Web安全系列：用WVS保障Web應用程序安全

Web站點的安全有可能是當今保障企業安全技術中最容易被忽視的領域，雖然它應當在一個企業中居于優先地位。

黑客們正日益緊鑼密鼓地盡其最大的努力來對付基于Web的應用程序，以獲得對敏感數據的訪問或濫用之，這些數據包括客戶的詳細信息，信用卡號和公司的其它秘密數據等。

黑客們已經具備了很多技能來實施其攻擊，如發動SQL注入式攻擊，跨站腳本攻擊、目錄遍歷攻擊(Directory Traversal Attack)、參數操縱（例如，URL，Cookie，HTTP報頭，HTML表單等）、身份驗證攻擊、目錄窮舉和其它的漏洞利用。此外，黑客團體組織嚴密，一些新發現的Web應用程序入侵方式被發布到了大量的論壇上以及其組織成員所知道的網站上。這些入侵方式發布每天都更新，并被用于傳播和促進對Web應用程序的進一步攻擊。

Web應用程序-購物車、表單、登錄頁面、動態內容和其它預定的應用程序，這些都被設計來允許Web站點的訪問者重新得到并提交動態內容，這包括各種級別的個人數據和敏感數據。

如果這些Web應用程序不安全，那么你整個的數據庫的敏感信息就會處于嚴重的風險之中。據Gartner Group的一份研究報告指出，75%的網絡攻擊是在Web應用程序層次上進行的。

在2006年9月，黑客們通過在AT&T在線商店中的一個漏洞，竊取了近19,000個DSL設備客戶的個人數據。

在2007年，在一名黑客成功攻入其Web站點之后，美國南加福尼亞大學花費了超過140,000美元來通知受到影響的學生，并關閉其Web站點達十天之久 。

為什么為發生這種事情呢？原因有以下幾個方面：

·Web站點和相關的Web應用程序必須保持每一周的每一天的24小時內都要可用，由此來向客戶、雇員、供應商和其它的利益關系人等提供所需要的服務。

·防火墻和SSL并沒有針對Web應用程序的攻擊提供保護，這只是因為對Web站點訪問必須是公開的。

·Web應用程序經常擁有對客戶數據庫等后端數據的直接訪問能力，因此控制有價值的數據保持其安全性的難度就更大。

·多數Web應用程序屬于定制程序，因此與那些現貨供應的軟件（主要指那些商業軟件）相比其測試程度也就更低。因此，定制的應用程序更易于受到攻擊。

各種各樣的攻擊已經證明Web應用程序的安全是極為關鍵的。如果你的Web應用程序受到了破壞，那么黑客們將完全可以訪問你的后端數據，即使你的防火墻配置正確，而且即使你的操作系統和應用程序經常打補��！

網絡安全防御并沒有針對Web應用程序的攻擊提供安全保護，因為這些攻擊是在80號端口（Web站點的默認端口）上發動的，而這些端口必須保持開放性以允許企業網站的正常操作。

為了實現最廣泛的安全策略，你定期地、一致地審核Web應用程序的可能被利用的漏洞勢在必行。

對自動化Web應用程序安全掃描的需要

對你的Web應用程序進行人工漏洞審核繁瑣又相當耗時，這種操作還要求一些高級技術和跟蹤記錄大量代碼的能力，還要洞察黑客們的最新攻擊伎倆。

自動化的漏洞掃描允許你專注于保障Web應用程序安全的更具有挑戰性的問題，避免被黑客利用漏洞損害企業數據。

Web Vulnerability Scanner 漏洞掃描程序

Acunetix的Web Vulnerability Scanner (WVS)通過引入高級的啟發式發現技術，擴大了漏洞掃描的范圍，它可處理當今基于Web環境的復雜安全問題。

WVS是一個自動化的Web應用程序安全測試工具，它可以通過檢查SQ·注入攻擊漏洞、跨站腳本攻擊漏洞等來審核你的Web應用程序�？傮w而言，它可以掃描任何可通過Web瀏覽器訪問的和遵循HTTP/HTTPS規則的Web站點和Web應用程序。

除了自動化地掃描可以利用的漏洞，WVS還提供了分析現有通用產品和客戶定制產品（包括那些依賴于JavaScript的程序即AJAX應用程序）的一個強健的解決方案。

WVS適用于任何中小型和大型企業的內聯網、外延網和面向客戶、雇員、廠商和其它人員的Web網站。

WVS如何工作

WVS擁有大量的自動化特性和手動工具，總體而言，它以下面的方式工作：

1.它將會掃描整個網站，它通過跟蹤站點上的所有鏈接和robots.txt（如果有的話）而實現掃描。然后WVS就會映射出站點的結構并顯示每個文件的細節信息。

2.在上述的發現階段或掃描過程之后，WVS就會自動地對所發現的每一個頁面發動一系列的漏洞攻擊，這實質上是模擬一個黑客的攻擊過程。WVS分析每一個頁面中可以輸入數據的地方，進而嘗試所有的輸入組合。這是一個自動掃描階段。

3.在它發現漏洞之后，WVS就會在“Alerts Node（警告節點）”中報告這些漏洞。每一個警告都包含著漏洞信息和如何修復漏洞的建議。

4.在一次掃描完成之后，它會將結果保存為文件以備日后分析以及與以前的掃描相比較。使用報告工具，就可以創建一個專業的報告來總結這次掃描。

審核漏洞

WVS自動地檢查下面的漏洞和內容：

·版本檢查，包括易受攻擊的Web服務器，易受攻擊的Web服務器技術

·CGI測試，包括檢查Web服務器的問題，主要是決定在服務器上是否啟用了危險的HTTP方法，例如PUT，TRACE，DELETE等等。

·參數操縱：主要包括跨站腳本攻擊（XSS）、SQL注入攻擊、代碼執行、目錄遍歷攻擊、文件入侵、腳本源代碼泄漏、CRLF注入、PHP代碼注入、XPath注入、LDAP注入、Cookie操縱、URL重定向、應用程序錯誤消息等。

·多請求參數操縱：主要是Blind SQL / XPath注入攻擊

·文件檢查：檢查備份文件或目錄，查找常見的文件（如日志文件、應用程序蹤跡等），以及URL中的跨站腳本攻擊，還要檢查腳本錯誤等。

·目錄檢查，主要查看常見的文件，發現敏感的文件和目錄，發現路徑中的跨站腳本攻擊等。

·Web應用程序：檢查特定Web應用程序的已知漏洞的大型數據庫，例如論壇、Web入口、CMS系統、電子商務應用程序和PHP庫等。

·文本搜索：目錄列表、源代碼揭示、檢查電子郵件地址、微軟Office中可能的敏感信息、錯誤消息等。

·GHDB Google攻擊數據庫：可以檢查數據庫中1400多條GHDB搜索項目。

·Web服務：主要是參數處理，其中包括SQL注入/Blind SQL注入（即盲注攻擊）、代碼執行、XPath注入、應用程序錯誤消息等。

使用該軟件所提供的手動工具，還可以執行其它的漏洞測試，包括輸入合法檢查、驗證攻擊、緩沖區溢出等。

筆者下文將與您一起討論使用WVS掃描Web應用程序的具體過程和方法。敬請期待。

文章來源于領測軟件測試網 http://www.anti-gravitydesign.com/

TAG: web Web WEB 應用程序 WVS