Acunetix Web Vulnerability Scanner (WVS) Hands on Review

acunetix web vulnerability scanner security testing tool

Probeer Ons Instrument Voor Het Oplossen Van Problemen

Selecteer Het Besturingssysteem Kies Een Projectieprogramma (Optioneel)

Beschrijf Uw Probleem

Webapplicaties en websites zijn tegenwoordig kerncomponenten van elk bedrijf. Naarmate het aantal websites toeneemt, zijn aanvallers ook actiever in het hacken van websites en het stelen van belangrijke bedrijfsgegevens.

Met deze dreiging wordt het belangrijk om het scannen van kwetsbaarheden op websites als onderdeel van volledige testcyclus

Vandaag gaan we een tool voor een beveiligingsaudit van webapplicaties en websites - Acunetix Web Vulnerability Scanner (WVS). Acunetix WVS is de tool bij uitstek voor SQL-injectie testen Cross-site scripting (XSS) en OWASP top 10 van andere kwetsbaarheden.

Wat je leert:

Hands-on Acunetix Web Vulnerability Scanner Review
Een online kwetsbaarheidsscan uitvoeren
Met een wachtwoord beveiligde delen van een website scannen
Resultaten van de kwetsbaarheidsscan van de website
Tests opnieuw uitvoeren na de kwetsbaarheidscorrectie
Rapportage van webkwetsbaarheidsscans
Technologie dekking
DeepScan Engine om Ajax en JavaScript te verwerken
AcuSensor voor nauwkeurige en uitgebreide scan
AcuMonitor
Acunetix web kwetsbaarheidsscanner downloaden:
Slotopmerkingen
Aanbevolen literatuur

Hands-on Acunetix Web Vulnerability Scanner Review

Acunetix WVS is een geautomatiseerde beveiligingstest voor webapplicaties, opgericht om de toename van aanvallen op de webapplicatielaag tegen te gaan. Acunetix WVS controleert de beveiliging van een website door een reeks aanvallen op de site uit te voeren. Het geeft vervolgens beknopte rapporten van eventuele kwetsbaarheden die het heeft gevonden en biedt zelfs suggesties voor het oplossen ervan.

In deze tutorial zal ik Acunetix WVS uitproberen en enkele van zijn unieke eigenschappen uitleggen.

Een online kwetsbaarheidsscan uitvoeren

Voordat ik met een scan begon, had ik een kwetsbare site nodig om te testen. Acunetix onderhoudt zijn eigen testsites die u kunt scannen om het product te testen.

http://testhtml5.vulnweb.com
http://testphp.vulnweb.com
http://testaspnet.vulnweb.com
http://testasp.vulnweb.com

Een nieuwe scan starten is net zo eenvoudig als het starten van het Scan Wizard door op het Nieuwe scan knop in de hoofdwerkbalk. De wizard leidt u door enkele opties die u kunt gebruiken om de scan aan te passen.

Acunetix WVS recensie 1

We moeten Acunetix Web Vulnerability Scanner eerst vertellen welke site we willen scannen. In dit geval blijf ik bij de PHP-testsite hierboven (d.w.z. http://testphp.vulnweb.com).

Notitie: Klik op een afbeelding voor een vergrote weergave)

Acunetix WVS recensie 2

Vervolgens moeten we een Profiel scannen Een scanprofiel is een logische groep tests die een specifieke groep tests uitvoeren. Met deze functie kunt u aanpassen welke tests u wel of niet wilt dat Acunetix WVS wordt uitgevoerd. U kunt kiezen uit de verschillende ingebouwde scanprofielen, of u kunt aangepaste scanprofielen maken die aan uw specifieke eisen voldoen.

De Standaard Het scanprofiel omvat elke test die Acunetix Web Vulnerability Scanner kan uitvoeren. Laten we echter aannemen dat ik me alleen zorgen maak over waarschuwingen met een hoog risico, ik kan de scan aanpassen om de enige test voor die kwetsbaarheden te maken.

