Ciekawy raport Symanteca ujawnia, że 1 na 10 stron internetowych miała jeden lub więcej złośliwych kodów.
A jeśli używasz WordPressa, to w innym raporcie SUCURI pokazuje, że 49% skanowanych stron było przestarzałych.
Jako właściciel aplikacji internetowej, jak zapewnić, że Twoja strona jest chroniona przed zagrożeniami online? Czy nie wyciekają z niej poufne informacje?
Jeśli korzystasz z rozwiązań bezpieczeństwa opartych na chmurze, to najprawdopodobniej regularne skanowanie podatności jest częścią planu. Jeśli jednak nie, to musisz wykonać rutynowe skanowanie i podjąć niezbędne działania w celu ograniczenia ryzyka.
Są dwa rodzaje skanerów.
Komercyjne – dają możliwość automatyzacji skanowania w celu zapewnienia ciągłego bezpieczeństwa, raportowania, ostrzegania, szczegółowych instrukcji dotyczących łagodzenia zagrożeń itp. Niektóre ze znanych nazw w branży to:
- Acunetix
- Detectify
- Qualys
Open Source/Free – można pobrać i wykonać skanowanie bezpieczeństwa na żądanie. Nie wszystkie z nich będą w stanie pokryć szeroki zakres luk w zabezpieczeniach, tak jak skanery komercyjne.
Sprawdźmy następujące skanery open source.
Arachni
Arachni, wysokowydajny skaner bezpieczeństwa zbudowany na frameworku Ruby dla nowoczesnych aplikacji internetowych. Jest dostępny w postaci przenośnej binarki dla systemów Mac, Windows & Linux.
Nie tylko podstawowa statyczna lub CMS strona, ale Arachni jest w stanie wykonać następujące odciski palców platformy. Wykonuje aktywne & pasywne sprawdzenia, zarówno.
- Windows, Solaris, Linux, BSD, Unix
- Nginx, Apache, Tomcat, IIS, Jetty
- Java, Ruby, Python, ASP, PHP
- Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony
Niektóre z wykrywanych podatności to:
- NoSQL/Blind/SQL/Code/LDAP/Command/XPath injection
- Cross-site request forgery
- Path traversal
- Local/Remote File inclusions
- Response splitting
- Cross-site scripting
- Unvalidated DOM redirects
- Source code disclosure
Masz możliwość wykonania raportu z audytu w HTML, XML, Text, JSON, YAML, itd.
Arachni pozwala na rozszerzenie skanowania do następnego poziomu poprzez wykorzystanie wtyczek. Sprawdź wszystkie funkcje Arachni i pobierz, aby się o tym przekonać.
XssPy
Skaner podatności XSS (cross-site scripting) oparty na Pythonie jest używany przez wiele organizacji, w tym Microsoft, Stanford, Motorola, Informatica, itp.
XssPy autorstwa Faizana Ahmada jest inteligentnym narzędziem. Robi jedną rzecz ut całkiem dobrze. Zamiast sprawdzać tylko stronę główną lub daną stronę, sprawdza całe linki na stronach internetowych.
XssPy sprawdza również subdomeny, więc nic nie jest pominięte.
w3af
w3af, projekt open-source rozpoczęty pod koniec 2006 roku, jest zasilany przez Pythona i dostępny na Linuksa i Windows OS. w3af jest w stanie wykryć ponad 200 luk, w tym 10 najlepszych wg OWASP.
w3af pozwala wstrzyknąć payload do nagłówków, URL, cookies, query-string, post-data, itp. w celu wykorzystania aplikacji internetowej do audytu. Obsługuje różne metody logowania do raportowania. Ex:
Ex:
- CSV
- HTML
- Console
- Text
- XML
Zbudowany jest na architekturze wtyczek i możesz sprawdzić wszystkie wtyczki dostępne tutaj.
Nikto
Projekt open-source sponsorowany przez Netsparker ma na celu znalezienie błędnej konfiguracji serwera WWW, wtyczek i luk w zabezpieczeniach. Nikto wykonuje kompleksowy test na ponad 6500 elementów ryzyka.
