حساب کاربری
​
زمان تقریبی مطالعه: 5 دقیقه
لینک کوتاه

اسکنر امنیتی برنامه وب

اسکنر امنیتی برنامهٔ وب برنامه‌ای است که با ارتباط‌برقرارکردن با برنامهٔ وب از راه رابطِ کاربرِ نهایی، تلاش می‌کند آسیب‌پذیری‌های بالقوه در برنامهٔ کاربردی وب و ضعف‌های ساختاری آن را شناسایی کند. این عمل یک آزمون جعبه سیاه اجرا می‌کند. برخلاف کد منبع اسکنرها، اسکنرهای برنامه‌های وب به کد منبع دسترسی نداشته و به همین دلیل تشخیصآسیب پذیری با انجام حملات مشخص می‌شود. برنامه‌های کاربردی وب از سال ۲۰۰۰ بسیار محبوب بوده‌است چونکه به کاربران اجازه تجربه تعاملی در اینترنت می‌دهد. فقط به جای نمایش صفحات ایستای وب، کاربران امکان ایجاد حساب‌های شخصی، اضافه کردن محتوا، پرس وجو پایگاه داده و تکمیل مبادلات را فراهم می‌کند. در فرایند تأمین تجربه تعاملی نرم‌افزارهای وب غالباً جمع آوری، ذخیره و استفاده از داده‌های شخصی حساس برای تحویل به سرویس خود صورت می‌گیرد. کاربران از آسان بودن استفاده از این نرم‌افزارها بهره مند می‌شوند درحالیکه اطلاعات شخصی ذخیره شده در برنامه‌های وب تلویحااز طریق حملات هکرها، نشت خودی و غیره به خطر می‌افتد. براساس حقوق حریم خصوصی، بیش از ۱۸ میلیون سوابق مشتری در سال ۲۰۱۲ با توجه به کنترل‌های امنیتی ناکافی در داده‌های شرکت‌های بزرگ و برنامه‌های کاربردی وب به خطر افتاده است.

فهرست

  • ۱ مرور
  • ۲ اسکنرهای متن باز و تجاری
  • ۳ نقاط قوت و ضعف
    • ۳.۱ نقاط ضعف و محدودیت ها
    • ۳.۲ نقاط قوت
  • ۴ پانویس
  • ۵ پیوند به بیرون

مرور

یک اسکنر امنیتی برنامه وب باعث تسهیل بررسی خودکار یک برنامه وب با هدف بیان شده برای کشف آسیب پذیری‌های امنیتی و مورد نیاز برای تطابق با الزامات قانونی مختلف می‌شود. اسکنرهای برنامه وب می‌تواند طیف گسترده‌ای از آسیب پذیری‌ها را بررسی کند، شامل:

  • ارزیابی ورودی / خروجی
  • مشکل‌های برنامه خاص
  • پیکربندی سرور مشکلات/خطاها / نسخه

در یک گزارش کپی رایت در مارس ۲۰۱۲ توسط فروشنده امنیتی منتشر شده‌است cenzic. شایع‌ترین آسیب پذیری‌های نرم‌افزار در برنامه‌هایی که اخیراً مورد آزمایش قرار گرفته عبارتند از:

  • تزریق اسکریپت از طریق وب‌گاه, ۳۷٪
  • تزریق به پایگاه داده, ۱۶٪
  • Path Disclosure, ۵٪
  • حمله محروم‌سازی از سرویس, ۵٪
  • Code Execution, ۴٪
  • Memory Corruption, ۴٪
  • جعل درخواست میان‌وب‌گاهی, ۴٪
  • Information Disclosure, ۳٪
  • Arbitrary File, ۳٪
  • Local File Include, ۲٪
  • گنجاندن فایل از راه دور, ۱٪
  • Overflow ۱٪
  • Other, ۱۵٪

وب سایت کنسرسیوم امنیت برنامه لیست اسکنرهای رایگان و تجاری در دسترس را در اینجا فراهم نموده است: http://projects.webappsec.org/w/page/13246988/Web%20Application%20Security%20Scanner%20List

اسکنرهای متن باز و تجاری

نام ابزارنوع
Acutenix [۱]Commercial
Burp Suite [۲]Commercial
Grabber [۳]Open Source
Kyplex [۴]Commercial SaaS
Mcafee [۵]Commercial SaaS
Netspaker [۶]Commercial
QualysGuard [۷]Commercial SaaS
Zed Attack Proxy [۸]Open Source

نقاط قوت و ضعف

مانند تمام ابزار تست، اسکنرهای امنیتی برنامه تحت وب کامل نیست، و دارای  نقاط قوت و ضعف می‌باشد.

