Automatyczne skanery bezpieczeństwa
- Paweł Szczepaniak,
- 15.04.2013
Przydatne narzędzia
Każdą listę, szczególnie luk krytycznych, warto zweryfikować narzędziem ręcznym. Przykładowo, po automatycznym zidentyfikowaniu potencjalnych zagrożeń SQL Injection warto skorzystać z możliwości narzędzia typu Blind SQL Injector. Jest ono przeznaczone do ręcznego testowania możliwości wprowadzenia szkodliwych danych do zapytania SQL. Można do niego zaimportować listę żądań HTTP ze skanera lub wpisać je ręcznie. Narzędzie może podpowiadać lub automatycznie poszukiwać odpowiednich ciągów, które zaowocują powodzeniem ataku.
Raport wyników skanowania – skaner open source Subgrpah Vega
Warto także zwrócić uwagę na narzędzia do testowania autoryzacji udostępniane przez skaner (HTTP, formularz). Można je wykorzystać do przetestowania samego mechanizmu, jak i do audytu haseł. Skanery z reguły mają listę popularnych haseł lub pozwalają taką załadować. Dostępne są także mechanizmy do łamania haseł metodą brute force, polegającą na masowym generowaniu i testowaniu haseł. Jeśli już mowa o hasłach, to skaner powinien pozwalać na wprowadzenie niezbędnych haseł do zamkniętych części serwisu, które mają być objęte skanowaniem automatycznym.
Oprócz skanowania stron wchodzących w skład serwisu skaner powinien także mieć możliwość audytu usług, np. SOAP, REST, XML, JSON, jeśli jest to potrzebne. Ze względu na różnorodność technologii wykorzystywanych w nowoczesnych aplikacjach internetowych warto zwrócić uwagę na możliwość skanowania zawartości stworzonej w technologiach Adobe Flash, Flex, Javascript, AJAX czy też Microsoft Silverlight.
Skanowanie pod kątem luk w popularnych aplikacjach open source programem Acunetix WVS
Skanery mają bazy popularnych luk w najpopularniejszych aplikacjach open source do tworzenia witryn, jak np. Wordpress, Joomla! czy Drupal. Skaner automatycznie potrafi wykryć takie oprogramowanie i przeprowadzić testy pod kątem znanych nieszczelności. Luki w tych popularnych narzędziach stanowią bardzo częsty obiekt ataków, więc dbanie o ciągłe aktualizacje tego typu narzędzi, jeśli musimy ich używać, jest bardzo istotne.
Możliwe jest także definiowane profilu skanowania, co ukierunkuje je na wybraną technologię (np. Perl, PHP, .NET/ASP) czy kategorię luk (np. błąd negocjacji SSL w serwerze webowym). Tak zdefiniowany profil można zapamiętać i wykorzystać w kolejnych skanowaniach.