Огляд по acunetix web vulnerability scanner 1
ПО: Acunetix Web Vulnerability Scanner
Установка Acunetix WVS
Далі майстер установки запитує, чи дозволяти підтримку баз даних. При позитивній відповіді можна зберігати результати сканування в базі даних Microsoft Access (на комп'ютері не потрібно наявності встановлений Access), на сервері Microsoft SQL (версія 7 або вище) або в базі даних Microsoft Desktop Engine (MSDE). База даних SQL вимагає встановленого в мережі сервера SQL. Для цієї бази необхідно ввести дійсні вхідні дані.
Програму можна запустити за допомогою іконки на робочому столі або з меню Програми. Зверніть увагу на те, що підміню Acunetix складається з декількох пунктів, як показано на малюнку А.
У Vulnerability Editor містяться всі тести, які програма використовує під час сканування. У нього допускається внесення змін, хоча робити це не рекомендується, так як можна вплинути на ефективність роботи програми.
Для запуску програми виберіть Acunetix Web Vulnerability Scanner. В результаті з'являється інтерфейс програми, показаний на малюнку В.
РісунокB: Інтерфейс програми Acunetix WVS
Якщо ви заплатили, завантажили і встановили повну версію програми, то розширте закладку General (Загальні) на лівій панелі Tools Explorer (Інструменти) і клацніть правою кнопкою миші на пункті Licensing (Ліцензування). Далі виберіть License Product (Зареєструвати програму). З'явиться діалогове вікно, в якому необхідно ввести ліцензійний ключ. При використанні пробної версії програми вибір даної закладки надасть інформацію про час до кінця використання пробної версії.
огляд функцій
З її допомогою можна просканувати віртуальні хости і всі типи веб-серверів, а не тільки на основі Windows. WVS підтримує ОС UNIX і Linux, веб-служби Apache і файли налаштувань PHP. Є можливість піддати ОС спеціальним перевіркам.
Можна просканувати безліч типів веб-сторінок і файлів, включаючи ASP і CGI. Програма підтримує безпечні проксі і HTTP (HTTPS) сервера.
Установка налаштувань проводиться через закладку Configuration (Налаштування) в лівій панелі. Виберіть Settings (Параметри) для зміни наступних параметрів:
сканування
Для сканування веб-додатків і знаходжень слабких місць захисту серверів виберіть File (Файл) | New (Новий). а потім Scan (Сканувати).
Примітка:
При встановленій системі виявлення мережевих атак (IDS) вона визначить сканування WVS як множинні атаки і буде виводити попереджувальні повідомлення.
Потім з'явиться Майстер сканування, показаний на малюнку С.
РісунокC: За допомогою Майстра сканування встановлюються параметри сканування
На першій сторінці Майстра розміщені три кнопки:
На наступній сторінці з'явиться список сайтів або комп'ютерів. Можна розширити закладку для кожного зазначеного комп'ютера або сайту, щоб подивитися детальну інформацію, яку можна змінити при необхідності (див. Рис. D).
РісунокD: Виберіть об'єкт, що перевіряється для початку сканування
На наступній сторінці можна створити профіль перевірки, який дозволяє або забороняє певні тести, для прискорення самого сканування. Тут можна встановити параметри пошукового агента, як показано на малюнку Е, пошуковий агент - це програмний компонент, який здійснює пошук по сайту. За допомогою установки параметрів можна включити або навпаки виключити певні посилання і файли з кола пошуку агента.
Примітка:
Параметри, встановлені в Майстрі сканування, застосовуються тільки для даного процесу сканування. Для зміни параметрів пошукового агента за замовчуванням необхідно розширити ятати Configuration (Налаштування) в лівій панелі Tools Explorer (Інструменти) і вибрати Settings (Настройки) | Tools Settings (Параметри інструментів) | Crawler (Пошуковий агент).
РісунокE: Створення профілю сканування для використання пошукового агента і установки для нього певних параметрів
Налаштування за замовчуванням:
Крім того, можна вибрати наступні варіанти:
Після установки необхідних параметрів натисніть кнопку Next (Далі) або поставте або навпаки приберіть галочку з опції збереження результатів сканування в базу даних. Потім натисніть кнопку Finish (Завершити). щоб приступити до сканування.
Отримання результатів сканування
Результати сканування складаються з наступних закладок:
Внизу інтерфейсу програми розміщується Activity Window (Вікно виконуваних дій). У ньому відображаються всі дії, що виконуються WVS. У вікні Результати сканування показується номер всіх знайдених слабких місць захисту. Наприклад, наше сканування виявило чотири недійсні посилання і один випадок перехресного коду.
Для порівняння результатів даного і попереднього сканування необхідно в меню Tools (Інструменти) вибрати пункт Compare Results (Порівняти результати).
створення звітів
Якщо при установці ви дозволили підтримку баз даних, тобто можливість створити звіт з файлів баз даних SQL або Access. В іншому випадку це можна зробити наступним чином: розширити ятати Configuration (Налаштування) і вибрати Settings (Параметри) | Database (База даних). У маленькій середньої панелі під Application options (Опції додатки) виберіть Database (База даних) і поставте галочку для вирішення підтримки баз даних, виберіть тип бази даних зі списку та введіть шлях для бази даних Access або інформації про сервер і мандат для бази даних SQL .
Для створення звіту з використанням інформації з бази даних застосовується інструмент Reporter. У командному рядку WVS виберіть New (Новий) | Report (Звіт). Запуститися Майстер створення звітів. Спочатку він запропонує вибрати варіанти сканування, які були збережені в базу даних, з якої створюється звіт. Натисніть кнопку Next (Далі). Далі у вас є можливість вибрати необхідну інформації для включення її в звіт. У звіт можна включити тільки попередження певного типу (інформаційні, низькою, середньої або високої небезпеки) і вибрати, чи показувати детальні попередження, заголовки запит / відповідь і / або таблицю попереджень. Ви можете вказати назву звіту, заголовок або текст нижнього колонтитула, а також вибрати зображення для заголовка.
Звіт складається з наступних розділів:
- Групи сканування
- зведення сканування
- зведення попереджень
- подробиці попереджень
У зведенні сканування представлена інформація про початковому і кінцевому часу сканування, тривалість сканування і загальна інформація про сервер (ОС і банер сервера (версія веб-служб)).
Звіт можна зберегти в файл або роздрукувати. Передбачена можливість створення шаблонів звітів, які включають в себе варіанти тестування, щоб прискорити і полегшити процес створення звітів.
додаткові ІНТСРУМЕНТ
У Acunetix WVS включає в себе деякі додаткові інструменти:
Доступ до них здійснюється через меню Tools (Інструменти) в командному рядку WVS. У підміню Acunetix меню Програми є також Troubleshooter Wizard (Майстер пошуку несправностей).
Короткий огляд
Acunetix Web Vulnerability Scanner простий в установці, налаштуванні і використанні. Від установки до отримання перших результатів сканування проходить всього лише кілька хвилин. Така простота, однак, зовсім не знижує серйозність програми. Існує безліч способів настройки і підгонки під конкретного користувача, а додаткові інструменти забезпечують більше можливостей. У комплект поставки включено керівництво користувача в форматі HTML Help, але доступні і версії у форматі PDF і Web на сайті компанії Acunetix. На відміну від інших програм Acunetix легко деінсталювати, хоча це не входить в наші плани, так як вона показала себе з кращого боку.