Обзор ПО: Acunetix Web Vulnerability Scanner

Существует много сканеров слабых мест защиты, но опасность может исходить из разных сторон, поэтому появляются инструменты безопасности с узкой специализацией. Компания Acunetix создала сканер для защиты веб-серверов и веб-приложений. Программа показалась нам интересной, и мы решили протестировать ее и установили на сервер Windows Server 2003. В данной статье мы опишем свойства и функции программы, а также наши впечатления.

Вот описание программного продукта: «В данный программный комплект входит сканер безопасности, поисковый агент, инструмент анализа сообщений, а также объяснения веб-безопасности и расширенная база данных проверок безопасности для всех распространенных платформ веб-серверов. Программа безопасности, созданная по принципу «все в одном», позволяет обнаруживать слабые места защиты, представленные в рейтингах SANS Top 20 и OWASP Top 10 2004. Кроме того, новая функция автоматически определяет устаревшее программное обеспечение на сервере, сообщает о нем и в случае необходимости устанавливает с ним связь, что значительно улучшает безопасность сервера и ограждает его от возможных атак».

ПО: Acunetix Web Vulnerability Scanner

Домашняя страница: нажмите здесь

30-дневная пробная версия: нажмите здесь

Установка Acunetix WVS

По адресу http://www.acunetix.com/download/ доступна для скачивания 30-дневная пробная версия WVS, которая позволяет просканировать тестовый сайт Acunetix (http://test.acunetix.com/). Данная версия может быть установлена в ОС Windows 2000, XP или Server 2003 (необходим Internet Explorer версии 5.1 или выше). Мастер установки очень прост. Приняв условия лицензионного соглашения, необходимо выбрать место для установки WVS. Установленная программа занимает 16,1 МБ.

Далее мастер установки спрашивает, разрешать ли поддержку баз данных. При положительном ответе можно хранить результаты сканирования в базе данных Microsoft Access (на данном компьютере не требуется наличия установленный Access), на сервере Microsoft SQL (версия 7 или выше) или в базе данных Microsoft Desktop Engine (MSDE). База данных SQL требует установленного в сети сервера SQL. Для этой базы необходимо ввести действительные входные данные.

Далее нужно решить, размещать ли иконку WVS на рабочем столе (по умолчанию она размещается). После этого можно приступить непосредственно к установке. Просмотрите информацию об установке и нажмите кнопку Install (Установить). Установка завершится через несколько секунд.

Программу можно запустить посредством иконки на рабочем столе или из меню Программы. Обратите внимание на то, что подменю Acunetix состоит из нескольких пунктов, как показано на рисунке А.

Рисунок A: Подменю Acunetix в меню Программы

В Vulnerability Editor содержатся все тесты, которые программа использует во время сканирования. В него допускается внесение изменений, хотя делать это не рекомендуется, так как можно повлиять на эффективность работы программы.

Для запуска программы выберите Acunetix Web Vulnerability Scanner. В результате появляется интерфейс программы, показанный на рисунке В.

Рисунок B: Интерфейс программы Acunetix WVS

Если вы заплатили, скачали и установили полную версию программы, то расширьте закладку General (Общие) на левой панели Tools Explorer (Инструменты) и щелкните правой кнопкой мыши на пункте Licensing (Лицензирование). Далее выберите License Product (Зарегистрировать программу). Появится диалоговое окно, в котором необходимо ввести лицензионный ключ. При использовании пробной версии программы выбор данной закладки предоставит информацию о времени до конца использования пробной версии.

Обзор функций

На что же способна данная программа? Сканер определяет хосты, на который работают службы сервера, и сканирует данные хосты на предмет наличия общих слабых мест, таких как перекрестных кодов, просмотр-обход директорий, ввод SQL и многих других. Программа также производит тестирование аутентификации HTTP для определения небезопасных настоек и ненадежных паролей и для проверки настроек безопасности сервера. Она сообщает о наличии устаревшего ПО на сервере, которое необходимо обновить или исправить.

С ее помощью можно просканировать виртуальные хосты и все типы веб-серверов, а не только на основе Windows. WVS поддерживает ОС UNIX и Linux, веб-службы Apache и файлы настроек PHP. Имеется возможность подвергнуть ОС специальным проверкам.

Можно просканировать множество типов веб-страниц и файлов, включая ASP и CGI. Программа поддерживает безопасные прокси и HTTP (HTTPS) сервера.

