اسکنر امنیتی برنامه وب

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

اسکنر امنیتی کاربرد وب برنامه‌ای است که از طریق یک نرم‌افزارنهایی به منظور شناسایی آسیب پذیری‌های بالقوه در کاربرد وب و ضعف‌های معماری با آن نرم‌افزارارتباط برقرار می‌کند.[۱] این عمل یک آزمون جعبه سیاه اجرا می‌کند. برخلاف کد منبع اسکنرها، اسکنرهای برنامه‌های وب به کد منبع دسترسی نداشته و به همین دلیل تشخیصآسیب پذیری با انجام حملات مشخص می‌شود. برنامه‌های کاربردی وب از سال ۲۰۰۰ بسیار محبوب بوده است چونکه به کاربران اجازه تجربه تعاملی در اینترنت می‌دهد. فقط به جای نمایش صفحات ایستای وب، کاربران امکان ایجاد حساب‌های شخصی، اضافه کردن محتوا، پرس وجو پایگاه داده و تکمیل مبادلات را فراهم می‌کند. در فرایند تامین تجربه تعاملی نرم‌افزارهای وب غالباً جمع آوری، ذخیره و استفاده از داده‌های شخصی حساس برای تحویل به سرویس خود صورت می‌گیرد. کاربران از آسان بودن استفاده از این نرم‌افزارها بهره مند می‌شوند درحالیکه اطلاعات شخصی ذخیره شده در برنامه‌های وب تلویحااز طریق حملات هکرها، نشت خودی و غیره به خطر می‌افتد. براساس حقوق حریم خصوصی، بیش از ۱۸ میلیون سوابق مشتری در سال ۲۰۱۲ با توجه به کنترل‌های امنیتی ناکافی در داده‌های شرکت‌های بزرگ و برنامه‌های کاربردی وب به خطر افتاده است.[۲]

مرور[ویرایش]

یک اسکنر امنیتی برنامه وب باعث تسهیل بررسی خودکار یک برنامه وب با هدف بیان شده برای کشف آسیب پذیری‌های امنیتی و مورد نیاز برای تطابق با الزامات قانونی مختلف می‌شود. اسکنرهای برنامه وب می‌تواند طیف گسترده‌ای از آسیب پذیری‌ها را بررسی کند، شامل:

  • ارزیابی ورودی / خروجی
  • مشکل‌های برنامه خاص
  • پیکربندی سرور مشکلات/خطاها / نسخه

در یک گزارش کپی رایت در مارس ۲۰۱۲ توسط فروشنده امنیتی منتشر شده است cenzic. شایع ترین آسیب پذیری‌های نرم‌افزار در برنامه‌هایی که اخیراً مورد آزمایش قرار گرفته عبارتند از:[۳]

وب سایت کنسرسیوم امنیت برنامه لیست اسکنرهای رایگان و تجاری در دسترس را در اینجا فراهم نموده است: http://projects.webappsec.org/w/page/13246988/Web%20Application%20Security%20Scanner%20List

اسکنرهای متن باز و تجاری[ویرایش]

نام ابزار نوع
Acutenix [۱] Commercial
Burp Suite [۲] Commercial
Grabber [۳] Open Source
Kyplex [۴] Commercial SaaS
Mcafee [۵] Commercial SaaS
Netspaker [۶] Commercial
QualysGuard [۷] Commercial SaaS
Zed Attack Proxy [۸] Open Source

نقاط قوت و ضعف[ویرایش]

مانند تمام ابزار تست، اسکنرهای امنیتی برنامه تحت وب کامل نیست، و دارای  نقاط قوت و ضعف می‌باشد.

نقاط ضعف و محدودیت ها[ویرایش]

