自動化掃描工具只能檢測到部分常見的漏洞(如跨站腳本、SQL注入等),不是針對用戶代碼的,也就是說不能理解業務邏輯,無法對這些漏洞做進一步業務上的判斷。往往最嚴重的安全問題並不是常見的漏洞,而是通過這些漏洞針對業務邏輯和應用的攻擊。
Web目前分為應用程序和Web服務兩部分。應用程序指通常意義上的Web應用,而Web服務是一種面向服務的架構的技術,通過標准的Web協議(如HTTP、XML、SOAP、WSDL)提供服務。
1.AppScan application掃描測試
利用自動化的Web安全掃描工具AppScan進行掃描,以發現Web應用中存在的常見漏洞
1、測試條件
已知Web服務器域名或IP地址、Web業務運行正常
2、執行步驟
AppScan application掃描測試:
- 雙擊運行AppScan,選擇file—new新建掃描,選擇掃描模板default
- 彈出掃描配置對話框,選擇掃描類型,默認為Web Application Scan,點擊next
- 在Starting URL中填入需掃描的目標服務器域名或IP地址,其他配置不需修改,點擊next
- 選擇No Login,點擊next
- 不需修改任何參數,點擊next
- 不需修改參數,選擇Start a full automatic scan,點擊finish完成配置,開始掃描
- 掃描完成,保存掃描結果,並對結果進行分析
AppScan Web Service:
- 雙擊運行AppScan,選擇file—new新建掃描,選擇掃描模板default
- 彈出掃描配置對話框,選擇掃描類型,默認為Web Service Scan,點擊next
- 在Starting URL中填入需掃描的目標服務器域名或IP地址,其他配置不需修改,點擊next
- 不需修改任何參數,點擊next
- 不需修改任何參數,點擊Finish完成配置,開始掃描
掃描完成,保存掃描結果,並對結果進行分析
2.Acunetix Web Vulnerability
利用自動化的Web安全掃描工具Acunetix Web Vulnerability進行掃描,以發現Web應用中存在的常見漏洞
1、測試條件
已知Web服務器域名或IP地址、Web業務運行正常
2、執行步驟
Acunetix Web Vulnerability掃描測試:
- 雙擊運行Acunetix Web Vulnerability,選擇new scan新建掃描,添加scan type
- 彈出掃描配置對話框,填入需掃描的目標服務器域名或IP地址,其他配置不需修改,點擊next,選擇掃描模板default
- 選擇No Login,或者new Login,點擊next
- 不需修改任何參數,點擊next
- 不需修改參數,點擊finish完成配置,開始掃描
- 掃描完成,保存掃描結果,並對結果進行分析
3、備注
注意:掃描工具的執行對被測系統的性能影響比較大,而且可能導致一些垃圾數據,建議只在測試環境執行。
由於自動化工具在很多情況下只是提示一種漏洞存在的可能,因此需要對所有的結果進行人工的分析判斷。分析過程參考以下章節的測試項,使用輔助工具或者是手動驗證。
業界常用的自動化掃描工具還有WebInspcet,NStalker,netspker, w3af GUI、NETSPARKER、IronWASP。在有條件的情況下,可以綜合使用。