自动化扫描工具只能检测到部分常见的漏洞(如跨站脚本、SQL注入等),不是针对用户代码的,也就是说不能理解业务逻辑,无法对这些漏洞做进一步业务上的判断。往往最严重的安全问题并不是常见的漏洞,而是通过这些漏洞针对业务逻辑和应用的攻击。
Web目前分为应用程序和Web服务两部分。应用程序指通常意义上的Web应用,而Web服务是一种面向服务的架构的技术,通过标准的Web协议(如HTTP、XML、SOAP、WSDL)提供服务。
1.AppScan application扫描测试
利用自动化的Web安全扫描工具AppScan进行扫描,以发现Web应用中存在的常见漏洞
1、测试条件
已知Web服务器域名或IP地址、Web业务运行正常
2、执行步骤
AppScan application扫描测试:
- 双击运行AppScan,选择file—new新建扫描,选择扫描模板default
- 弹出扫描配置对话框,选择扫描类型,默认为Web Application Scan,点击next
- 在Starting URL中填入需扫描的目标服务器域名或IP地址,其他配置不需修改,点击next
- 选择No Login,点击next
- 不需修改任何参数,点击next
- 不需修改参数,选择Start a full automatic scan,点击finish完成配置,开始扫描
- 扫描完成,保存扫描结果,并对结果进行分析
AppScan Web Service:
- 双击运行AppScan,选择file—new新建扫描,选择扫描模板default
- 弹出扫描配置对话框,选择扫描类型,默认为Web Service Scan,点击next
- 在Starting URL中填入需扫描的目标服务器域名或IP地址,其他配置不需修改,点击next
- 不需修改任何参数,点击next
- 不需修改任何参数,点击Finish完成配置,开始扫描
扫描完成,保存扫描结果,并对结果进行分析
2.Acunetix Web Vulnerability
利用自动化的Web安全扫描工具Acunetix Web Vulnerability进行扫描,以发现Web应用中存在的常见漏洞
1、测试条件
已知Web服务器域名或IP地址、Web业务运行正常
2、执行步骤
Acunetix Web Vulnerability扫描测试:
- 双击运行Acunetix Web Vulnerability,选择new scan新建扫描,添加scan type
- 弹出扫描配置对话框,填入需扫描的目标服务器域名或IP地址,其他配置不需修改,点击next,选择扫描模板default
- 选择No Login,或者new Login,点击next
- 不需修改任何参数,点击next
- 不需修改参数,点击finish完成配置,开始扫描
- 扫描完成,保存扫描结果,并对结果进行分析
3、备注
注意:扫描工具的执行对被测系统的性能影响比较大,而且可能导致一些垃圾数据,建议只在测试环境执行。
由于自动化工具在很多情况下只是提示一种漏洞存在的可能,因此需要对所有的结果进行人工的分析判断。分析过程参考以下章节的测试项,使用辅助工具或者是手动验证。
业界常用的自动化扫描工具还有WebInspcet,NStalker,netspker, w3af GUI、NETSPARKER、IronWASP。在有条件的情况下,可以综合使用。