1. Вступ
2. Що таке сканери захищеності веб-сайтів
3. Принцип роботи сканерів захищеності веб-сайтів
4. Категорії сканерів захищеності веб-сайтів
5. Короткий огляд безкоштовних сканерів захищеності веб-сайтів
6. Мережеві сканери
7. IP Tools
8. Сканери пошуку вразливостей в веб-скриптах
9. Nikto
10. Skipfish
11. Wapiti
12. Засоби пошуку експлойтів
13. Metasploit Framework
14. Nessus
15. Засоби автоматизації ін`єкцій
16. SQLMap
17. bsqlbf-v2
18. дебаггера
19. Burp Suite
20. Fiddler
21. універсальні сканери
22. Web Application Attack and Audit Framework (w3af)
23. N-Stalker Web Application Security Scanner X Free Edition
24. Висновки

В даному огляді розглядаються безкоштовні сканери захищеності веб-сайтів - дається їх визначення, описується принцип роботи, наводяться короткі огляди продуктів.

1. Введення

2. Що таке сканери захищеності веб-сайтів

3. Принцип роботи сканерів захищеності веб-сайтів

4. Категорії сканерів захищеності сайтів

5. Короткий огляд безкоштовних сканерів захищеності веб-сайтів

5.1. Мережеві сканери

5.1.1. Nmap

5.1.2. IP Tools

5.2. Сканери пошуку уразливостей у веб-скриптах

5.2.1. Nikto

5.2.2. Skipfish

5.2.3. Wapiti

5.3. Засоби пошуку експлойтів

5.3.1. Metasploit Framework

5.3.2. Nessus

5.4. Засоби автоматизації ін'єкцій

5.4.1. SQLMap

5.4.2. bsqlbf-v2

5.5. дебаггера

5.5.1. Burp Suite

5.5.2. Fiddler

5.6. універсальні сканери

5.6.1. Web Application Attack and Audit Framework (w3af)

5.6.2. N-Stalker Web Application Security Scanner X Free Edition

6. Висновки

Вступ

У сучасному бізнесі веб-технології набули величезної популярності. Більшість сайтів великих компаній являють собою набір додатків, що володіють інтерактивністю, засобами персоналізації, засобами взаємодії з клієнтами (інтернет-магазини, дистанційне банківське обслуговування), а нерідко - і засобами інтеграції з внутрішніми корпоративними додатками компанії.

Однак як тільки веб-сайт стає доступним в інтернеті, він перетворюється в мішень для кібератак. Найбільш простим способом атак на веб-сайт сьогодні є використання вразливостей його компонентів. І основна проблема полягає в тому, що уразливості стали цілком звичайним явищем для сучасних будинків.

Уразливості представляють собою неминучу і зростаючу загрозу. Вони, здебільшого, є результатами дефектів безпеки в коді веб-додатки і неправильної конфігурації компонентів веб-сайту.

Наведемо трохи статистики. За даними зі звіту про кіберзагрози за перше півріччя 2016 року High-Tech Bridge releases web security trends of the first half of 2016 , Який підготувала компанія High-Tech Bridge:

• понад 60% веб-сервісів або API для мобільних додатків містять принаймні одну небезпечну вразливість, що дозволяє скомпрометувати базу даних;
• 35% уразливих до XSS-атак сайтів також уразливі до SQL-ін'єкцій і XXE-атакам,
• 23% сайтів містять вразливість POODLE, і тільки 0,43% - Heartbleed;
• в 5 разів почастішали випадки експлуатації небезпечних вразливостей (наприклад, дозволяють здійснити SQL-ін'єкцію) в ході атак RansomWeb;
• 79,9% веб-серверів мають неправильно сконфігуровані або небезпечні заголовки http;
• актуальні на сьогоднішній день необхідні оновлення та виправлення встановлені тільки на 27,8% веб-серверів.

