acunetix web vulnerability scanner security testing tool
Webanwendungen und Websites sind heutzutage Kernkomponenten eines jeden Unternehmens. Mit zunehmender Anzahl von Websites sind Angreifer auch aktiver beim Hacken von Websites und beim Stehlen wichtiger Geschäftsdaten.
Angesichts dieser Bedrohung wird es immer wichtiger, das Scannen von Website-Schwachstellen als Teil von durchzuführen vollständiger Testzyklus .
Heute werden wir eine überprüfen Tool für ein Sicherheitsaudit von Webanwendungen und Websites - Acunetix Web Vulnerability Scanner (WVS). Acunetix WVS ist das Werkzeug der Wahl für SQL Injection-Test , Cross-Site-Scripting (XSS) und OWASP Top 10 andere Schwachstellen.
Was du lernen wirst:
- Praktische Überprüfung des Acunetix Web Vulnerability Scanner
- Durchführen eines Online-Schwachstellen-Scans
- So scannen Sie passwortgeschützte Bereiche einer Website
- Scan-Ergebnisse für Website-Sicherheitslücken:
- Ausführen von Tests nach dem Vulnerability Fix
- Web Vulnerability Scan Reporting
- Technologiedeckung
- DeepScan Engine für Ajax und JavaScript
- AcuSensor für präzises und umfassendes Scannen
- AcuMonitor
- Acunetix Web Vulnerability Scanner herunterladen:
- Schlußbemerkungen
- Literatur-Empfehlungen
Praktische Überprüfung des Acunetix Web Vulnerability Scanner
Acunetix WVS ist ein automatisierter Sicherheitstest für Webanwendungen, der entwickelt wurde, um die Zunahme von Angriffen auf der Webanwendungsschicht zu bekämpfen. Acunetix WVS überprüft die Sicherheit einer Website, indem es eine Reihe von Angriffen auf die Website startet. Anschließend werden präzise Berichte zu den gefundenen Schwachstellen bereitgestellt und sogar Vorschläge zur Behebung dieser Schwachstellen gegeben.
In diesem Tutorial werde ich Acunetix WVS ausprobieren und einige seiner einzigartigen Funktionen erläutern.
Durchführen eines Online-Schwachstellen-Scans
Bevor ich einen Scan starten konnte, brauchte ich eine anfällige Site zum Testen. Acunetix unterhält eigene Teststandorte, die Sie scannen können, um das Produkt zu testen.
- http://testhtml5.vulnweb.com
- http://testphp.vulnweb.com
- http://testaspnet.vulnweb.com
- http://testasp.vulnweb.com
Das Starten eines neuen Scans ist so einfach wie das Starten des Scan-Assistent durch Klicken auf die Neuer Scan Schaltfläche in der Hauptsymbolleiste. Der Assistent führt Sie durch einige Optionen, mit denen Sie den Scan anpassen können.
Zunächst müssen wir dem Acunetix Web Vulnerability Scanner mitteilen, welche Site gescannt werden soll. In diesem Fall bleibe ich bei der obigen PHP-Testseite (d. H. Http://testphp.vulnweb.com).
(Hinweis: Klicken Sie auf ein Bild, um es zu vergrößern.)
Als nächstes müssen wir a auswählen Scan-Profil . Ein Scan-Profil ist eine logische Gruppierung von Tests, die eine bestimmte Gruppe von Tests ausführen. Mit dieser Funktion können Sie anpassen, welche Tests Acunetix WVS ausführen soll oder nicht. Sie können aus mehreren integrierten Scan-Profilen auswählen oder benutzerdefinierte Scan-Profile erstellen, die Ihren spezifischen Anforderungen entsprechen.
Das Standard Das Scan-Profil enthält alle Tests, die der Acunetix Web Vulnerability Scanner ausführen kann. Nehmen wir jedoch an, ich mache mir nur Sorgen um Warnungen mit hohem Risiko. Ich kann den Scan so anpassen, dass nur diese Sicherheitsanfälligkeiten getestet werden.