Obsługuje HTTP proxy, SSL, z lub NTLM uwierzytelniania, itp. i może zdefiniować maksymalny czas wykonania docelowego skanowania.
Nikto jest również dostępny w Kali Linux.
Wygląda obiecująco jako rozwiązanie intranetowe do wyszukiwania zagrożeń bezpieczeństwa serwerów WWW.
Wfuzz
Wfuzz (The Web Fuzzer) jest narzędziem do oceny aplikacji w testach penetracyjnych. Można rozmywać dane w żądaniu HTTP dla dowolnego pola, aby wykorzystać aplikację webową i przeprowadzić audyt aplikacji webowych.
Wfuzz wymaga zainstalowania Pythona na komputerze, na którym chcemy uruchomić skanowanie. Posiada on doskonałą dokumentację, dzięki której można go uruchomić.
OWASP ZAP
ZAP (Zet Attack Proxy) jest jednym ze słynnych narzędzi do testów penetracyjnych, które jest aktywnie aktualizowane przez setki wolontariuszy na całym świecie.
Jest to wieloplatformowe narzędzie oparte na Javie, które może działać nawet na Raspberry Pi. ZIP znajduje się pomiędzy przeglądarką a aplikacją webową w celu przechwytywania i inspekcji wiadomości
Na niektóre z poniższych funkcjonalności ZAP warto zwrócić uwagę.
- Fuzzer
- Automatyczny & skaner pasywny
- Obsługa wielu języków skryptowych
- Wymuszone przeglądanie
Serdecznie polecam zapoznanie się z filmami instruktażowymi OWASP ZAP, aby zacząć.
Wapiti
Wapiti skanuje strony internetowe danego celu i szuka skryptów i formularzy do wstrzyknięcia danych, aby sprawdzić czy są one podatne na ataki. Nie jest to metoda sprawdzania bezpieczeństwa kodu źródłowego; zamiast tego wykonuje skanowanie black-box.
Obsługuje metody GET i POST HTTP, proxy HTTP i HTTPS, kilka uwierzytelnień, itp.
Vega
Vega została stworzona przez Subgraph, jest to wieloplatformowe narzędzie napisane w Javie, służące do wyszukiwania luk XSS, SQLi, RFI i wielu innych.
Vega posiada ładne GUI i potrafi wykonać zautomatyzowane skanowanie poprzez zalogowanie się do aplikacji z podanymi danymi uwierzytelniającymi.
Jeśli jesteś programistą, możesz wykorzystać API Vegi do tworzenia nowych modułów ataku.
SQLmap
Jak można się domyślić po nazwie, z pomocą sqlmap można przeprowadzić testy penetracyjne bazy danych w celu znalezienia w niej błędów.
Współpracuje z Pythonem 2.6 lub 2.7 na dowolnym systemie operacyjnym. Jeśli szukasz SQL injection i chcesz wykorzystać bazę danych, to sqlmap będzie pomocny.
Grabber
Jest to małe narzędzie oparte na Pythonie i robi kilka rzeczy całkiem dobrze. Niektóre z funkcji Grabbera to:
- Analizator kodu źródłowego JavaScript
- Cross-site scripting, SQL injection, Blind SQL injection
- Testowanie aplikacji PHP przy użyciu PHP-SAT
Golismero
Szkielet do zarządzania i uruchamiania niektórych z popularnych narzędzi bezpieczeństwa, takich jak Wfuzz, DNS recon, sqlmap, OpenVas, robot analyzer, itp.).
Golismero jest inteligentny; potrafi skonsolidować informacje zwrotne z innych narzędzi i połączyć je w jeden wynik.
OWASP Xenotix XSS
Xenotix XSS autorstwa OWASP jest zaawansowanym frameworkiem do wyszukiwania i wykorzystywania cross-site scripting. Ma wbudowane trzy inteligentne fuzzery dla szybkiego skanowania i lepszych wyników.
Ma setki funkcji i możesz sprawdzić wszystkie wymienione tutaj.
Wnioski
.