Для захисту веб-ресурсів фахівці з інформаційної безпеки використовують різний набір засобів. Наприклад, для шифрування трафіку застосовують SSL-сертифікати, а на периметрі веб-серверів встановлюють Web Application Firewall (WAF), які вимагають серйозної настройки і довгого самонавчання. Не менш ефективним засобом забезпечення безпеки веб-сайтів є і періодична перевірка стану захищеності (пошук вразливостей), а інструментами для проведення таких перевірок служать сканери захищеності веб-сайтів, про які й піде мова в цьому огляді.

На нашому сайті вже був огляд, присвячений сканерів захищеності веб-додатків - « Сканери захищеності веб-додатків (WASS) - огляд ринку в Росії і в світі », В якому розглядалися продукти лідерів ринку. У цьому огляді ми вже не будемо зачіпати ці теми, а сфокусуємо увагу на огляді безкоштовних сканерів захищеності веб-сайтів.

Тема безкоштовного програмного забезпечення сьогодні особливо актуальна. Через нестабільну економічну ситуацію в Росії зараз в багатьох організаціях (як і в комерційних, так і в державному секторі) йде оптимізація ІТ-бюджету, і коштів на покупку дорогих комерційних продуктів для аналізу захищеності систем часто не вистачає. При цьому існує безліч безкоштовних (free, open source) утиліт для пошуку вразливостей, про які люди просто не знають. Причому деякі з них не поступаються за функціональними можливостями своїм платним конкурентам. Тому у цій статті розповімо про найцікавіші безкоштовних сканерах захищеності веб-сайтів.

Що таке сканери захищеності веб-сайтів

Сканери захищеності веб-сайтів - це програмні (програмно-апаратні) засоби, що здійснюють пошук дефектів веб-додатків (вразливостей), які призводять спричиняє порушення цілісності системних або призначених для користувача даних, їх крадіжці або отримання контролю над системою загалом.

За допомогою сканерів захищеності веб-сайтів можна виявити уразливості наступних категорій:

• уразливості етапу кодування;
• уразливості етапу впровадження та конфігурації веб-додатки;
• уразливості етапу експлуатації сайту.

До уязвимостям етапу кодування відносяться уразливості, пов'язані з некоректною обробкою вхідних і вихідних даних (SQL-ін'єкції, XSS).

До уязвимостям етапу впровадження веб-сайту належать уразливості, пов'язані з некоректними налаштуваннями оточення веб-додатки (веб-сервера, сервера додатків, SSL / TLS, фреймворк, сторонні компоненти, наявність DEBUG-режиму і т. П.).

До уязвимостям етапу експлуатації веб-сайту належать уразливості, пов'язані з використанням застарілого ПЗ, простих паролів, зберіганням архівних копій на веб-сервері в загальному доступі, наявністю в загальному доступі службових модулів (phpinfo) і т.п.

Принцип роботи сканерів захищеності веб-сайтів

В загальному випадку принцип роботи сканера захищеності сайтів полягає в наступному:

• Збір інформації про досліджуваний об'єкт.
• Аудит програмного забезпечення веб-сайту на предмет вразливостей по базах вразливостей.
• Виявлення слабких місць системи.
• Формування рекомендацій щодо їх усунення.

Категорії сканерів захищеності веб-сайтів

Сканери захищеності сайтів, в залежності від їх призначення, можна розділити на наступні категорії (типи):

• Мережеві сканери - даний тип сканерів розкриває доступні мережеві сервіси, встановлює їх версії, визначає ОС і т. Д.
• Сканери пошуку вразливостей в веб-скриптах - даний тип сканерів здійснює пошук вразливостей, таких як SQL inj, XSS, LFI / RFI і т. Д., Або помилок (не видалені тимчасові файли, індексація директорій і т. П.).
• Засоби пошуку експлойтів - даний тип сканерів призначений для автоматизованого пошуку експлойтів в програмному забезпеченні і скриптах.
• Засоби автоматизації ін'єкцій - утиліти, які конкретно займаються пошуком і експлуатацією ін'єкцій.
• Дебаггера - кошти для виправлення помилок і оптимізації коду в веб-додатку.