Acunetix WVS recensie 3

Scanprofielen zijn niet de enige manier om een scan aan te passen - Scan-instelling staat toe zeer korrelig controle over uw scan. De meeste gebruikers hoeven deze instellingen niet te wijzigen, aangezien de standaardinstellingen zorgvuldig zijn geselecteerd voor de overgrote meerderheid van websites en webapplicaties. Aangezien ik echter toevallig verbinding maak met internet via een HTTP-proxy, kan ik dat vanaf hier configureren door op de knop Aanpassen naast de keuzelijst Scaninstellingen.

Acunetix WVS recensie 4

Mocht u ze nodig hebben, dan heeft Acunetix WVS ook geavanceerde opties die u kunt gebruiken als u nog meer controle nodig heeft over de pagina's die u wilt (of niet wilt) dat de scanner crawlt en scant.

U kunt selecteren welke pagina's u wilt uitsluiten van een scan met de Laat me na het crawlen de bestanden kiezen om te scannen optie, en zelfs resultaten importeren uit andere tools zoals Portswigger's BurpSuite en Telerik's Fiddler, en natuurlijk Acunetix WVS 'ingebouwde HTTP Sniffer.

Acunetix WVS recensie 5

Als black-boxscanner kan Acunetix WVS elke website of webtoepassing scannen, ongeacht de technologieën of programmeertalen die het gebruikt - het test in wezen een website of webtoepassing zonder enige voorafgaande kennis van hoe die site werkt, net als een echte aanvaller zou.

Scanoptimalisatie:

hoe je handmatige testcases schrijft met een voorbeeld

Dit gezegd hebbende, heeft Acunetix Web Vulnerability Scanner een aantal intelligente trucs in petto om de scan voor een specifieke technologie te optimaliseren. Acunetix WVS zal proberen de webtoepassing met vingerafdrukken te maken om de technologieën te detecteren die het gebruikt om de scantijd te verkorten. Bijv. Als ik een site test die is gebouwd met PHP, is er geen reden om te zoeken naar kwetsbaarheden die alleen in ASP.NET-toepassingen kunnen voorkomen.

Acunetix WVS recensie 6

Met een wachtwoord beveiligde delen van een website scannen

Omdat deze site een inlogpagina heeft, moeten we een Aanmeldingsvolgorde om de scanner instructies te geven over het inloggen op de applicatie. Dit is een essentieel onderdeel van het scanproces en iets dat meestal moeilijk of vervelend is om correct in te stellen met andere scanners.

U kunt proberen om de scanner voor u te laten inloggen (dit werkt voor de meeste eenvoudige sites met alleen een gebruikersnaam en wachtwoord), of u kunt handmatig een aanmeldingsreeks maken (werkt beter voor complexere aanmeldingen en biedt veel meer controle) .

Acunetix WVS recensie 7

Acunetix Web Vulnerability Scanner maakt het aanmaken van een aanmeldingsreeks doodeenvoudig, doorloop gewoon uw normale aanmeldingsproces van aanmelden bij een account; u zult merken dat uw acties worden opgenomen. De scanner zal deze acties opnieuw afspelen om in te loggen tijdens de scan.

Acunetix WVS recensie 8

Je kunt ook de replay-knop linksonder in het Login Sequence Recorder venster om uw acties opnieuw af te spelen om er zeker van te zijn dat alles correct werkt.

Zodra u klikt De volgende u heeft de mogelijkheid om te selecteren op welke links u niet wilt dat de scanner klikt terwijl u bent aangemeld. We willen natuurlijk niet dat de scanner tijdens een crawl of scan wordt uitgelogd van de sessie, dus ik klik op de Uitloggen link om het te beperken, maar u bent vrij om zoveel beperkingen in te stellen als u wilt.

Het is ook vermeldenswaard dat de Login Sequence Recorder ook ondersteuning biedt voor het beperken van links met nonces (eenmalige tokens in links) met behulp van jokertekens.

Acunetix WVS recensie 9

Als u klaar bent met het beperken van links, klikt u op De volgende Een aanmeldingsvolgorde alleen is niet voldoende. De scanner moet weten wanneer hij is ingelogd en wanneer hij is uitgelogd. De Login Sequence Recorder heeft een zogeheten Sessiepatroon

Een sessiepatroon is niets meer dan iets unieks tussen een aangemelde en een uitgelogde status van een webapplicatie. De Login Sequence Recorder zal dit patroon automatisch voor u detecteren; het staat u echter vrij om dit patroon aan te passen als u dat wilt.

