Hledání správného skeneru webových aplikací; proč black-box nestačí

Acunetix AcuSensor Technology je nová bezpečnostní technologie. Oproti tradičnímu skeneru webových aplikací nabízí větší množství vyhledaných zranitelností při nižším množství falešných pozitiv. Dále informuje, kde v kódu zranitelnost hledat, a nabízí užitečné informace pro debugging.

Zvýšené přesnosti dosahuje kombinací skenovacích technik black-boxu a zpětné vazby od senzorů umístěných uvnitř zdrojového kódu. Skenování technikou black-boxu nerozpozná, jak aplikace reaguje. Analyzéry zdrojového kódu zase nerozumí tomu, jak se aplikace chová v průběhu útoku. Proto kombinace obou technik dosahuje kvalitnějších a přesnějších výsledků.

AcuSensor Technology nevyžaduje zdrojový kód v .NET; Lze ji vložit i do již zkompilované .NET aplikace. Díky tomu nepotřebujete kompilátor nebo zdrojové kódy aplikace - jedná se o obrovskou výhodu při nasazení .NET aplikací třetích stran. V případě aplikací napsaných v PHP je zdrojový kód dostupný. 

Doposud je Acunetix jediným Web Vulnerability skenerem, který tuto technologii implementuje.

Výhody nasazení Acunetix AcuSensor Technology

1. Dovolí vám rychleji vyhledat a odstranit zranitelnosti - poskytne vám více informací o zranitelnosti, například číslo řádku ve zdrojovém kódu, stack trace nebo problematický SQL dotaz.
2. Výrazně sníží počet falešných pozitiv při skenování stránky, protože rozumí internímu chování webové aplikace.
3. Dokáže vás varovat při problémech s konfikurací webové aplikace. Tyto problémy mohou jinak vést ke zranitelnostem nebo k publikování citlivých informací o aplikaci. Pokud jsou například povoleny "Custom errors" v .NET, vystavíte útočníkovi pří chybě aplikace řadu užitečných informací.
4. Detekuje vyšší množství zranitelností typu SQL injection. Dříve bylo možné tyto zranitelnosti detekovat pouze v případě, kdy databáze reportovala chyby.
5. Nabízí možnost detekce zranitelností SQL injection ve všech SQL příkazech, včetně SQL INSERT. Se skenerem ve formě black-boxu nejste schopni tyto zranitelnosti vyhledat.
6. Zná všechny soubory dostupné na web serveru. Pokud útočník získá přístup k webu a zanechá v adresáři s aplikací backdoor, AcuSensor Technology soubor objeví a informuje Vás o něm.
7. AcuSensor Technology dokáže zachytit všechny vstupy aplikace, vytvoří jejich seznam a otestuje je.
8. Nemusíte psát pravidla pro URL rewriting pro aplikace, které používají "User friendly URL"´. Díky AcuSensor Technology si je skener přepíše za běhu.
9. Testování na možnost vytvoření a odstranění libovolného souboru. Hacker může pomocí skriptu vytvořit v adresáři aplikace soubor, jehož spuštěním získá vyšší úroveň oprávnění nebo odstraní citlivé soubory.
10. Pomáhá s testováním na přítomnost email injection. Hacker může do zranitelného webového formuláře například další příjemce emailu a další informace do těla zprávy, a takto anonymně rozesílat spam.

Jak funguje

AcuSensor Technology komunikuje s webovým serverem, vyměňuje si informace o nastavení aplikace a nastavení platformy (jako je PHP nebo .NET). Jakmile je spuštěna ze skeneru Acunetix WVS, senzory získají seznam souborů z adresáře webové aplikace, včetně těch, na které z webu nevedou odkazy. Také získají seznam vstupů do webové aplikace. Díky znalosti vstupů, které aplikace očekává, může skener spustit širší rozsah testů.

Náhled 1 - schéma AcuSensor Technology

Dále umí skenovat veškeré SQL transakce mezi webovou aplikací a databází. Naváže se mezi webovou aplikaci a databázi, kde v kódu vyhledává zranitelnosti typu SQL Injection bez závislosti na reportovaných chybách databáze.

AcuSensor Technology Reporting

Zranitelnosti reportované AcuSensor Technology obsahují oproti standardním skenům daleko detailnější informace. Jak vidíte v příkladech níže, obsahují informace jako číslo řádku zdrojového kódu, výpis zásobníku, problematický SQL dotaz atd. Každá zranitelnost vyhledaná pomocí AcuSensor Technology je označena pomocí "(AS)" v titulku.

Příklad 1: SQL Injection reportovaný Acunetix AcuSensor Technology

Na náhledu níže je reportovaná SQL Injection, a to včetně obsahu, který ji způsobil. Dále je uveden výpis zásobníku, který vývojáře navede přímo k jádru problému.

Náhled 2 - SQL Injection reportovaná AcuSensor Technology

Příklad 2: Code Injection reportovaný Acunetix AcuSensor Technology

Na náhledu níže je reportovaný PHP code injection s uvedením zranitelného souboru včetně čísla řádku kódu, který zranitelnost způsobil. Vložený kód je vidět pod "Attack details".

Náhled 3 - PHP Code injection reportovaný pomocí AcuSensor Technology

Závěr

Jak jste viděli výše, použití AcuSensor Technology přináší řadu výhod. Díky poskytnutým informacím pomůže vývojářům s rychlým vyhledáním a opravou zranitelností. vývojářům také pomůže lépe pochopit chyby v kódu, i co vedlo k jejich vzniku. Vývojáři se tak naučí více o zranitelnostech, což jim do budoucna pomůže ve psaní bezpečnější kód a zlepší povědomí o bezpečnosti webových aplikací.

Stáhněte si a vyzkoušejte Trial verzi Acunetix Web Vulnerability Scanner verze 5 a zjistěte sami, jak je na tom Acunetix AcuSensor Technology ve srovnání s black boxy.

Stáhněte si white paper jako  PDF.

Články o bezpečnosti

Více článků

Dokumenty White Paper

Další dokumenty White Paper...