Визначаємо уразливості веб-серва за допомогою acunetix web vulnerability scanner
Визначаємо уразливості веб-сервісу за допомогою Acunetix Web Vulnerability Scanner
Сьогодні велика частина інформації обробляється веб-додатками і видається користувачеві за допомогою динамічно генеруються сторінок. Номери кредитних карток, персональні дані клієнтів, важлива корпоративна інформація, до всього цього можна отримати доступ 7 днів на тиждень, 24 години на добу. Природно, і Зловмисники намагаються цим скористатися.
Незважаючи на те що уразливості можуть бути в принципі в будь-якому сервісі, запущеному в системі, статистика показує, що останнім часом істотно збільшилася кількість нападів на прикладному рівні. За різними підрахунками приблизно 60-75% атак спрямовані на веб-сервіс, кількість таких атак, як SQL Injection, cross-site-scripting, ніколи не зменшується. Незважаючи на те що про ці технології і методи захисту від них написано чимало, зломи все одно тривають. Ймовірно, тому, що веб-сервер орієнтований на публічний доступ, тому його не сховаєш за фаєрволом. Страждають не тільки проекти, створені програмістами-одинаками, а й, здавалося б, вилизаний код великих проектів також містить помилки. Відстежити всі моменти досить важко, та й часом робота здається в авральному порядку в короткі терміни. Ситуацію ускладнює те, що протокол HTTP може використовувати безліч способів кодування і інкапсуляції інформації. Тому контроль за інформацією, що вводиться і перевірка її коректності як і раніше є ключовими факторами при забезпеченні безпеки всіх веб-додатків.
Вручну перевірити великий обсяг коду, щоб виявити всі можливі значення всіх елементів даних - завдання складне і трудомістка, потребує великих знань в різних областях. З цієї причини все частіше доводиться вдаватися до спеціалізованих сканерів безпеки, які працюють на прикладному рівні. Одним з продуктів, що дозволяє протестувати веб-сайт на наявність слабких місць, є Acunetix Web Vulnerability Scanner.
Основні можливості Acunetix WVS
Сканування великих ресурсів може забрати багато часу, тому деякі тести можна відключати, правда, якщо вичетко усвідомлюєте, що робите. Крім того, можна задати розширення файлів, посилання на які не будуть відслідковуватися. Для зручності можна створити кілька профілів сканування і сканувати веб-сайти з різними настройками.
Сніффер HTTP дозволяє реєструвати, переривати і модифікувати весь HTTP / HTTPS-трафік. Для зручності можна підключати фільтри (traps) або ставити регулярні вирази, які будуть відслідковувати тільки певні події.
Малюнок 1. Acunetix WVS дозволяє порівняти результати сканування
Наостанок хочеться зазначити, що Acunetix WVS має зручний і зрозумілий інтерфейс, що допомагає в роботі, легкий в установці, налаштуванні і використанні. Буквально через кілька хвилин після початку установки можна отримати готовий результат. До плюсів також можна віднести часткову локалізацію виведених повідомлень і хорошу документацію.