用WVS保障Web利用程序安全[网络技术]

　　黑客们正日益紧锣密鼓地尽其最大的勤奋来对付基于Web的利用程序,以得到对敏感数据的拜候或滥用之,这些数据包含客户的具体信息,信誉卡号和公司的别的奥秘数据等.

　　黑客们已经具有了很多技术来实施其攻击,如策动SQL注入式攻击,跨站脚本攻击、目录遍历攻击(Directory Traversal Attack)、参数操作(比方,URL,Cookie,HTTP报头,HTML表单等)、身份考证攻击、目录穷举和别的的漏洞操纵.此外,黑客集体组织严密,一些新发现的Web利用程序入侵方法被公布到了大量的论坛上以及其组织成员所知道的网站上.这些入侵方法公布每天都更新,并被用于传达和增长对Web利用程序的进一步攻击.

　　Web利用程序-购物车、表单、登录页面、动态内容和别的预定的利用程序,这些都被计划来答应Web站点的拜候者重新得到并提交动态内容,这包含各种级别的个人数据和敏感数据.

　　假如这些Web利用程序不安全,那么你整个的数据库的敏感信息就会处于严重的风险之中.据Gartner Group的一份研究报告指出,75%的网络攻击是在Web利用程序层次上举行的.

　　在2006年9月,黑客们通过在AT&T在线商店中的一个漏洞,盗取了近19,000个DSL设备客户的个人数据.

　　在2007年,在一名黑客成功攻入其Web站点之后,美国南加福尼亚大学耗费了超越140,000美圆来告诉遭到影响的学生,并关闭其Web站点达十天之久 .

　　为什么为发生这种事情呢?缘由有以下几个方面:

　　·Web站点和相关的Web利用程序必须保持每一周的每一天的24小时内都要可用,由此来向客户、雇员、供应商和别的的好处关系人等供应所需求的服务.

　　·防火墙和SSL并没有针对Web利用程序的攻击供应保护,这只是因为对Web站点拜候必须是公开的.

　　·Web利用程序常常拥有对客户数据库等后端数据的直接拜候本领,因此掌握有代价的数据保持其安全性的难度就更大.

　　·大都Web利用程序属于定制程序,因此与那些现货供应的软件(主要指那些商业软件)相比其测试程度也就更低.因此,定制的利用程序更易于遭到攻击.

　　各种各样的攻击已经证明Web利用程序的安全是极其关键的.假如你的Web利用程序遭到了破坏,那么黑客们将完好可以拜候你的后端数据,即便你的防火墙配置精确,并且即便你的操作系统和利用程序常常打补钉!

　　网络安全防备并没有针对Web利用程序的攻击供应安全保护,因为这些攻击是在80号端口(Web站点的默许端口)上策动的,而这些端口必须保持开放性以答应企业网站的正常操作.

　　为了实现最遍及的安全战略,你按期地、一致地考核Web利用程序的大概被操纵的漏洞势在必行.

　　对自动化Web利用程序安全扫描的需求

　　对你的Web利用程序举行人工漏洞考核烦琐又相当耗时,这种操作还要求一些高级技术和跟踪记录大量代码的本领,还要洞察黑客们的最新攻击本领.

　　自动化的漏洞扫描答应你专注于保障Web利用程序安全的更具有挑衅性的问题,避免被黑客操纵漏洞侵害企业数据.

　　Web Vulnerability Scanner 漏洞扫描程序

　　Acunetix的Web Vulnerability Scanner (WVS)通过引入高级的启迪式发现技术,扩大了漏洞扫描的范围,它可处理当今基于Web环境的复杂安全问题.

　　WVS是一个自动化的Web利用程序安全测试工具,它可以通过查抄SQ·注入攻击漏洞、跨站脚本攻击漏洞等来考核你的Web利用程序.总体而言,它可以扫描任何可通过Web浏览器拜候的和遵守HTTP/HTTPS法则的Web站点和Web利用程序.

　　除了自动化地扫描可以操纵的漏洞,WVS还供应了解析现有通用产品和客户定制产品(包含那些依靠于JavaScript的程序即AJAX利用程序)的一个健旺的办理筹划.

　　WVS实用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和别的人员的Web网站.

　　WVS若何工作

　　WVS拥有大量的自动化特点和手竣工具,总体而言,它以下面的方法工作:

　　1.它将会扫描整个网站,它通过跟踪站点上的全部链接和robots.txt(假若有的话)而实现扫描.然后WVS就会映射出站点的构造并显示每个文件的细节信息.

　　2.在上述的发现阶段或扫描历程之后,WVS就会自动地对所发现的每一个页面策动一系列的漏洞攻击,这实质上是模拟一个黑客的攻击历程.WVS解析每一个页面中可以输入数据的地方,进而尝试全部的输入组合.这是一个自动扫描阶段.

　　3.在它发现漏洞之后,WVS就会在"Alerts Node(告诫节点)"中报告这些漏洞.每一个告诫都包含着漏洞信息和若何修复漏洞的倡议.

　　4.在一次扫描完成之后,它会将后果保存为文件以备日后解析以及与从前的扫描相对比.利用报告工具,便可以成立一个专业的报告来总结这次扫描.

　　考核漏洞

　　WVS自动地查抄下面的漏洞和内容:

　　·版本查抄,包含易受攻击的Web服务器,易受攻击的Web服务器技术

　　·CGI测试,包含查抄Web服务器的问题,主如果决意在服务器上能否启用了危险的HTTP办法,比方PUT,TRACE,DELETE等等.

　　·参数操作:主要包含跨站脚本攻击(XSS)、SQL注入攻击、代码履行、目录遍历攻击、文件入侵、脚本源代码泄露、CRLF注入、PHP代码注入、XPath注入、LDAP注入、Cookie操作、URL重定向、利用程序错误消息等.

　　·多恳求参数操作:主如果Blind SQL / XPath注入攻击

　　·文件查抄:查抄备份文件或目录,查找常见的文件(如日记文件、利用程序踪影等),以及URL中的跨站脚本攻击,还要查抄脚本错误等.

　　·目录查抄,主要查看常见的文件,发现敏感的文件和目录,发现途径中的跨站脚本攻击等.

　　·Web利用程序:查抄特定Web利用程序的已知漏洞的大型数据库,比方论坛、Web进口、CMS系统、电子商务利用程序和PHP库等.

　　·文本搜索:目录列表、源代码揭露、查抄电子邮件地址、微软Office中大概的敏感信息、错误消息等.

　　·GHDB Google攻击数据库:可以查抄数据库中1400多条GHDB搜索项目.

　　·Web服务:主如果参数处理,此中包含SQL注入/Blind SQL注入(即盲注攻击)、代码履行、XPath注入、利用程序错误消息等.

　　利用该软件所供应的手竣工具,还可以履行别的的漏洞测试,包含输入合理查抄、考证攻击、缓冲区溢出等.

　　笔者下文将与您一同谈论利用WVS扫描Web利用程序的具体历程和办法.敬请等待.