo jakýkoli jiný skener zranitelnosti webu? Sdělte nám své zkušenosti nebo dotazy v komentářích níže.

Doporučené čtení

^