NEXT 9/2008 - Przetestuj swój serwis internetowy

Acunetix od końca lat 90. rozwija aplikację Web Vulnerability Scanner. Służy ona do wykrywania błędów, które mogą popełnić programiści w trakcie tworzenia stron WWW.

W internecie niebezpiecznie

Bezpieczne korzystanie z sieci zależy nie tylko od tego, czy internauta zainstaluje dobry antywirus, ale także od programistów tworzących strony WWW. Rok temu firma Acunetix przeprowadziła badania nad bezpieczeństwem 3200 witryn organizacji. Wykryto ponad 210 tys. luk. Połowa z nich rozpoznana została jako SQL Injection, czyli możliwość wykonania nieautoryzowanych odwołań do baz danych. Drugi rodzaj ataku, który można było przeprowadzić za pośrednictwem wspomnianych stron, to Cross Site Scripting.

Duże możliwości

Praca z WVS może odbywać się na dwóch poziomach. Jeśli korzystasz z Firefoksa i nie zależy ci na zbyt wielu opcjach konfiguracyjnych, to możesz używać rozszerzenia instalowanego razem z aplikacją. Jest to rozwiązanie przeznaczone dla tych programistów, analityków czy internautów, którzy chcą szybko sprawdzić, czy dana strona jest bezpieczna.

Innym sposobem jest użycie oddzielnego skanera, który można skonfigurować do wykonywania bardziej zaawansowanych czynności. Jego zadaniem jest wspomaganie pracy administratora bądź programisty, którzy mogą sprawdzić źródła publikowanych serwisów. Za pomocą funkcji dostępnych w pełnej wersji WVS skaner można uruchomić na cztery sposoby, takie jak: pojedyncza strona WWW, z użyciem crawlera, kilka wybranych witryn, przeszukiwanie zbioru komputerów z podanego zakresu adresów IP w celu sprawdzenia hostowanych stron WWW.

Co ciekawe, administrator może ustalić także tryb skanowania. Dostępne są dwa ustawienia: szybki czy heurystyczny. Ten drugi dodatkowo zwiększa prawdopodobieństwo wykrycia błędów. Po zakończeniu skanowania generowany jest raport (w najbardziej uniwersalnym formacie XML), zawierający wszystkie niezbędne informacje, które pomogą przy poprawie znalezionych błędów.

Rozpoznawanie zagrożeń

Vulnerability Scanner w wersji płatnej (około 3230 zł według kursu euro za wersję Small Business) umożliwia odnalezienie w kodzie strony szeregu błędów. Najgroźniejszymi z nich są XSS i SQL Injection, ale w końcowym raporcie warto także zwrócić uwagę na CRLF Injection, File Inclusion czy XPath Injection. WVS sprawdza ponadto LDAP Injection, URL Redirection i Cross Frame Scripting. Warto także wspomnieć o trybie analizy kodu JavaScript, który kompleksowo sprawdza strony internetowe stworzone za pomocą AJAX-a. Po wykonaniu testu AWVS-em można także dowiedzieć się, czy strona spełnia wytyczne VISA PCI Data Compliance, które mówią, jak budować serwis, żeby zakupy w internecie były bezpieczne.

Rozbudowane narzędzia

Czasami zdarza się, że wbudowane skrypty nie wystarczają do kompleksowego przetestowania strony, dlatego administrator albo tester korzystający z WVS ma do dyspozycji dodatkowe narzędzia, dzięki którym może dokładnie zbadać dany serwis. Mowa o HTTP Editor umożliwiającym tworzenie własnych zapytań, HTTP Sniffer monitorującym przesyłane dane, a także HTTP Fuzzer pozwalającym na tworzenie zasad testu przepełnienia bufora.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Łatwe WWW »
  TWORZENIE STRON WWW WEBSITE
• Statystyki stron WWW na żywo »
  STATYSTYKI STRON WWW WOOPRA
• DodajDo społeczności »
  SERWIS SPOŁECZNOŚCIOWY DODAJDO
• Szybka strona z Ajaksem »
  tips & tricks
• Specjalista od WWW »
  Specyfika zawodów informatycznych: webmaster