اسکنر امنیتی برنامه وب
اسکنر امنیتی برنامهٔ وب برنامهای است که با ارتباط برقرار کردن با برنامهٔ وب از راه رابطِ کاربرِ نهایی، تلاش میکند آسیبپذیریهای بالقوه در برنامهٔ کاربردی وب و ضعفهای ساختاری آن را شناسایی کند.[۱] این عمل یک آزمون جعبه سیاه اجرا میکند. برخلاف کد منبع اسکنرها، اسکنرهای برنامههای وب به کد منبع دسترسی نداشته و به همین دلیل تشخیص آسیبپذیری با انجام حملات مشخص میشود. برنامههای کاربردی وب از سال ۲۰۰۰ بسیار محبوب بودهاست چونکه به کاربران اجازه تجربه تعاملی در اینترنت میدهد. فقط به جای نمایش صفحات ایستای وب، کاربران امکان ایجاد حسابهای شخصی، اضافه کردن محتوا، پرس و جو پایگاه داده و تکمیل مبادلات را فراهم میکند. در فرایند تأمین تجربه تعاملی نرمافزارهای وب غالباً جمع آوری، ذخیره و استفاده از دادههای شخصی حساس برای تحویل به سرویس خود صورت میگیرد. کاربران از آسان بودن استفاده از این نرمافزارها بهرهمند میشوند در حالیکه اطلاعات شخصی ذخیره شده در برنامههای وب تلویحا از طریق حملات هکرها، نشت خودی و غیره به خطر میافتد. بر اساس حقوق حریم خصوصی، بیش از ۱۸ میلیون سوابق مشتری در سال ۲۰۱۲ با توجه به کنترلهای امنیتی ناکافی در دادههای شرکتهای بزرگ و برنامههای کاربردی وب به خطر افتاده است.[۲]
مرور[ویرایش]
یک اسکنر امنیتی برنامه وب باعث تسهیل بررسی خودکار یک برنامه وب با هدف بیان شده برای کشف آسیب پذیریهای امنیتی و مورد نیاز برای تطابق با الزامات قانونی مختلف میشود. اسکنرهای برنامه وب میتواند طیف گستردهای از آسیب پذیریها را بررسی کند، شامل:
- ارزیابی ورودی / خروجی
- مشکلهای برنامه خاص
- پیکربندی سرور مشکلات/خطاها / نسخه
در یک گزارش کپی رایت در مارس ۲۰۱۲ توسط فروشنده امنیتی منتشر شدهاست cenzic. شایعترین آسیب پذیریهای نرمافزار در برنامههایی که اخیراً مورد آزمایش قرار گرفته عبارتند از:[۳]
- تزریق اسکریپت از طریق وبگاه, ۳۷٪
- تزریق به پایگاه داده, ۱۶٪
- Path Disclosure, ۵٪
- حمله محرومسازی از سرویس, ۵٪
- Code Execution, ۴٪
- Memory Corruption, ۴٪
- جعل درخواست میانوبگاهی, ۴٪
- Information Disclosure, ۳٪
- Arbitrary File, ۳٪
- Local File Include, ۲٪
- گنجاندن فایل از راه دور, ۱٪
- Overflow ۱٪
- Other, ۱۵٪
وب سایت کنسرسیوم امنیت برنامه لیست اسکنرهای رایگان و تجاری در دسترس را در اینجا فراهم نموده است: http://projects.webappsec.org/w/page/13246988/Web%20Application%20Security%20Scanner%20List
اسکنرهای متن باز و تجاری[ویرایش]
| نام ابزار | نوع |
|---|---|
| Acutenix [۱] | Commercial |
| Burp Suite [۲] | Commercial |
| Grabber [۳] | Open Source |
| Kyplex [۴] | Commercial SaaS |
| Mcafee [۵] | Commercial SaaS |
| Netspaker [۶] | Commercial |
| QualysGuard [۷] | Commercial SaaS |
| Zed Attack Proxy [۸] | Open Source |
نقاط قوت و ضعف[ویرایش]
مانند تمام ابزار تست، اسکنرهای امنیتی برنامه تحت وب کامل نیست، و دارای نقاط قوت و ضعف میباشد.
نقاط ضعف و محدودیت ها[ویرایش]
- ابزار رایگان معمولاً با نقص امنیتی زبان خاص موجود در زبانهایی که اخیراً به روز شده به روز نکردهاست; در حالی که این ممکن است یک اقلیتی از آسیب پذیری حمله شایسته انتظار میرود که سعی در این حملات را داشته -- بخصوص اگر بتوانند یادبگیرند که زبان وب سایت هدف چه زبانی است.
- معمولاً ممکن نیست که بدانید که یک اسکنر امنیتی خاص خوب است اگر شما برخی از داناییهای امنیتی - چگونگی آن را ندانید. واینکه صاحبان کسب و کار کوچک را به اجرای حداقل ۵ ابزار رایگان در صورتی که برای اولین بار نتیجه ای یافت نشود راضی نمایید، سخت میباشد.
