Automatyczne skanery bezpieczeństwa

Ponad 75% ataków na systemy informatyczne to ataki poprzez witryny internetowe. Zapewnienie bezpieczeństwa przy jednoczesnym rozwoju funkcjonalności aplikacji internetowych w przypadku większych projektów wymaga zastosowania zautomatyzowanych narzędzi do audytu bezpieczeństwa.

Na bezpieczeństwo aplikacji internetowej, oprócz jej programistów, ma wpływ kilka innych czynników. Po pierwsze - system, na którym uruchomiony jest serwer WWW; po drugie - sam serwer webowy; po trzecie - technologia wykonania (ASP, .NET, PHP itp.) Narzędzie do skanowania powinno więc umożliwiać przeprowadzenie podstawowych testów systemu - wyszukiwanie otwartych portów czy luk w bezpieczeństwie lub konfiguracji serwera. Jeśli samo narzędzie nie oferuje takich możliwości, należy wyposażyć się dodatkowo w odpowiedni skaner. Nie ma sensu utwardzanie aplikacji, która stoi na "chwiejnych nogach" dawno nieaktualizowanego serwera i oprogramowania serwerowego, w której administrator zapomniał o podstawowych ustawieniach i działaniach podnoszących bezpieczeństwo. Atakujący nie musi się wtedy nawet silić na atak SQL Injection czy XSS (Cross Site Scripting) oraz dziesiątki innych, w których wykryciu pomoże nam skaner.

Skanowanie automatyczne

Popularne skanowanie automatyczne powinno stanowić bazę do dalszych działań. Poprzedzone jest procesem indeksowania (crawling) plików badanego serwisu. W przypadku skanowania serwisu metodą czarnej skrzynki (black-box) skaner sam podejmuje próbę odnalezienia i skatalogowania plików serwisu. Czasem czyni w tym celu pożytek z plików robots.txt czy sitemap.xml lub działa jak zwyczajny robot sieciowy, używany do indeksowania przez wyszukiwarki internetowe.

W przypadku niektórych narzędzi skanujących można skorzystać ze specjalnych sensorów lub agentów skanera, instalowanych razem z aplikacją (np. poprzez umieszczenie odpowiedniego pliku w katalogu aplikacji). Sensor wysyła do skanera listę plików aplikacji i ma on pełną wiedzę o strukturze katalogów. Lista plików do przeskanowania może zostać także uzupełniona ręcznie w interfejsie skanera.

Automatyczne skanery bezpieczeństwa

Współpraca sensora ze skanerem bezpieczeństwa np. w Acunetix Web Vulnerability Scanner czy IBM AppScan

Po rekonesansie pora na właściwe skanowanie. W tym procesie skaner bazując na zapisanych w jego bazie metodach ataku, dla każdej ze zindeksowanych stron próbuje wysłać dane. Proces jest dość żmudny i może okazać się długotrwały.

Co ważne, przed uruchomieniem automatycznego skanowania należy przygotować odpowiednie środowisko testowe. Zautomatyzowane narzędzia mogą spowodować duże obciążenie zapytaniami do badanego serwisu, spowodować błędy w jego działaniu, a także wprowadzić do bazy danych serwisu wiele niepotrzebnych danych (poprzez mechanizmy SQL Injection albo nawet w wyniku prawidłowego działania aplikacji). Dlatego tego typu testy powinny się odbywać w systemie testowym i z ograniczonym dostępem do sieci, najlepiej tylko do komputera ze skanerem. Testy końcowe czy akceptacyjne, po wyeliminowaniu znalezionych wcześniej błędów i luk, można przeprowadzić na serwisie produkcyjnym, także z ograniczonym - na czas testów - dostępem do sieci.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200