Scanprofile sind nicht die einzige Möglichkeit, einen Scan anzupassen. Scaneinstellung erlaubt sehr körnig Kontrolle über Ihren Scan. Die meisten Benutzer müssen diese Einstellungen nicht ändern, da die Standardeinstellungen sorgfältig ausgewählt wurden, um die überwiegende Mehrheit der Websites und Webanwendungen zu berücksichtigen. Da ich jedoch zufällig über einen HTTP-Proxy eine Verbindung zum Internet herstelle, konfiguriere ich dies von hier aus, indem ich auf die Schaltfläche klicke Anpassen Schaltfläche neben dem Listenfeld Scaneinstellungen.
Wenn Sie sie benötigen, bietet Acunetix WVS auch erweiterte Optionen, die Sie nutzen können, wenn Sie noch mehr Kontrolle über die Seiten benötigen, die der Scanner crawlen und scannen soll (oder nicht).
Mit können Sie auswählen, welche Seiten Sie von einem Scan ausschließen möchten Lassen Sie mich nach dem Crawlen die zu scannenden Dateien auswählen Option und importieren sogar Ergebnisse von anderen Tools wie BurpSuite von Portswigger und Fiddler von Telerik und natürlich dem integrierten HTTP-Sniffer von Acunetix WVS.
Als Black-Box-Scanner kann Acunetix WVS jede Website oder Webanwendung unabhängig von den verwendeten Technologien oder Programmiersprachen scannen. Es testet im Wesentlichen eine Website oder Webanwendung, ohne vorher zu wissen, wie diese Website funktioniert, genau wie eine echte Angreifer würde.
Scan-Optimierung:
beste Anti-Spyware für Windows 7
Trotzdem hat der Acunetix Web Vulnerability Scanner einige intelligente Tricks auf Lager, um den Scan für eine bestimmte Technologie zu optimieren. Acunetix WVS versucht, die Webanwendung mit einem Fingerabdruck zu versehen, um die Technologien zu ermitteln, mit denen die Scanzeit verkürzt wird. Z.B. Wenn ich eine mit PHP erstellte Site teste, gibt es keinen Grund, nach Schwachstellen zu suchen, die nur in ASP.NET-Anwendungen vorhanden sein können.
So scannen Sie passwortgeschützte Bereiche einer Website
Da diese Site eine Anmeldeseite hat, müssen wir eine erstellen Anmeldesequenz um den Scanner anzuweisen, wie er sich bei der Anwendung anmeldet. Dies ist ein wesentlicher Bestandteil des Scanvorgangs und normalerweise nur schwer oder mühsam mit anderen Scannern einzurichten.
Sie können entweder versuchen, den Scanner für Sie anmelden zu lassen (dies funktioniert für die meisten einfachen Websites nur mit einem Benutzernamen und einem Kennwort), oder Sie können manuell eine Anmeldesequenz erstellen (funktioniert besser bei komplexeren Anmeldungen und bietet viel mehr Kontrolle). .
Mit dem Acunetix Web Vulnerability Scanner ist das Erstellen einer Anmeldesequenz ganz einfach. Führen Sie einfach Ihren normalen Anmeldevorgang durch, indem Sie sich bei einem Konto anmelden. Sie werden feststellen, dass Ihre Aktionen aufgezeichnet werden. Der Scanner spielt diese Aktionen erneut ab, um sich während des Scans anzumelden.
Sie können auch die Wiedergabetaste unten links im verwenden Login Sequence Recorder Fenster, in dem Sie Ihre Aktionen erneut abspielen können, um sicherzustellen, dass alles ordnungsgemäß funktioniert.
Sobald Sie klicken Nächster Sie haben die Möglichkeit auszuwählen, auf welche Links der Scanner während der Anmeldung nicht klicken soll. Wir möchten natürlich nicht, dass der Scanner während eines Crawls oder eines Scans von der Sitzung abgemeldet wird, also klicke ich auf das Ausloggen Link, um es einzuschränken, können Sie jedoch so viele Einschränkungen einrichten, wie Sie möchten.
Es ist auch erwähnenswert, dass der Login Sequence Recorder auch das Einschränken von Links mit unterstützt Nonces (einmalige Token in Links) mithilfe von Platzhaltern.
