Przydatne narzędzia

Każdą listę, szczególnie luk krytycznych, warto zweryfikować narzędziem ręcznym. Przykładowo, po automatycznym zidentyfikowaniu potencjalnych zagrożeń SQL Injection warto skorzystać z możliwości narzędzia typu Blind SQL Injector. Jest ono przeznaczone do ręcznego testowania możliwości wprowadzenia szkodliwych danych do zapytania SQL. Można do niego zaimportować listę żądań HTTP ze skanera lub wpisać je ręcznie. Narzędzie może podpowiadać lub automatycznie poszukiwać odpowiednich ciągów, które zaowocują powodzeniem ataku.

Kolejnym niezbędnym elementem przy ręcznej analizie znalezionych przez skaner luk jest edytor HTTP, który pozwala na ręczne tworzenie i modyfikację żądań HTTP. W edytorze można edytować typ żądania (GET, POST, HEAD), protokół oraz adres, dane nagłówka i parametry żądania. Przy badaniu sposobu przechowywania danych o sesjach, próbach podmiany danych zwracanych do serwera i innych "ręcznych" eksperymentach pomocny okaże się także sniffer HTTP. Narzędzie tego typu działa jako proxy i wymaga uwzględnienia tego faktu w konfiguracji przeglądarki internetowej. Przydatne są także narzędzia do automatycznej inkrementacji oraz generowania losowych parametrów zapytania, które pozwalają przetestować zachowanie aplikacji na niewłaściwe albo losowe dane.

Warto także zwrócić uwagę na narzędzia do testowania autoryzacji udostępniane przez skaner (HTTP, formularz). Można je wykorzystać do przetestowania samego mechanizmu, jak i do audytu haseł. Skanery z reguły mają listę popularnych haseł lub pozwalają taką załadować. Dostępne są także mechanizmy do łamania haseł metodą brute force, polegającą na masowym generowaniu i testowaniu haseł. Jeśli już mowa o hasłach, to skaner powinien pozwalać na wprowadzenie niezbędnych haseł do zamkniętych części serwisu, które mają być objęte skanowaniem automatycznym.

Oprócz skanowania stron wchodzących w skład serwisu skaner powinien także mieć możliwość audytu usług, np. SOAP, REST, XML, JSON, jeśli jest to potrzebne. Ze względu na różnorodność technologii wykorzystywanych w nowoczesnych aplikacjach internetowych warto zwrócić uwagę na możliwość skanowania zawartości stworzonej w technologiach Adobe Flash, Flex, Javascript, AJAX czy też Microsoft Silverlight.

Niektóre skanery oferują także usługę planowanego skanowania. Można na przykład ustawić skanowanie na daną godzinę lub uruchamiać je cyklicznie, w celu upewniania się, czy stan bezpieczeństwa witryny nie uległ pogorszeniu, czy to ze względu na nowe luki, które zostały wykryte w oprogramowaniu, czy też z powodu zmian w konfiguracji serwera.

Skanery mają bazy popularnych luk w najpopularniejszych aplikacjach open source do tworzenia witryn, jak np. Wordpress, Joomla! czy Drupal. Skaner automatycznie potrafi wykryć takie oprogramowanie i przeprowadzić testy pod kątem znanych nieszczelności. Luki w tych popularnych narzędziach stanowią bardzo częsty obiekt ataków, więc dbanie o ciągłe aktualizacje tego typu narzędzi, jeśli musimy ich używać, jest bardzo istotne.

Możliwe jest także definiowane profilu skanowania, co ukierunkuje je na wybraną technologię (np. Perl, PHP, .NET/ASP) czy kategorię luk (np. błąd negocjacji SSL w serwerze webowym). Tak zdefiniowany profil można zapamiętać i wykorzystać w kolejnych skanowaniach.