- حمله کننده میتواند به صورت تئوری حملات خود را در برابر ابزار اسکن معروف به منظور یافتن حفرههایی در وب سایتهایی که به وسیله افرادی که از اسکنرهای امنیتی بیش از حد استفاده میکنند (آنها میتوانند برا مثال خطاهایی که ابزارهای اسکن به دنبالشان هستند را دنبال کنند) به منظور ساختن هزرنامهای که بات نتها را ارسال میکند. به عنوان مثال حداقل تمام ابزارهایی که در برابر مهاجمان شایسته و گسترده ضعیف هستند.
- بات نتها و سایر حملات مهاجمان که در آن میتوان نرمافزارهای مخرب که بر روی کامپیوتر غیر متصل باقیمانده را به روز رسانی نمود، همچنین مشخص کردن برخی از شبکههای استفاده شده توسط یک مقدار زیادی از کاربران نامنظم دشوار است، مانند برخی از شبکههای دانشگاهی که استفاده از کامپیوتر آموزش داده نمیشود.
- از آنجا که ابزار یک روش آزمایش پویا را پیادهسازی میکنند، نمیتواند ۱۰۰٪ کد منبع برنامه را پوشش داده و سپس نرمافزار به خودی خود را.
تست کننده نفوذ باید در پوشش نرمافزار وب یا سطح حمله خودش که بداند این ابزار آیا بهطور صحیح پیکربندی شدهاست یا قادر به درک برنامه تحت وب میباشد.
- پیدا کردن نقص منظقی مانند استفاده از ضعف توابعرمزنگاری ،نشت اطلاعات, غیره برای یک ابزار مشکل است.
- حتی برای نقص فنی، اگر برنامه وب سرنخهای کافی فراهم نکند، ابزار نمیتواند آنها را متوجه شود.
- این ابزار نمیتواند همه انواع حملات برای آسیب پذیری داده شدهاست را پیادهسازی کند. بنابراین ابزار بهطور کلی یک لیست از پیش تعریف شده از حملات را داشته و دنبالههای حمله را که بر اساس برنامه تحت وب تست شده را تولید نمیکنند.
- ابزار معمولاً در درک خود از رفتار نرمافزارها محتوای پویا محدودند مانند جاوااسکریپت,ادوبی فلشو غیره.
- این ابزار برای حفرههای مهندسی اجتماعی که به سادگی برای مهاجمان شایسته آشکار هستند.
- گزارشهای اخیر نشان داده که فناوری نرمافزار برتر توسط بسیاری از برنامه اسکنرهای وب نادیده گرفته شده شامل JSON (مانند JQuery و)، REST، و گوگل WebTookit در برنامههای کاربردی AJAX، فلش راه دور (AMF) و HTML۵، بعلاوه برنامههای تلفن همراه و خدمات وب سایت با استفاده از JSONو REST. فناوریهای SOAP XML-RPC و مورد استفاده در خدمات وب سایت، و گردش کار پیچیده مانند سبد خرید، و نشانه CSRF / XSRF نیز در فهرست قرار گرفتند.[۴]
نقاط قوت[ویرایش]
- این ابزار میتواند آسیب پذیری نامزدهای انتشار نهایی قبل از حمل و نقل را تشخیص دهد.
- اسکنرها یک کاربر مخرب را با حمله و بررسی، همچنین مشاهده اینکه چه نتایجی بخشی از مجموعه نتایج مورد انتظار نیست، شبیه سازی میکند.
- به عنوان یک ابزار تست پویا، اسکنر وب وابسته به زبان نیست. اسکنر برنامه وب قادر به اسکن جاوا / JSP، PHP یا هر موتور برنامه وب محور میباشد.
- مهاجمان از همان ابزار استفاده نموده، بنابراین در صورتی که ابزار میتواند یک آسیب پذیری را پیدا کند، بنابراین مهاحم نیز میتواند.
پانویس[ویرایش]
- ↑ https://web.archive.org/web/20090414015959/http://sites.google.com/site/wassec/technical-draft Technicaldraft - WASC - WASSEC
- ↑ Cite web |url=http://www.privacyrights.org/data-breach/new/%7Ctitle=Chronology بایگانیشده در ۲۴ سپتامبر ۲۰۱۵ توسط Wayback Machine of Data Breaches|publisher=Privacy Rights Clearinghouse|date=9 July 2012|accessdate=9 July 2012
- ↑ https://en.wikipedia.org/wiki/Web_application_security_scanner#cite_note-3
- ↑ http://www.securityweek.com/web-application-scanners-challenged-modern-web-technologies
پیوند به بیرون[ویرایش]
- Web Application Security Scanner Evaluation Criteria from the Web Application Security Consortium (WASC)
- Web Application Vulnerability Scanners, a wiki operated by the مؤسسه ملی فناوری و استانداردها
- Challenges faced by automated web application security assessment from Robert Auger
- The WASC security scanner list
- List of Web-based Application Scanners, Mosaic Security Research
- Identifying Web Applications from Fabian Mihailowitsch