Web安全系列：用WVS保障Web應用程序安全

【原創文章，版權所有，賽迪獨家發佈，合作網站如欲轉載，請註明出處「賽迪網」和文章作者「freedom」！謝絕非合作網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

Web站點的安全有可能是當今保障企業安全技術中最容易被忽視的領域，雖然它應當在一個企業中居於優先地位。

黑客們正日益緊鑼密鼓地盡其最大的努力來對付基於Web的應用程序，以獲得對敏感資料的訪問或濫用之，這些資料包括客戶的詳細信息，信用卡號和公司的其它秘密資料等。

黑客們已經具備了很多技能來實施其攻擊，如發動SQL注入式攻擊，跨站腳本攻擊、目錄遍歷攻擊(Directory Traversal Attack)、參數操縱（例如，URL，Cookie，HTTP報頭，HTML表單等）、身份驗證攻擊、目錄窮舉和其它的漏洞利用。此外，黑客團體組織嚴密，一些新發現的Web應用程序入侵方式被發佈到了大量的論壇上以及其組織成員所知道的網站上。這些入侵方式發佈每天都更新，並被用於傳播和促進對Web應用程序的進一步攻擊。

Web應用程序-購物車、表單、登錄頁面、動態內容和其它預定的應用程序，這些都被設計來允許Web站點的訪問者重新得到並提交動態內容，這包括各種級別的個人資料和敏感資料。

如果這些Web應用程序不安全，那麼你整個的資料庫的敏感信息就會處於嚴重的風險之中。據Gartner Group的一份研究報告指出，75%的網絡攻擊是在Web應用程序層次上進行的。

在2006年9月，黑客們通過在AT&T在線商店中的一個漏洞，竊取了近19,000個DSL設備客戶的個人資料。

在2007年，在一名黑客成功攻入其Web站點之後，美國南加福尼亞大學花費了超過140,000美元來通知受到影響的學生，並關閉其Web站點達十天之久 。

為什麼為發生這種事情呢？原因有以下幾個方面：

・Web站點和相關的Web應用程序必須保持每一周的每一天的24小時內都要可用，由此來向客戶、僱員、供應商和其它的利益關係人等提供所需要的服務。

・防火牆和SSL並沒有針對Web應用程序的攻擊提供保護，這只是因為對Web站點訪問必須是公開的。

・Web應用程序經常擁有對客戶資料庫等後端資料的直接訪問能力，因此控制有價值的資料保持其安全性的難度就更大。

・多數Web應用程序屬於定製程序，因此與那些現貨供應的軟體（主要指那些商業軟體）相比其測試程度也就更低。因此，定制的應用程序更易於受到攻擊。

各種各樣的攻擊已經證明Web應用程序的安全是極為關鍵的。如果你的Web應用程序受到了破壞，那麼黑客們將完全可以訪問你的後端資料，即使你的防火牆配置正確，而且即使你的操作系統和應用程序經常打補丁！

網絡安全防禦並沒有針對Web應用程序的攻擊提供安全保護，因為這些攻擊是在80號端口（Web站點的默認端口）上發動的，而這些端口必須保持開放性以允許企業網站的正常操作。

為了實現最廣泛的安全策略，你定期地、一致地審核Web應用程序的可能被利用的漏洞勢在必行。

對自動化Web應用程序安全掃瞄的需要

對你的Web應用程序進行人工漏洞審核繁瑣又相當耗時，這種操作還要求一些高級技術和跟蹤記錄大量代碼的能力，還要洞察黑客們的最新攻擊伎倆。

自動化的漏洞掃瞄允許你專注於保障Web應用程序安全的更具有挑戰性的問題，避免被黑客利用漏洞損害企業資料。

Web Vulnerability Scanner 漏洞掃瞄程序

Acunetix的Web Vulnerability Scanner (WVS)通過引入高級的啟髮式發現技術，擴大了漏洞掃瞄的範圍，它可處理當今基於Web環境的複雜安全問題。

WVS是一個自動化的Web應用程序安全測試工具，它可以通過檢查SQ・注入攻擊漏洞、跨站腳本攻擊漏洞等來審核你的Web應用程序。總體而言，它可以掃瞄任何可通過Web瀏覽器訪問的和遵循HTTP/HTTPS規則的Web站點和Web應用程序。

除了自動化地掃瞄可以利用的漏洞，WVS還提供了分析現有通用產品和客戶定制產品（包括那些依賴於JavaScript的程序即AJAX應用程序）的一個強健的解決方案。

WVS適用於任何中小型和大型企業的內聯網、外延網和面向客戶、僱員、廠商和其它人員的Web網站。

WVS如何工作

WVS擁有大量的自動化特性和手動工具，總體而言，它以下面的方式工作：

1.它將會掃瞄整個網站，它通過跟蹤站點上的所有鏈接和robots.txt（如果有的話）而實現掃瞄。然後WVS就會映射出站點的結構並顯示每個文件的細節信息。

2.在上述的發現階段或掃瞄過程之後，WVS就會自動地對所發現的每一個頁面發動一系列的漏洞攻擊，這實質上是模擬一個黑客的攻擊過程。WVS分析每一個頁面中可以輸入資料的地方，進而嘗試所有的輸入組合。這是一個自動掃瞄階段。

3.在它發現漏洞之後，WVS就會在「Alerts Node（警告節點）」中報告這些漏洞。每一個警告都包含著漏洞信息和如何修復漏洞的建議。

4.在一次掃瞄完成之後，它會將結果保存為文件以備日後分析以及與以前的掃瞄相比較。使用報告工具，就可以創建一個專業的報告來總結這次掃瞄。

審核漏洞

WVS自動地檢查下面的漏洞和內容：

・版本檢查，包括易受攻擊的Web伺服器，易受攻擊的Web伺服器技術

・CGI測試，包括檢查Web伺服器的問題，主要是決定在伺服器上是否啟用了危險的HTTP方法，例如PUT，TRACE，DELETE等等。

・參數操縱：主要包括跨站腳本攻擊（XSS）、SQL注入攻擊、代碼執行、目錄遍歷攻擊、文件入侵、腳本源代碼洩漏、CRLF注入、PHP代碼注入、XPath注入、LDAP注入、Cookie操縱、URL重定向、應用程序錯誤消息等。

・多請求參數操縱：主要是Blind SQL / XPath注入攻擊

・文件檢查：檢查備份文件或目錄，查找常見的文件（如日誌文件、應用程序蹤跡等），以及URL中的跨站腳本攻擊，還要檢查腳本錯誤等。

・目錄檢查，主要查看常見的文件，發現敏感的文件和目錄，發現路徑中的跨站腳本攻擊等。

・Web應用程序：檢查特定Web應用程序的已知漏洞的大型資料庫，例如論壇、Web入口、CMS系統、電子商務應用程序和PHP庫等。

・文本搜索：目錄列表、源代碼揭示、檢查電子郵件地址、微軟Office中可能的敏感信息、錯誤消息等。

・GHDB Google攻擊資料庫：可以檢查資料庫中1400多條GHDB搜索項目。

・Web服務：主要是參數處理，其中包括SQL注入/Blind SQL注入（即盲注攻擊）、代碼執行、XPath注入、應用程序錯誤消息等。

使用該軟體所提供的手動工具，還可以執行其它的漏洞測試，包括輸入合法檢查、驗證攻擊、緩衝區溢出等。

筆者下文將與您一起討論使用WVS掃瞄Web應用程序的具體過程和方法。敬請期待。

(