為什麼您需要保護您的Web應用程式
當今最容易被忽視的就是保護網站安全,這本來應該是任何組織的優先事項。越來越多的黑帽駭客將他們的精力集中在基於 Web 的應用程式上(譬如購物車、表單、登錄頁面、動態內容等),可從世界任何地方 24/7 全天候入侵,透過不安全的 Web 應用程式輕鬆地存取您企業或個人後台數據庫,黑帽駭客會使用這些被攻擊的網站進行非法活動。受害者的網站可用於發起犯罪活動,例如網絡釣魚網站或傳輸非法內容,同時濫用網站的頻寬並使您對這些非法行為負責。
黑帽駭客已對許多組織發起了眾多攻擊,包括 SQL 注入、XSS、目錄攻擊、參數操作(例如:URL、Cookie、HTTP 標頭、Web 表單)、身份驗證攻擊、目錄枚舉和其他攻擊;黑帽駭客社區也非常緊密。只有該獨家地下組織的成員才知道,新發現的 Web 應用程式入侵(稱為零日弱點)發佈在許多論壇和網站上,貼文也頻繁更新為用於傳播和促進進一步的黑帽駭客攻擊。
Web 應用(購物車、表單、登錄頁面、動態內容和其他定制應用程式)旨在讓您的網站訪問者檢索和提交動態內容,包括不同級別的私人重要數據。如果這些 Web 應用程式不安全,那麼您的整個私人重要訊息數據庫將面臨嚴重風險。Gartner Group 的一項研究表明,75% 的網絡攻擊是在 Web 應用級別完成的。
為什麼 Web 應用程式容易受到攻擊?
- 不論是誰都可以每週 7 天、每天 24 小時通過網際網路輕鬆瀏覽網站和 Web 應用。
- 防火牆和 SSL 沒有提供針對 Web 應用的黑帽駭客攻擊保護,僅僅是因為對網站的訪問必須公開。
- Web 應用程式通常可以直接訪問後端數據,例如客戶數據庫。
- 大多數 Web 應用都是訂製的,因此與現成的軟件相比,涉及的測試程度較低。 因此,訂製應用程式更容易受到攻擊。
- 各種備受矚目的黑帽駭客攻擊已經證明,Web 應用的安全性仍然是最關鍵的。如果您的Web 應用程式受到攻擊,即使您的防火牆配置正確並且您的操作系統和應用程式都已修補完畢,黑帽駭客也可完全訪問您的後端數據。
- 網絡安全防禦無法防禦針對 Web 應用的攻擊,因為這些攻擊是在通訊阜 80 上啟動的,該通訊阜必須保持開放以讓業務正常運行。因此,您必須定期且持續地審核您的 Web 應用中的可利用弱點。
對 Web 應用安全掃描的自動化需求
對所有 Web 應用進行手動弱點審查既複雜又耗時,因為它通常涉及處理大量數據。它還需要高水平的專業知識來追蹤 Web 應用中所使用的大量代碼能力。此外,黑帽駭客不斷尋找新的方法來利用您的 Web 應用程式,這意味著您必須不斷監控資安網路,並在黑帽駭客發現之前先自行發現您在 Web 應用代碼中的新弱點。
自動弱點掃描可使您專注於構建 Web 應用這已具挑戰性的任務。自動 Web 應用掃描將會不斷地像黑帽駭客一樣尋找可以用來訪問您的 Web 應用程式或其背後數據的新攻擊方式。
幾分鐘之內,一個自動化的網絡應用程式掃描器就可以掃描你的網絡應用程式,識別所有可從網際網路訪問的文件,並模擬黑帽駭客活動以識別易受攻擊的組件。
此外,自動弱點掃描器還可用於評估構成 Web 應用程式的代碼,使其能夠識別可能在網際網路上不明顯但存在於 Web 應用程式中仍可被利用的潛在弱點。
Acunetix 漏洞管理
Acunetix 是一種自動化的 Web 應用安全測試工具,透過檢查 SQL 注入、XSS和其他可利用弱點等弱點來檢查您的 Web 應用。通常,Acunetix 會掃描可通過 Web 瀏覽器訪問並使用 HTTP/HTTPS 協議的任何網站或 Web 應用程式。
Acunetix 為分析現成的和自定義的 Web 應用程式提供了強大而獨特的解決方案,包括那些使用 JavaScript、AJAX 和 Web 2.0 的Web 應用程式。 Acunetix 有一個高級爬蟲幾乎可以找到任何文件。這很重要,因為找不到的內容就無法檢查。
Acunetix 是怎麼運作的
Acunetix 以下方式運作的:
- Acunetix DeepScan 透過追蹤網站上的所有鏈接來分析整個網站,包括使用 JavaScript 動態構建的鏈接,以及 robots.txt 和 sitemap.xml(如果可用)中的鏈接。如果網站地圖可用,Acunetix 將使用該地圖對網站的每個部分進行有針對性的檢查。
- 如果啟用 AcuSensor 技術,傳感器將檢索 Web 應用目錄中存在的所有文件的列表,並將爬蟲未找到的文件添加到爬蟲輸出。 此類文件通常不會被爬蟲發現,因為它們無法從 Web 服務器訪問,或者未通過網站鏈接。 AcuSensor 還分析那些無法從 Internet 訪問的文件,例如:web.config。