Настройки

Установка настроек производится через закладку Configuration (Настройки) в левой панели. Выберите Settings (Параметры) для изменения следующих опций:

• General (Общие) – Здесь можно изменить адрес обновлений (www.acunetix.com/wvsupdate/) и выбрать вариант, когда WVS будет проверять наличие обновлений (при запуске приложения или при выборе “Check for updates” (Проверить наличие обновлений) в меню Help (Помощь)). На данной странице устанавливаются общие настройки HTTP, такие как ограничение размеров файлов в килобайтах и истечение времени ожидания запроса HTTP в секундах.
• Lan Settings (Параметры LAN) – Здесь устанавливаются варианты использования прокси сервера HTTP и/или прокси SOCKS, а также вводятся данные об идентификации и мандате для обоих серверов.
• Database (База данных) — В этих настройках вы можете включить или отключить использование баз данных, а также изменить тип базы данных, куда вы хотите сохранять результаты сканирования.
• Tools Settings: Site crawler (Параметры инструмента: Поисковый агент сайта) – Здесь указываются типы файлов, которые необходимо исключить или наоборот включить, когда агент производит поиск по файлам и директориям.
• Tools Settings: Scanner (Параметры инструмента: Сканер) — На данной странице устанавливаются параметры сканирования: сообщение об ошибках внутреннего сервера, отключение предупреждающих сообщений, создаваемых поисковым агентом (например, о недействительных ссылках), синхронизация поисковых агентов при сканировании веб-сайтов с файлами, размещенными на нескольких хостах. Здесь можно также определить хосты, которые разрешено сканировать.
• Tools Settings: HTTP Sniffer (Параметры инструмента: Анализатор HTTP) – Здесь дается указание встроенному анализатору HTTP, какой интерфейс и порт прослушивать.

Сканирование

Для сканирования веб-приложений и нахождений слабых мест защиты серверов выберите File (Файл) | New (Новый), а затем Scan (Сканировать).

Примечание:
При установленной системе обнаружения сетевых атак (IDS) она определит сканирование WVS как множественные атаки и будет выводить предупреждающие сообщения.

Затем появится Мастер сканирования, показанный на рисунке С.

Рисунок C: С помощью Мастера сканирования устанавливаются параметры сканирования

На первой странице Мастера размещены три кнопки:

• Сканировать одинарный сайт (HTTP или HTTPS) Введите URL или IP адрес сайта, который необходимо просканировать.
• Сканировать список компьютеров. Необходимо создать текстовый файл со списком имен компьютеров или IP адресов.
• Сканировать ряд компьютеров. Введите начальный и конечный IP адреса и укажите порты, которые необходимо просканировать (например, порт 80).

На следующей странице появится список сайтов или компьютеров. Можно расширить закладку для каждого указанного компьютера или сайта, чтобы посмотреть подробную информацию, которую можно изменить при необходимости (см. рис. D).

Рисунок D: Выберите проверяемый объект для начала сканирования

На следующей странице можно создать профиль сканирования, который разрешает или запрещает определенные тесты, для ускорения самого сканирования. Здесь можно установить параметры поискового агента, как показано на рисунке Е, поисковый агент – это программный компонент, который производит поиск по сайту. С помощью установки параметров можно включить или наоборот исключить определенные ссылки и файлы из круга поиска агента.

Примечание:
Параметры, установленные в Мастере сканирования, применяются только для данного процесса сканирования. Для изменения параметров поискового агента по умолчанию необходимо расширить закладку Configuration (Настройки) в левой панели Tools Explorer (Инструменты) и выбрать Settings (Настройки) | Tools Settings (Параметры инструментов) | Crawler (Поисковый агент).

Рисунок E: Создание профиля сканирования для использования поискового агента и установки для него определенных параметров

Настройки по умолчанию:

• Запрещается поиск выше начальной папки
• Поиск файлов ниже основной папки
• Поиск индексов директорий, даже если они не связаны ссылками

Кроме того, можно выбрать следующие варианты:

• Запустить анализатор HTTP для ручного поиска в конце процесса сканирования
• Получать только первый адрес URL
• Авторизироваться с помощью определенного пользовательского имени и пароля

Если поисковый агент не смог проследить все ссылки автоматически, необходимо выполнить ручной поиск. После этого агент включает найденные ссылки в структуру сайта. Если вы не хотите, чтобы поисковый агент прошел по ссылкам за пределы сайта, то следует выбрать вариант получения только первого адреса URL. Для сканирования сайтов, требующих аутентификации необходимо ввести пользовательское имя и пароль.

После установки требуемых параметров нажмите кнопку Next (Далее) или поставьте или наоборот уберите галочку с опции сохранения результатов сканирования в базу данных. Затем нажмите кнопку Finish (Завершить), чтобы приступить к сканированию.