Acunetix WVS recensie 10

Klikken Af hebben zal u vragen de zojuist gemaakte aanmeldingsvolgorde op te slaan. Dit kan op een later tijdstip worden gebruikt, zodat u niet elke keer dat u dezelfde site wilt scannen, een aanmeldingsprocedure hoeft aan te maken.

niveau 1 helpdesk interviewvragen

U krijgt dan het laatste scherm van de scanwizard te zien, waarin u de scaninstellingen die u heeft ingesteld kunt opslaan. Bovendien is Acunetix WVS slim genoeg om te identificeren of een site een ander antwoord geeft op een mobiele User-Agent-string en het zal u vragen of u uw User Agent-string wilt wijzigen om die van een iPhone of een Android-apparaat te zeggen - handig als uw site mobielvriendelijk is.

Resultaten van de kwetsbaarheidsscan van de website

Nadat het crawlen en scannen is voltooid, geeft Acunetix WVS een lijst weer met zeer ernstige kwetsbaarheden die het op de testsite heeft gedetecteerd.

Op het moment dat u op een specifieke kwetsbaarheid klikt (in dit geval SQL Injection), onthult Acunetix WVS niet alleen welke invoerparameter kwetsbaar is, maar toont het ook varianten van een aanval op die parameter.

Acunetix WVS Scan resultaat

Door een van de varianten van kwetsbaarheid te selecteren, wordt de kwetsbaarheid gedetailleerd uitgelegd. De scanner geeft eerst een samenvatting van de kwetsbaarheid en legt vervolgens uit wat de impact van een dergelijke kwetsbaarheid is en hoe de kwetsbaarheid kan worden verholpen.

Als je Acunetix AcuSensor hebt geïnstalleerd (dit is optioneel), zal een server-side component voor PHP- en .NET-applicaties die communiceren met Acunetix WVS-resultaten voor kwetsbaarheden zoals SQL Injection zelfs het bestand en de kwetsbare regel code bevatten!

Acunetix WVS SQL-injectie

De waarschuwing geeft u dan meer informatie met een uitgebreidere uitleg van het probleem, evenals meer details over hoe u de kwetsbaarheid kunt oplossen, samen met een lijst met referentie-URL's waar u meer over het onderwerp kunt lezen, voor het geval de scanner iets gevonden dat u niet helemaal kent.

Tests opnieuw uitvoeren na de kwetsbaarheidscorrectie

Het opnieuw uitvoeren van de scan vanaf het begin is uiteraard een manier om te controleren of de oplossing voor een gedetecteerde kwetsbaarheid succesvol is. Acunetix WVS heeft echter een erg handig Test opnieuw voorzien zijn van.

Klik met de rechtermuisknop op een melding die u opnieuw wilt testen en selecteer Alert (s) opnieuw testen De tests die die kwetsbaarheid hebben gedetecteerd, worden opnieuw uitgevoerd en het nieuwe resultaat wordt weergegeven. Als de kwetsbaarheid is opgelost, markeert Acunetix deze in een grijs, doorgehaald lettertype.

Acunetix WVS opnieuw testen

Rapportage van webkwetsbaarheidsscans

Vanaf hier kunt u de resultaten van de scan opslaan of een verscheidenheid aan gemakkelijk te begrijpen rapporten genereren. U kunt rapporten genereren door op het Verslaggever knop in de hoofdwerkbalk.

Acunetix WVS recensie 15

Wanneer de Acunetix Web Vulnerability Scanner Reporter wordt geladen, krijgt u een selectie van rapporten te zien waaruit u kunt kiezen. Als u op zoek bent naar rapporten op hoog niveau, is de Betrokken items Managementsamenvatting , en Snel rapport bieden een verscheidenheid aan beknopte rapporten om uit te kiezen.

Acunetix WVS recensie 16

Als u daarentegen op zoek bent naar nalevingsrapporten, kan de Acunetix-reporter rapporten genereren die zijn afgestemd op een nalevingsstandaard van uw keuze, of dat nu de OWASP Top 10, PCI, HIPPA of een van de andere beschikbare nalevingsrapporten is. Deze rapporten worden periodiek bijgewerkt om altijd in lijn te zijn met de laatste versie van een nalevingsstandaard.