Wenn Sie alle Links eingeschränkt haben, klicken Sie auf Nächster . Eine Anmeldesequenz allein reicht nicht aus. Der Scanner muss verstehen, wann er angemeldet und wann er abgemeldet ist. Der Login Sequence Recorder benötigt einen sogenannten Sitzungsmuster .
Ein Sitzungsmuster ist nichts anderes als etwas Einzigartiges zwischen einem angemeldeten und einem abgemeldeten Status einer Webanwendung. Der Login Sequence Recorder erkennt dieses Muster automatisch für Sie. Sie können dieses Muster jedoch jederzeit anpassen, wenn Sie dies wünschen.
Klicken Sie auf Fertig Sie werden aufgefordert, die soeben erstellte Anmeldesequenz zu speichern. Dies kann zu einem späteren Zeitpunkt verwendet werden, sodass Sie nicht jedes Mal, wenn Sie dieselbe Site scannen möchten, eine Anmeldesequenz erstellen müssen.
Wie finde ich den Netzwerksicherheitsschlüssel?
Daraufhin wird der letzte Bildschirm des Scan-Assistenten angezeigt, auf dem Sie die möglicherweise festgelegten Scaneinstellungen speichern können. Darüber hinaus ist Acunetix WVS intelligent genug, um festzustellen, ob eine Site eine andere Antwort auf eine mobile User-Agent-Zeichenfolge bietet, und Sie werden gefragt, ob Sie die User Agent-Zeichenfolge so ändern möchten, dass sie die eines iPhone- oder Android-Geräts angibt - praktisch, wenn Ihre Website mobilfreundlich ist.
Scan-Ergebnisse für Website-Sicherheitslücken:
Nach Abschluss des Crawls und Scans listet Acunetix WVS eine Liste der Schwachstellen mit hohem Schweregrad auf, die auf der Testsite erkannt wurden.
Sobald Sie auf eine bestimmte Sicherheitsanfälligkeit klicken (in diesem Fall SQL Injection), zeigt Acunetix WVS nicht nur an, welcher Eingabeparameter anfällig ist, sondern listet auch Variationen eines Angriffs auf diesen Parameter auf.
Durch Auswahl einer der verschiedenen Schwachstellenvarianten wird die Schwachstelle ausführlich erläutert. Der Scanner bietet zunächst eine Zusammenfassung der Sicherheitsanfälligkeit und erklärt anschließend, welche Auswirkungen diese Sicherheitsanfälligkeit hat und wie die Sicherheitsanfälligkeit behoben werden kann.
Wenn Sie Acunetix AcuSensor installiert haben (dies ist optional), enthält eine serverseitige Komponente für PHP- und .NET-Anwendungen, die mit Acunetix WVS-Ergebnissen für Schwachstellen wie SQL Injection kommunizieren, sogar die Datei und die anfällige Codezeile!
Die Warnung enthält dann weitere Informationen mit einer ausführlicheren Erläuterung des Problems sowie weitere Details zum Beheben der Sicherheitsanfälligkeit sowie eine Liste mit Referenz-URLs, unter denen Sie für den Fall, dass der Scanner mehr über das Thema erfahren kann habe etwas gefunden, mit dem du nicht ganz vertraut bist.
Ausführen von Tests nach dem Vulnerability Fix
Das erneute Ausführen des Scans von Anfang an ist offensichtlich eine Möglichkeit, um zu überprüfen, ob das Update für eine erkannte Sicherheitsanfälligkeit erfolgreich ist. Acunetix WVS hat jedoch eine sehr praktische Erneut testen Merkmal.
Klicken Sie einfach mit der rechten Maustaste auf eine Warnung, die Sie erneut testen möchten, und wählen Sie sie aus Alarm (e) erneut testen . Die Tests, bei denen diese Sicherheitsanfälligkeit festgestellt wurde, werden erneut ausgeführt und das neue Ergebnis wird angezeigt. Wenn die Sicherheitsanfälligkeit behoben ist, markiert Acunetix sie in einer grauen, durchgestrichenen Schriftart.
Web Vulnerability Scan Reporting
Von hier aus können Sie die Scanergebnisse speichern oder verschiedene leicht verständliche Berichte erstellen. Sie können Berichte erstellen, indem Sie auf klicken Reporter Schaltfläche in der Hauptsymbolleiste.