نقاط ضعف و محدودیت ها

  • ابزار رایگان معمولاً با نقص امنیتی زبان خاص موجود در زبان‌هایی که اخیراً به روز شده به روز نکرده‌است; در حالی که این ممکن است یک اقلیتی از آسیب پذیری حمله شایسته انتظار می‌رود که سعی در این حملات را داشته -- بخصوص اگر بتوانند یادبگیرند که زبان وب سایت هدف چه زبانی است.
  • معمولاً ممکن نیست که بدانید که یک اسکنر امنیتی خاص خوب است اگر شما برخی از دانایی‌های امنیتی - چگونگی آن را ندانید. واینکه صاحبان کسب و کار کوچک را به اجرای حداقل ۵ ابزار رایگان در صورتی که برای اولین بار نتیجه ای یافت نشود راضی نمایید، سخت می‌باشد.
  • حمله کننده می‌تواند به صورت تئوری حملات خود را در برابر ابزار اسکن معروف به منظور یافتن حفره‌هایی در وب سایت‌هایی که به وسیله افرادی که از اسکنرهای امنیتی بیش از حد استفاده می‌کنند (آنها می‌توانند برا مثال خطاهایی که ابزارهای اسکن به دنبالشان هستند را دنبال کنند) به منظور ساختن هزرنامه‌ای که بات نت‌ها را ارسال می‌کند. به عنوان مثال حداقل تمام ابزارهایی که در برابر مهاجمان شایسته و گسترده ضعیف هستند.
  • بات نت‌ها و سایر حملات مهاجمان که در آن می‌توان نرم‌افزارهای مخرب که بر روی کامپیوتر غیر متصل باقی‌مانده را به روز رسانی نمود، همچنین مشخص کردن برخی از شبکه‌های استفاده شده توسط یک مقدار زیادی از کاربران نامنظم دشوار است، مانند برخی از شبکه‌های دانشگاهی که استفاده از کامپیوتر آموزش داده نمی‌شود.
  • از آنجا که ابزار یک روش آزمایش پویا را پیاده‌سازی می‌کنند، نمی‌تواند ۱۰۰٪ کد منبع برنامه را پوشش داده و سپس نرم‌افزار به خودی خود را.

تست کننده نفوذ باید در پوشش نرم‌افزار وب یا سطح حمله خودش که بداند این ابزار آیا به‌طور صحیح پیکربندی شده‌است یا قادر به درک برنامه تحت وب می‌باشد.

  • پیدا کردن نقص منظقی مانند استفاده از ضعف توابعرمزنگاری ،نشت اطلاعات, غیره برای یک ابزار مشکل است.
  • حتی برای نقص فنی، اگر برنامه وب سرنخ‌های کافی فراهم نکند، ابزار نمی‌تواند آن‌ها را متوجه شود.
  • این ابزار نمی‌تواند همه انواع حملات برای آسیب پذیری داده شده‌است را پیاده‌سازی کند. بنابراین ابزار به‌طور کلی یک لیست از پیش تعریف شده از حملات را داشته و دنباله‌های حمله را که بر اساس برنامه تحت وب تست شده را تولید نمی‌کنند.
  • ابزار معمولاً در درک خود از رفتار نرم‌افزارها محتوای پویا محدودند مانند جاوااسکریپت,ادوبی فلشو غیره.
  • این ابزار برای حفره‌های مهندسی اجتماعی که به سادگی برای مهاجمان شایسته آشکار هستند.
  • گزارش‌های اخیر نشان داده که فناوری نرم‌افزار برتر توسط بسیاری از برنامه اسکنرهای وب نادیده گرفته شده شامل JSON (مانند JQuery و)، REST، و گوگل WebTookit در برنامه‌های کاربردی AJAX، فلش راه دور (AMF) و HTML۵، بعلاوه برنامه‌های تلفن همراه و خدمات وب سایت با استفاده از JSONو REST. فناوری‌های SOAP XML-RPC و مورد استفاده در خدمات وب سایت، و گردش کار پیچیده مانند سبد خرید، و نشانه CSRF / XSRF نیز در فهرست قرار گرفتند.

نقاط قوت

  • این ابزار می‌تواند آسیب پذیری نامزدهای انتشار نهایی قبل از حمل و نقل را تشخیص دهد.
  • اسکنرها یک کاربر مخرب را با حمله و بررسی، همچنین مشاهده اینکه چه نتایجی بخشی از مجموعه نتایج مورد انتظار نیست، شبیه سازی می‌کند.
  • به عنوان یک ابزار تست پویا، اسکنر وب وابسته به زبان نیست. اسکنر برنامه وب قادر به اسکن جاوا / JSP، PHP یا هر موتور برنامه وب محور می‌باشد.
  • مهاجمان از همان ابزار استفاده نموده، بنابراین در صورتی که ابزار می‌تواند یک آسیب پذیری را پیدا کند، بنابراین مهاحم نیز می‌تواند.

پانویس

  1. ↑ https://web.archive.org/web/20090414015959/http://sites.google.com/site/wassec/technical-draft Technicaldraft - WASC - WASSEC
  2. ↑ Cite web |url=http://www.privacyrights.org/data-breach/new/%7Ctitle=Chronology بایگانی‌شده در ۲۴ سپتامبر ۲۰۱۵ توسط Wayback Machine of Data Breaches|publisher=Privacy Rights Clearinghouse|date=9 July 2012|accessdate=9 July 2012
  3. ↑ https://en.wikipedia.org/wiki/Web_application_security_scanner#cite_note-3
  4. ↑ http://www.securityweek.com/web-application-scanners-challenged-modern-web-technologies

پیوند به بیرون

  • Web Application Security Scanner Evaluation Criteria from the Web Application Security Consortium (WASC)
  • Web Application Vulnerability Scanners, a wiki operated by the مؤسسه ملی فناوری و استانداردها
  • Challenges faced by automated web application security assessment from Robert Auger
  • The WASC security scanner list
  • List of Web-based Application Scanners, Mosaic Security Research
  • Identifying Web Applications from Fabian Mihailowitsch
آخرین نظرات
  • حریم خصوصی
  • کپی رایت
  • حریم خصوصی
کلیه حقوق این تارنما متعلق به فرا دانشنامه ویکی بین است.