Acunetix Rapporttypen

Het meest gedetailleerde rapport is het Ontwikkelaarsrapport Dit rapport is ook in hoge mate configureerbaar, waardoor de gebruiker alleen de nodige informatie in het rapport kan opnemen.

Acunetix Single scan rapportwizard

Klikken Genereer zal een rapport produceren dat u kunt opslaan in pdf, html en andere formaten om te delen met collega's en andere belanghebbenden.

software om dvd naar computer te kopiëren

Samenvatting Pagina:

Acunetix rapport overzichtspagina

Alert Samenvatting:

Alert Samenvatting

Waarschuwingsdetails:

Waarschuwingsdetails

Technologie dekking

We hebben al besproken dat Acunetix een zwarte doos scanner , en daarom, zolang een site toegankelijk is via HTTP of HTTPS, kan deze worden gescand, maar de scanner is erg 'intelligent' als het gaat om het uitzoeken van kwetsbaarheden die endemisch zijn voor bepaalde frameworks en technologieën - van PHP, NET, Ruby on Rails en verschillende populaire Java-frameworks helemaal tot CMS'en zoals WordPress en zijn plug-ins. Acunetix WVS kan een site identificeren en controleren op basis van welke technologiestack een site draait.

DeepScan Engine om Ajax en JavaScript te verwerken

Daarnaast biedt Acunetix Web Vulnerability Scanner volledige ondersteuning voor HTML5 en kan DOM-gebaseerde XSS met een zeer hoge mate van nauwkeurigheid detecteren. Dit is te danken aan de innovatieve DeepScan-engine, een volledig werkende headless-browser die nauw is geïntegreerd met de crawler en die Acunetix WVS een volledig begrip geeft van wat er op een pagina gebeurt, evenals de mogelijkheid om het steeds populairder wordende JavaScript uit te voeren en ermee te communiceren. en AJAX-zware applicaties die overal op internet verschijnen.

Om het nog gemakkelijker te maken voor ontwikkelaars van webapplicaties om DOM-gebaseerde XSS-kwetsbaarheden op te sporen, biedt Acunetix WVS de gebruiker ook een stacktracering van hoe de XSS-payload door het Document Object Model (DOM) van de browser stroomde.

Acunetix WVS DeepScan Engine

AcuSensor voor nauwkeurige en uitgebreide scan

Zoals we al hebben gezien, is AcuSensor een optioneel onderdeel (inbegrepen bij Acunetix WVS) dat op de server wordt geïnstalleerd en beschikbaar is voor zowel PHP- als .NET-toepassingen. Het gebruik van AcuSensor biedt wat bekend staat als Interactive Application Security Testing (IAST).

De installatie voor zowel PHP als .NET is heel eenvoudig, en met.NET is het niet nodig om DLL's opnieuw te compileren - u kunt gewoon injecteren en een injectie AcuSensor vanuit vooraf gecompileerde .NET DLL's.

De meeste black-box-scanners voor webtoepassingen (inclusief Acunetix WVS zonder AcuSensor) kunnen niet zien hoe code zich gedraagt terwijl deze wordt uitgevoerd. Aan de andere kant van het spectrum kunnen analysetools voor broncode niet altijd begrijpen wat er gebeurt als de code wordt uitgevoerd.

Acunetix AcuSensor brengt beide testmethoden samen en kan daardoor een nauwkeurigere en uitgebreidere scan bieden. Omdat de sensor kennis heeft van het backend-systeem, kan hij met een typische black-box-scanner ook kwetsbaarheden vinden in moeilijk bereikbare gebieden. Kwetsbaarheden in SQL-injectie worden bijvoorbeeld meestal gevonden via informatie die is gelekt via databasefouten, of via Blind injectie technieken. AcuSensor kan SQL Injection-kwetsbaarheden vinden in elke SQL-query; inclusief INSERT-instructies.

Zoals we al hebben gezien, kan Acunetix AcuSensor de kwetsbare regel code aangeven en zelfs aanvullende foutopsporingsinformatie rapporteren. Dit verhoogt de efficiëntie van een ontwikkelingsteam bij het oplossen van kritieke beveiligingsfouten aanzienlijk.