Wenn der Acunetix Web Vulnerability Scanner Reporter geladen wird, wird eine Auswahl von Berichten angezeigt, aus denen Sie auswählen können. Wenn Sie nach hochrangigen Berichten suchen, wird die Betroffene Gegenstände , Zusammenfassung , und Schnellbericht Stellen Sie eine Vielzahl prägnanter Berichte zur Auswahl.
Wenn Sie jedoch nach Compliance-Berichten suchen, kann der Acunetix-Reporter Berichte erstellen, die auf einen Compliance-Standard Ihrer Wahl zugeschnitten sind, sei es der OWASP Top 10, PCI, HIPPA oder einer der anderen verfügbaren Compliance-Berichte. Diese Berichte werden regelmäßig aktualisiert, um immer der neuesten Version eines Compliance-Standards zu entsprechen.
Der detaillierteste Bericht ist der Entwicklerbericht . Dieser Bericht ist auch in hohem Maße konfigurierbar, sodass der Benutzer nur die erforderlichen Informationen in den Bericht aufnehmen kann.
Klicken Sie auf Generieren erstellt einen Bericht, den Sie in PDF, HTML und anderen Formaten speichern können, um ihn mit Kollegen und anderen Interessengruppen zu teilen.
Zusammenfassungsseite:
Alarmzusammenfassung:
wie man ein Produkttester wird
Alarmdetails:
Technologiedeckung
Wir haben bereits erläutert, dass Acunetix ein Black-Box-Scanner Solange eine Site über HTTP oder HTTPS zugänglich ist, kann sie gescannt werden. Der Scanner ist jedoch sehr „intelligent“, wenn es darum geht, Schwachstellen zu beseitigen, die für bestimmte Frameworks und Technologien endemisch sind - von PHP, NET, Ruby on Rails und einige beliebte Java-Frameworks bis hin zu CMSs wie WordPress und seinen Plugins. Acunetix WVS kann eine Site basierend auf dem von einer Site ausgeführten Technologie-Stack identifizieren und prüfen.
DeepScan Engine für Ajax und JavaScript
Darüber hinaus unterstützt der Acunetix Web Vulnerability Scanner HTML5 vollständig und kann DOM-basiertes XSS mit einem sehr hohen Maß an Genauigkeit erkennen. Dies ist der innovativen DeepScan-Engine zu verdanken, einem voll funktionsfähigen, kopflosen Browser, der eng in den Crawler integriert ist und Acunetix WVS ein umfassendes Verständnis der Vorgänge auf einer Seite sowie die Möglichkeit bietet, das immer beliebter werdende JavaScript auszuführen und mit ihm zu interagieren und AJAX-lastige Anwendungen, die im gesamten Web angezeigt werden.
Um es Webanwendungsentwicklern noch einfacher zu machen, DOM-basierte XSS-Schwachstellen aufzuspüren, bietet Acunetix WVS dem Benutzer auch eine Stapelverfolgung, wie die XSS-Nutzdaten durch das Document Object Model (DOM) des Browsers flossen.
AcuSensor für präzises und umfassendes Scannen
Wie wir bereits gesehen haben, ist AcuSensor eine optionale Komponente (im Lieferumfang von Acunetix WVS enthalten), die serverseitig installiert wird und sowohl für PHP- als auch für .NET-Anwendungen verfügbar ist. Die Verwendung von AcuSensor bietet sogenannte interaktive Anwendungssicherheitstests (IAST).
Die Installation für PHP und .NET ist sehr einfach, und mit .NET müssen DLLs nicht neu kompiliert werden - Sie können dies einfach tun injizieren und One-Inject AcuSensor aus vorkompilierten .NET-DLLs.
Die meisten Black-Box-Scanner für Webanwendungen (einschließlich Acunetix WVS ohne AcuSensor) können nicht sehen, wie sich Code während der Ausführung verhält. Am anderen Ende des Spektrums können Quellcode-Analysetools nicht immer verstehen, was passiert, wenn der Code ausgeführt wird.