- 在經過爬取之後,掃描程式會自動在找到的每個頁面上啟動一系列弱點檢查,實質上是在模擬黑帽駭客。 Acunetix 還分析每個頁面以查找可以輸入數據的位置,然後嘗試所有不同的輸入組合。 這是自動掃描階段。 如果啟用 AcuSensor 技術,則會針對網站啟動一系列額外的弱點檢查。以下部分提供了有關 AcuSensor 的更多訊息。
- 已識別的弱點顯示在掃描結果中。每個弱點警報都包含有關弱點的訊息,例如使用的 POST 數據、受影響的項目、服務器的 HTTP 響應等。
- 如果使用 AcuSensor 技術,則會列出導致弱點的源代碼行號、堆棧跟踪或受影響的 SQL 查詢等詳細訊息。還顯示了有關如何修復弱點的建議。
- 可以對完成的掃描生成各種報告,包括執行摘要報告、開發人員報告和各種合規性報告,例如 PCI DSS 或 ISO 27001。
Acunetix AcuSensor 技術
Acunetix 獨特的 AcuSensor 技術允許您識別比其他 Web 應用程式掃描程式更多的弱點,同時產生更少的誤報。 Acunetix AcuSensor 準確指示代碼中弱點的位置並報告其他調試訊息。
通過將弱點掃描與來自源代碼中傳感器的反饋相結合,可以提高 PHP、.NET 和 JAVA Web 應用程式的準確性。 弱點掃描不知道應用程式如何反應,源代碼分析器不了解應用程式在受到攻擊時的行為方式。 AcuSensor 技術將這兩種技術相結合,與單獨使用源代碼分析器和黑盒掃描相比,取得了明顯更好的結果。
AcuSensor 可以透明地安裝在 .NET、PHP 和 JAVA 代碼中。
AcuSensor 可以安裝到準備編譯的 .NET 和 JAVA 程式集中,即使它們已簽名(強命名),因此,既不需要 .NET 或 JAVA 源代碼,也不需要編譯器(或任何其他依賴)。對於 PHP Web 應用程式,源代碼是現成的。迄今為止,Acunetix 是唯一實施該技術的 Web 弱點安全解決方案。
使用 AcuSensor 技術的優勢
- 允許您更快地定位和修復弱點,因為能夠提供有關弱點的更多訊息,例如源代碼行號、堆棧跟踪、受影響的 SQL 查詢等。
- 掃描網站時顯著減少誤報,因為它更好地了解 Web 應用程式的行為。
- 提醒您注意可能導致安全錯誤配置或暴露敏感訊息的 Web 應用程式配置問題。例如:如果在 .NET 中啟用了“自定義錯誤”,這可能會將敏感的應用程式詳細訊息暴露給惡意用戶。
- 建議您如何更好地保護您的 Web 服務器設置,例如:如果在 Web 服務器上啟用了允許寫入。
- 檢測更多 SQL 注入弱點。以前只有在報告數據庫錯誤的情況下才能發現 SQL 注入弱點,而現在可以分析源代碼以改進檢測。
- 能夠檢測所有 SQL 語句中的 SQL 注入弱點,包括 SQL INSERT 語句中的弱點。 使用弱點掃描將無法找到此類 SQL 注入弱點。 這顯著提高了 Acunetix 發現弱點的能力。
- 使用 AcuSensor 運行的掃描運行後端抓取,將通過 Web 伺服器可訪問的所有文件提交給掃描器;即使這些文件沒有通過前端應用程式鏈接。這確保了應用程式的 100% 覆蓋,並提醒用戶注意任何可能已被攻擊者惡意上傳的後門文件。
- AcuSensor 技術能夠攔截所有 Web 應用程式輸入,並建立一個包含網站中所有可能輸入的綜合列表並對其進行測試。
- 能夠測試任意文件創建和刪除弱點。 例如:透過易受攻擊的腳本,惡意用戶可以在 Web 應用程序目錄中創建一個文件並執行它以獲得特權訪問,或刪除敏感的 Web 應用程序文件。
網絡漏洞掃描
Acunetix Premium 作為檢查網站的一部分,Acunetix 線上版將對託管網站的服務器執行網絡安全檢查。 此網絡安全掃描將通過在系統上運行連結阜掃描來識別在被掃描服務器上運行的任何服務。 Acunetix 將報告檢測到的操作系統和託管服務的軟件。此過程還將識別可能潛伏在服務器上的特洛伊木馬。
網絡弱點掃描評估流行協議的安全性,例如 FTP、DNS、SMTP、IMAP、POP3、SSH、SNMP 和 Telnet。 除了測試弱密碼或默認密碼外,Acunetix 將檢查檢測到的服務中是否存在可能導致安全弱點的錯誤配置。 Acunetix 還將檢查電腦上運行的任何其他服務是否含有任何已棄用的協議。這些都使讓您的系統非常不安全,並允許入侵者破壞您的網站和聲譽。