AcuMonitor

AcuMonitor is een set-it-and-forget-it technologie die is opgenomen als onderdeel van Acunetix WVS. Het dient als een tussendienst die op de achtergrond werkt en de scanner laat detecteren tweede bestelling kwetsbaarheden.

Second-order kwetsbaarheidstests zijn verantwoordelijk voor kwetsbaarheden die tijdens het testen geen reactie op een scanner bieden. Dergelijke kwetsbaarheden omvatten Blind XSS (ook wel Delayed XSS genoemd), XML External Entity Injection (XXE), Server Side Request Forgery (SSRF), Host Header Attacks, Email Header Injection, Password Reset Poisoning, Blind Out-of-Band SQL Injection en blind out-of-band uitvoeren van externe code; die allemaal automatisch kunnen worden gedetecteerd met AcuMonitor.

Om kwetsbaarheden van de tweede orde te detecteren, moet er een tussenpersoon zijn die de scanner bestuurt of waartoe de scanner toegang heeft. Acunetix WVS, gecombineerd met AcuMonitor, maakt automatische detectie van dergelijke kwetsbaarheden pijnloos en transparant voor de gebruiker die de scan uitvoert.

Acunetix web kwetsbaarheidsscanner downloaden:

Acunetix is online of op locatie beschikbaar. Acunetix biedt een proefperiode van 14 dagen aan Acunetix WVS , en ze bieden ook een online weergave van de scanner genaamd Acunetix OVS , die u ook 14 dagen kunt uitproberen. De enige echte manier om een product onder de knie te krijgen, is door het zelf uit te proberen.

Slotopmerkingen

Naast al het bovenstaande wordt Acunetix Web Vulnerability Scanner ook geleverd met een reeks geïntegreerde handmatige penetratietesttools. Met deze tools kunnen auditors geautomatiseerde scans uitvoeren en resultaten handmatig verifiëren zonder tussen tools te hoeven wisselen.

Acunetix WVS biedt beveiligingsprofessionals en software-ingenieurs een reeks verbluffende functies in een eenvoudig, ongecompliceerd en zeer robuust pakket. Natuurlijk kan deze recensie maar zo veel omvatten, en hoewel deze tutorial bedoeld is om een breed overzicht van het product te geven, zijn er verschillende andere handige functies die niet waren opgenomen.

Heb je gebruikt Acunetix of een andere scanner voor webkwetsbaarheid? Laat ons uw ervaring of vragen weten in onderstaande opmerkingen.

Acunetix Web Vulnerability Scanner (WVS) Beveiligingstesttool (hands-on review)

Hands-on Acunetix Web Vulnerability Scanner Review

Een online kwetsbaarheidsscan uitvoeren

Met een wachtwoord beveiligde delen van een website scannen

Resultaten van de kwetsbaarheidsscan van de website

Tests opnieuw uitvoeren na de kwetsbaarheidscorrectie

Rapportage van webkwetsbaarheidsscans

Technologie dekking

DeepScan Engine om Ajax en JavaScript te verwerken

AcuSensor voor nauwkeurige en uitgebreide scan

AcuMonitor

Acunetix web kwetsbaarheidsscanner downloaden:

Slotopmerkingen

Aanbevolen literatuur

Interessante Artikelen

Editor'S Choice

Een nieuwe Pokemon Presents is onderweg voor Pokemon Day 2022

Slechte single-player modes beperken de groei van vechtspellen

Openingsnummers van Super Mario Bros.-film breken box office-records

Sifu krijgt deze maand een aantal nieuwe gameplay-modifiers in een update

Freedom Wars: 8-persoon actie-RPG multiplayer-goodness voor PS Vita

De nieuwe YouTube-stream van Ultraman heeft nu Engelse ondertitels

Funky Kong-modus activeren! Tropical Freeze rijdt hoog in de UK Charts

10 Beste MDM-software: oplossingen voor mobiel apparaatbeheer in 2021

Review: Space Pirate Trainer

Hoe de Sky Scythe-bezem te krijgen in Hogwarts Legacy

Final Fantasy XV is een verdomde seksuele tyrannosaurus

Star Wars-acteur verliet Uncharted 4 cast na 'rare veranderingen'