Bezpłatny czy komercyjny

Wykorzystanie skanerów automatyzujących wyszukiwanie luk w zabezpieczeniach znacząco ułatwia pracę przy audycie witryn i aplikacji internetowych. W jednym narzędziu często zgromadzona jest szeroka, ekspercka wiedza, dzięki której można szybko przekonać się o ich poziomie bezpieczeństwa. Nawet jeśli ze skanera nie korzysta wysoko wykwalifikowany specjalista ds. zabezpieczeń, to sposób prezentacji raportu z audytu jest zrozumiały i zawiera często konkretne porady, jak określoną lukę załatać.

Na rynku tego typu narzędzi istnieje wiele godnych polecenia rozwiązań komercyjnych. Ich ceny (w okolicach kilku tysięcy dolarów) bardzo często mogą stanowić barierę dla mniejszych firm. Wśród dostępnych rozwiązań open source warto wymienić Web Application Attack and Audit Framework - w3af napisany w języku Python. Można go obsługiwać zarówno z interfejsu okienkowego (GUI), jak i z linii komend. Zbudowany jest modułowo, kolejne funkcjonalności można dodawać poprzez tzw. plug-iny. Oprogramowanie dostępne jest do systemów Linux, BSD i OS X, starsze wersje pracowały także pod Windows. Kolejnym narzędziem jest Nikto. Tutaj nacisk położony jest jednak bardziej na luki i niedociągnięcia konfiguracji samego serwera webowego, domyślne oraz niebezpieczne pliki i programy. Posiada bardzo dobre narzędzia do rekonesansu. Obsługa Nikto odbywa się z linii komend lub poprzez nakładki GUI, pozwalające na ustawienie parametrów skanowania. Profile skanowania mogą być zapisywane w plikach, co czyni późniejsze skanowanie łatwiejszym. Wykorzystanie Nikto stanowi zawsze bardzo dobre uzupełnienie, gdy zależy nam na dokładnym przetestowaniu środowiska, na którym uruchomiona jest aplikacja. Narzędzie to posiada wiele opcji konfiguracyjnych i parametrów, z którymi trzeba dobrze się oswoić, aby w pełni wykorzystać jego możliwości.

Ciekawym, dobrze zapowiadającym się skanerem jest OWASP Zed Attack Proxy (ZAP). Podobnie jak w3af, jest narzędziem kompleksowym, przy czym posiada dużo więcej narzędzi zainstalowanych w pakiecie. Doświadczenie pokazuje też, że działa przy tym znacznie bardziej stabilnie i szybciej. Jedną z ciekawych funkcjonalności, jakie oferuje jest pasywne skanowanie, które nie zmienia nagłówków HTTP, co czyni je przeźroczystym. ZAP pozwala także na deszyfrowanie sesji SSL. Warto dodać, że ZAP działa na Linuksie, Windows i OS X i został przetłumaczony na liczne języki, w tym także polski.

Wydaje się jednak, że wśród narzędzi bezpłatnych niewiele jest poza wspomnianymi rozwiązań kompleksowych, o które łatwiej w ofercie komercyjnej. Wśród płatnych narzędzi należy wspomnieć o takich produktach jak Netsparker, IBM AppScan, HP WebInsepct czy też Acunetix WVS albo Burp Site. Licencjonowanie odbywa się per użytkownik, per strona lub w formule z nielimitowaną liczbą skanowanych witryn. Ceny tych rozwiązań sięgają nawet kilku tysięcy dolarów. Najtańszy jest Burp Site w cenie 299 dolarów za rok. Rozwiązanie Acunetix kosztuje w zależności od wersji od 1500 dolarów wzwyż. W górnej półce cenowej kształtują się ceny produktów IBM i HP. Są to więc rozwiązania dla większych firm lub analityków zajmujących się doradztwem i audytami bezpieczeństwa zawodowo.

Specyficzną kategorię stanowią darmowe wersje produktów komercyjnych. Wśród nich należy wspomnieć Acunetix WVS Free czy Burp Site Free. Najczęściej ich funkcjonalność ogranicza się jednak do rekonesansu i narzędzi, które nie prowadzą do skanowania i prób ataku na testowane serwisy. Spełniają one raczej sprawnie funkcję marketingu pełnych wersji. Osobną grupę skanerów stanowią te, udostępniane w modelu SaaS, których powstaje coraz więcej. Usługa skanowania opłacana jest w formie pojedynczego zlecenia lub abonamentowo za miesiąc, rok lub za określoną liczbę skanowań.