Acunetix AcuSensor vereint beide Testmethoden und kann so einen genaueren und umfassenderen Scan ermöglichen. Da der Sensor das Backend-System kennt, kann er mit einem typischen Black-Box-Scanner auch Schwachstellen in schwer erreichbaren Bereichen finden. Beispielsweise werden SQL-Injection-Schwachstellen normalerweise entweder durch Informationen gefunden, die durch Datenbankfehler verloren gegangen sind, oder durch blind Injektionstechniken. AcuSensor kann SQL Injection-Schwachstellen in jeder SQL-Abfrage finden. einschließlich INSERT-Anweisungen.
Wie wir bereits gesehen haben, kann Acunetix AcuSensor die anfällige Codezeile anzeigen und sogar zusätzliche Debug-Informationen melden. Dies erhöht die Effizienz eines Entwicklungsteams bei der Behebung kritischer Sicherheitslücken erheblich.
AcuMonitor
AcuMonitor ist ein Set-It-And-Forget-It Technologie, die im Rahmen von Acunetix WVS enthalten ist. Es dient als Vermittlungsdienst, der im Hintergrund arbeitet und dem Scanner die Erkennung ermöglicht zweite Bestellung Schwachstellen.
Schwachstellentests zweiter Ordnung berücksichtigen Schwachstellen, die während des Testens keine Antwort auf einen Scanner liefern. Zu diesen Sicherheitsanfälligkeiten gehören Blind XSS (auch als Delayed XSS bezeichnet), XML External Entity Injection (XXE), Serverseitige Anforderungsfälschung (SSRF), Host-Header-Angriffe, E-Mail-Header-Injection, Kennwort-Reset-Vergiftung und Blind Out-of-Band-SQL-Injection und blinde Out-of-Band-Remotecodeausführung; All dies kann mit AcuMonitor automatisch erkannt werden.
Um Schwachstellen zweiter Ordnung zu erkennen, muss ein Vermittler vorhanden sein, den der Scanner steuert oder auf den er Zugriff hat. Acunetix WVS macht in Kombination mit AcuMonitor die automatische Erkennung solcher Schwachstellen für den Benutzer, der den Scan ausführt, schmerzlos und transparent.
Acunetix Web Vulnerability Scanner herunterladen:
Acunetix ist online oder vor Ort verfügbar. Acunetix bietet eine 14-tägige Testversion von Acunetix WVS und sie bieten auch eine Online-Wiedergabe des Scanners an Acunetix OVS , die Sie auch 14 Tage lang ausprobieren können. Der einzige wirkliche Weg, ein Produkt in den Griff zu bekommen, besteht darin, es selbst auszuprobieren.
Schlußbemerkungen
Zusätzlich zu all den oben genannten Funktionen wird der Acunetix Web Vulnerability Scanner mit einer Reihe integrierter manueller Penetrationstest-Tools geliefert. Mit diesen Tools können Prüfer automatisierte Scans ausführen und die Ergebnisse manuell überprüfen, ohne dass Tools gewechselt werden müssen.
Acunetix WVS bietet Sicherheitsexperten und Softwareentwicklern eine Reihe beeindruckender Funktionen in einem einfachen, unkomplizierten und sehr robusten Paket. Natürlich kann dieser Test nur so viel abdecken, und während dieses Tutorial einen umfassenden Überblick über das Produkt bieten soll, gibt es einige andere nützliche Funktionen, die nicht enthalten waren.
Haben Sie ... benutzt Acunetix oder ein anderer Web-Schwachstellenscanner? Teilen Sie uns Ihre Erfahrungen oder Fragen in den Kommentaren unten mit.
Literatur-Empfehlungen
- Beste Software-Test-Tools 2021 (QA Test Automation Tools)
- Netzwerksicherheitstests und beste Netzwerksicherheitstools
- Testen von Primer eBook Download
- Testhandbuch für die Sicherheit von Webanwendungen
- Unterschied in der Schwachstellenbewertung und Penetrationstests
- Lasttests mit HP LoadRunner-Tutorials
- 10 besten Tools zum Testen der mobilen APP-Sicherheit im Jahr 2021
- Unterschied zwischen Desktop-, Client Server-Tests und Web-Tests