  • ابزار رایگان معمولاً با نقص امنیتی زبان خاص موجود در زبان‌هایی که اخیراً به روز شده به روز نکرده است; در حالی که این ممکن است یک اقلیتی از آسیب پذیری حمله شایسته انتظار می‌رود که سعی در این حملات را داشته -- بخصوص اگر بتوانند یادبگیرند که زبان وب سایت هدف چه زبانی است.
  • معمولاً ممکن نیست که بدانید که یک اسکنر امنیتی خاص خوب است اگر شما برخی از دانایی‌های امنیتی - چگونگی آن را ندانید. واینکه صاحبان کسب و کار کوچک را به اجرای حداقل ۵ ابزار رایگان در صورتی که برای اولین بار نتیجه ای یافت نشود راضی نمایید، سخت می‌باشد.
  • حمله کننده می‌تواند به صورت تئوری حملات خود را در برابر ابزار اسکن معروف به منظور یافتن حفره‌هایی در وب سایت‌هایی که به وسیله افرادی که از اسکنرهای امنیتی بیش از حد استفاده می‌کنند (آنها می‌توانند برا مثال خطاهایی که ابزارهای اسکن به دنبالشان هستند را دنبال کنند) به منظور ساختن هزرنامه‌ای که بات نت‌ها را ارسال می‌کند. به عنوان مثال حداقل تمام ابزارهایی که در برابر مهاجمان شایسته و گسترده ضعیف هستند.
  • بات نت‌ها و سایر حملات مهاجمان که در آن می‌توان نرم‌افزارهای مخرب که بر روی کامپیوتر غیر متصل باقی‌مانده را به روز رسانی نمود، همچنین مشخص کردن برخی از شبکه‌های استفاده شده توسط یک مقدار زیادی از کاربران نامنظم دشوار است، مانند برخی از شبکه‌های دانشگاهی که استفاده از کامپیوتر آموزش داده نمی‌شود.
  • از آنجا که ابزار یک روش آزمایش پویا را پیاده سازی می‌کنند، نمی‌تواند ۱۰۰٪ کد منبع برنامه را پوشش داده و سپس نرم‌افزار به خودی خود را.

تست کننده نفوذ باید در پوشش نرم‌افزار وب یا سطح حمله خودش که بداند این ابزار آیا به طور صحیح پیکربندی شده است یا قادر به درک برنامه تحت وب می‌باشد.

  • پیدا کردن نقص منظقی مانند استفاده از ضعف توابعرمزنگاری ،نشت اطلاعات, غیره برای یک ابزار مشکل است.
  • حتی برای نقص فنی، اگر برنامه وب سرنخ‌های کافی فراهم نکند، ابزار نمی‌تواند آنها را متوجه شود.
  • این ابزار نمی‌تواند همه انواع حملات برای آسیب پذیری داده شده است را پیاده سازی کند. بنابراین ابزار به طور کلی یک لیست از پیش تعریف شده از حملات را داشته و دنباله‌های حمله را که بر اساس برنامه تحت وب تست شده را تولید نمی‌کنند.
  • ابزار معمولاً در درک خود از رفتار نرم‌افزارها محتوای پویا محدودند مانند جاوااسکریپت,ادوبی فلشو غیره.
  • این ابزار برای حفره‌های مهندسی اجتماعی که به سادگی برای مهاجمان شایسته آشکار هستند.
  • گزارش‌های اخیر نشان داده که فناوری نرم‌افزار برتر توسط بسیاری از برنامه اسکنرهای وب نادیده گرفته شده شامل JSON (مانند JQuery و)، REST، و گوگل WebTookit در برنامه‌های کاربردی AJAX، فلش راه دور (AMF) و HTML۵، بعلاوه برنامه‌های تلفن همراه و خدمات وب سایت با استفاده از JSONو REST. فناوری‌های SOAP XML-RPC و مورد استفاده در خدمات وب سایت، و گردش کار پیچیده مانند سبد خرید، و نشانه CSRF / XSRF نیز در فهرست قرار گرفتند.[۴]

نقاط قوت[ویرایش]

  • این ابزار می‌تواند آسیب پذیری نامزدهای انتشار نهایی قبل از حمل و نقل را تشخیص دهد.
  • اسکنرها یک کاربر مخرب را با حمله و بررسی، همچنین مشاهده اینکه چه نتایجی بخشی از مجموعه نتایج مورد انتظار نیست، شبیه سازی می‌کند.
  • به عنوان یک ابزار تست پویا، اسکنر وب وابسته به زبان نیست. اسکنر برنامه وب قادر به اسکن جاوا / JSP، PHP یا هر موتور برنامه وب محور می‌باشد.
  • مهاجمان از همان ابزار استفاده نموده، بنابراین در صورتی که ابزار می‌تواند یک آسیب پذیری را پیدا کند، بنابراین مهاحم نیز می‌تواند.

پانویس[ویرایش]

پیوند به بیرون[ویرایش]