Получение результатов сканирования

Результаты сканирования состоят из следующих закладок:

• Предупреждения (Alerts) — Расширение данной закладки выводит список слабых мест защиты, которые были обнаружены во время сканирования: небезопасные настройки, истечение времени разрешений или устаревшие версии ПО. Предупреждения могут быть только информационными, низкой, средней и высокой опасности. Выберите какой-либо пункт в закладке Alerts (Предупреждения), чтобы просмотреть подробности в правой панели. Здесь также представлены советы по устранению слабых мест защиты и список ссылок для получения дополнительной информации.
• Site Structure (Структура сайта) – В данной закладке предоставлены директории и файлы, которые обнаружил поисковый агент, включая найденные во время ручного поиска, а также их структура в файловой системе. Для получения дополнительной информации (путь, размер в байтах, результаты HTTP Get и т. д.) необходимо выбрать файл или директорию.

Внизу интерфейса программы размещается Activity Window (Окно выполняемых действий). В нем отображаются все действия, выполняемые WVS. В окне Результаты сканирования показывается номер всех найденных слабых мест защиты. Например, наше сканирование выявило четыре недействительные ссылки и один случай перекрестного кода.

Для сравнения результатов данного и предыдущего сканирования необходимо в меню Tools (Инструменты) выбрать пункт Compare Results (Сравнить результаты).

Создание отчетов

Если при установке вы разрешили поддержку баз данных, то есть возможность создать отчет из файлов баз данных SQL или Access. В противном случае это можно сделать следующим образом: расширить закладку Configuration (Настройки) и выбрать Settings (Параметры) | Database (База данных). В маленькой средней панели под Application options (Опции приложения) выберите Database (База данных) и поставьте галочку для разрешения поддержки баз данных, выберите тип базы данных из выпадающего списка и введите путь для базы данных Access или информации о сервере и мандат для базы данных SQL.

Для создания отчета с использованием информации из базы данных применяется инструмент Reporter. В командной строке WVS выберите New (Новый) | Report (Отчет). Запуститься Мастер создания отчетов. Сначала он предложит выбрать варианты сканирования, которые были сохранены в базу данных, из которой создается отчет. Нажмите кнопку Next (Далее). Далее у вас имеется возможность выбрать необходимую информации для включения ее в отчет. В отчет можно включить только предупреждения определенного типа (информационные, низкой, средней или высокой опасности) и выбрать, показывать ли подробные предупреждения, заголовки запрос/ответ и/или таблицу предупреждений. Вы можете указать название отчета, заголовок или текст нижнего колонтитула, а также выбрать изображение для заголовка.

Отчет состоит из следующих разделов:

• Группы сканирования
• Сводка сканирования
• Сводка предупреждений
• Подробности предупреждений

В сводке сканирования представлена информация о начальном и конечном времени сканирования, продолжительность сканирования и общая информация о сервере (ОС и баннер сервера (версия веб-служб)).

Отчет можно сохранить в файл или распечатать. Предусмотрена возможность создания шаблонов отчетов, которые включают в себя варианты тестирования, чтобы ускорить и облегчить процесс создания отчетов.

Дополнительные интсрументы

В Acunetix WVS включает в себя некоторые дополнительные инструменты:

• HTTP Editor (Редактор HTTP) — предназначен для создания пользовательского варианта изучения запросов и ответов HTTP, а также для определения формата выхода/ответа (например, простой текст или HTML). В интерфейс также входят инструмент шифровки-расшифровки для конвертации между простым текстом и кодами URL или Base64, а также переменный редактор, который позволяет редактировать переменные запроса, cookies и данные запроса.
• Target Finder (Искатель целевых объектов) – исследует список или ряд IP адресов для обнаружения серверов HTTP/HTTPS.
• Authentication Tester (Тестер аутентификации) – используется для тестирования и восстановления действительных паролей целевых сайтов, а также для взлома паролей с применением способов грубой силы.

Доступ к ним осуществляется через меню Tools (Инструменты) в командной строке WVS. В подменю Acunetix меню Программы есть также Troubleshooter Wizard (Мастер поиска неисправностей).

Краткий обзор

Acunetix Web Vulnerability Scanner прост в установке, настройке и использовании. От установки до получения первых результатов сканирования проходит всего лишь несколько минут. Такая простота, однако, совершенно не снижает серьезности программы. Существует множество способов настройки и подгонки под конкретного пользователя, а дополнительные инструменты обеспечивают больше возможностей. В комплект поставки включено руководство пользователя в формате HTML Help, но доступны и версии в формате PDF и Web на сайте компании Acunetix. В отличие от других программ Acunetix легко деинсталлировать, хотя это не входит в наши планы, так как она показала себя с лучшей стороны.

Источник www.windowsecurity.com

• Журнал системных событий
• Как создать контакт в active directori?
• Маршрутизация Windows 2008
• Управление папками в Windows vista
• Как выключить службу рабочая станция?

Tags: apache, cgi, linux, quote, redirect, SQL, UNIX