Web站点的安全有可能是当今保障企业安全技术中最容易被忽视的领域,虽然它应当在一个企业中居于优先地位。
黑客们正日益紧锣密鼓地尽其最大的努力来对付基于Web的应用程序,以获得对敏感数据的访问或滥用之,这些数据包括客户的详细信息,信用卡号和公司的其它秘密数据等。
黑客们已经具备了很多技能来实施其攻击,如发动SQL注入式攻击,跨站脚本攻击、目录遍历攻击(Directory Traversal Attack)、参数操纵(例如,URL,Cookie,HTTP报头,HTML表单等)、身份验证攻击、目录穷举和其它的漏洞利用。此外,黑客团体组织严密,一些新发现的Web应用程序入侵方式被发布到了大量的论坛上以及其组织成员所知道的网站上。这些入侵方式发布每天都更新,并被用于传播和促进对 Web应用程序的进一步攻击。
Web应用程序-购物车、表单、登录页面、动态内容和其它预定的应用程序,这些都被设计来允许Web站点的访问者重新得到并提交动态内容,这包括各种级别的个人数据和敏感数据。
如果这些Web应用程序不安全,那么你整个的数据库的敏感信息就会处于严重的风险之中。据Gartner Group的一份研究报告指出,75%的网络攻击是在Web应用程序层次上进行的。
在2006年9月,黑客们通过在AT&T在线商店中的一个漏洞,窃取了近19,000个DSL设备客户的个人数据。
在2007年,在一名黑客成功攻入其Web站点之后,美国南加福尼亚大学花费了超过140,000美元来通知受到影响的学生,并关闭其Web站点达十天之久 。
为什么为发生这种事情呢?原因有以下几个方面:
·Web站点和相关的Web应用程序必须保持每一周的每一天的24小时内都要可用,由此来向客户、雇员、供应商和其它的利益关系人等提供所需要的服务。
·防火墙和SSL并没有针对Web应用程序的攻击提供保护,这只是因为对Web站点访问必须是公开的。
·Web应用程序经常拥有对客户数据库等后端数据的直接访问能力,因此控制有价值的数据保持其安全性的难度就更大。
·多数Web应用程序属于定制程序,因此与那些现货供应的软件(主要指那些商业软件)相比其测试程度也就更低。因此,定制的应用程序更易于受到攻击。
各种各样的攻击已经证明Web应用程序的安全是极为关键的。如果你的Web应用程序受到了破坏,那么黑客们将完全可以访问你的后端数据,即使你的防火墙配置正确,而且即使你的操作系统和应用程序经常打补丁!
网络安全防御并没有针对Web应用程序的攻击提供安全保护,因为这些攻击是在80号端口(Web站点的默认端口)上发动的,而这些端口必须保持开放性以允许企业网站的正常操作。
为了实现最广泛的安全策略,你定期地、一致地审核Web应用程序的可能被利用的漏洞势在必行。
对自动化Web应用程序安全扫描的需要
对你的Web应用程序进行人工漏洞审核繁琐又相当耗时,这种操作还要求一些高级技术和跟踪记录大量代码的能力,还要洞察黑客们的最新攻击伎俩。
自动化的漏洞扫描允许你专注于保障Web应用程序安全的更具有挑战性的问题,避免被黑客利用漏洞损害企业数据。
Web Vulnerability Scanner 漏洞扫描程序
Acunetix的Web Vulnerability Scanner (WVS)通过引入高级的启发式发现技术,扩大了漏洞扫描的范围,它可处理当今基于Web环境的复杂安全问题。
WVS是一个自动化的Web应用程序安全测试工具,它可以通过检查SQ·注入攻击漏洞、跨站脚本攻击漏洞等来审核你的Web应用程序。总体而言,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。
除了自动化地扫描可以利用的漏洞,WVS还提供了分析现有通用产品和客户定制产品(包括那些依赖于JavaScript的程序即AJAX应用程序)的一个强健的解决方案。
WVS适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。
WVS如何工作
WVS拥有大量的自动化特性和手动工具,总体而言,它以下面的方式工作:
1.它将会扫描整个网站,它通过跟踪站点上的所有链接和robots.txt(如果有的话)而实现扫描。然后WVS就会映射出站点的结构并显示每个文件的细节信息。
2.在上述的发现阶段或扫描过程之后,WVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击,这实质上是模拟一个黑客的攻击过程。WVS分析每一个页面中可以输入数据的地方,进而尝试所有的输入组合。这是一个自动扫描阶段。
3.在它发现漏洞之后,WVS就会在“Alerts Node(警告节点)”中报告这些漏洞。每一个警告都包含着漏洞信息和如何修复漏洞的建议。
4.在一次扫描完成之后,它会将结果保存为文件以备日后分析以及与以前的扫描相比较。使用报告工具,就可以创建一个专业的报告来总结这次扫描。
审核漏洞
WVS自动地检查下面的漏洞和内容:
·版本检查,包括易受攻击的Web服务器,易受攻击的Web服务器技术
·CGI测试,包括检查Web服务器的问题,主要是决定在服务器上是否启用了危险的HTTP方法,例如PUT,TRACE,DELETE等等。
·参数操纵:主要包括跨站脚本攻击(XSS)、SQL注入攻击、代码执行、目录遍历攻击、文件入侵、脚本源代码泄漏、CRLF注入、PHP代码注入、XPath注入、LDAP注入、Cookie操纵、URL重定向、应用程序错误消息等。
·多请求参数操纵:主要是Blind SQL / XPath注入攻击
·文件检查:检查备份文件或目录,查找常见的文件(如日志文件、应用程序踪迹等),以及URL中的跨站脚本攻击,还要检查脚本错误等。
·目录检查,主要查看常见的文件,发现敏感的文件和目录,发现路径中的跨站脚本攻击等。
·Web应用程序:检查特定Web应用程序的已知漏洞的大型数据库,例如论坛、Web入口、CMS系统、电子商务应用程序和PHP库等。
·文本搜索:目录列表、源代码揭示、检查电子邮件地址、微软Office中可能的敏感信息、错误消息等。
·GHDB Google攻击数据库:可以检查数据库中1400多条GHDB搜索项目。
·Web服务:主要是参数处理,其中包括SQL注入/Blind SQL注入(即盲注攻击)、代码执行、XPath注入、应用程序错误消息等。
使用该软件所提供的手动工具,还可以执行其它的漏洞测试,包括输入合法检查、验证攻击、缓冲区溢出等。
笔者下文将与您一起讨论使用WVS扫描Web应用程序的具体过程和方法。敬请期待。