Існують також і універсальні утиліти, які включають в себе можливості відразу декількох категорій сканерів.

Далі буде наведено короткий огляд безкоштовних сканерів захищеності веб-сайтів. Оскільки безкоштовних утиліт дуже багато, в огляд включені тільки найпопулярніші безкоштовні інструменти для аналізу захищеності веб-технологій. При включенні в огляд тієї або іншої утиліти аналізувалися спеціалізовані ресурси з тематики безпеки веб-технологій:

Короткий огляд безкоштовних сканерів захищеності веб-сайтів

Мережеві сканери

Nmap

Тип сканера: мережевий сканер.

Nmap (Network Mapper) - це безкоштовна утиліта з відкритим вихідним кодом. Вона призначена для сканування мереж з будь-якою кількістю об'єктів, визначення стану об'єктів сканируемой мережі, а також портів і відповідних їм служб. Для цього Nmap використовує багато різних методів сканування, таких як UDP, TCP connect, TCP SYN (напіввідкрите), FTP proxy (прорив через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN і NULL- сканування.

Nmap також підтримує великий набір додаткових можливостей, а саме: визначення операційної системи віддаленого хоста з використанням відбитків стека TCP / IP, «невидиме» сканування, динамічне обчислення часу затримки і повтор передачі пакетів, паралельне сканування, визначення неактивних хостів методом паралельного ping-опиту, сканування з використанням неправдивих хостів, визначення наявності пакетних фільтрів, пряме (без використання portmapper) RPC-сканування, сканування з використанням IP-фрагментації, а також п роізвольное вказівку IP-адрес і номерів портів сканованих мереж.

Nmap отримав статус Security Product of the Year від таких журналів і спільнот, як Linux Journal, Info World, LinuxQuestions.Org і Codetalker Digest.

Платформа: утиліта кросс-платформенний.

Детальніше зі сканером Nmap можна ознайомитися тут .

IP Tools

Тип сканера: мережевий сканер.

IP Tools - це аналізатор протоколів, що підтримує правила фільтрації, адаптер відбору, декодування пакетів, опис протоколи і багато іншого. Детальна інформацію про кожному пакеті міститься в дереві стилю, меню після клацання правою кнопкою миші дозволяє сканувати вибраний IP-адреса.

На додаток до пакетного сніффером, IP Tools пропонує повний набір мережевих інструментів, включаючи адаптер статистики, моніторинг IP-трафіку і багато іншого.

Детальніше з сканером IP-Tools можна ознайомитися тут .

Платформа: Windows.

Сканери пошуку вразливостей в веб-скриптах

Nikto

Тип сканера: сканер пошуку вразливостей в веб-скриптах.

Nikto - безкоштовний сканер, який здійснює всеосяжне тестування веб-серверів на уразливості, в тому числі перевіряє наявність понад 6500 потенційно небезпечних файлів і CGI, визначає застарілі версії більше 1250 різних веб-серверів, а також відображає специфічні проблеми для більш ніж 270 версій серверів. Сканер також визначає типові помилки в конфігурації веб-сервера, в тому числі наявності декількох індексних файлів, опції HTTP-сервера, після чого намагається скласти максимально повний список версій програм і модулів на сервері. Список сканованих об'єктів в Nikto реалізований у вигляді додаткових плагінів і часто оновлюється (ці плагіни не є open source).

Сканер Nikto спроектований для роботи в сховищі режимі: він здійснює сканування максимально швидко, записуючи результати в лог. Версія 2.1.5 містить виправлення декількох багів, а також нові функції і нові види перевірок. Серед найважливішого - розпізнавання IP в HTTP-заголовках, автоматична перевірка доступних файлів після парсинга robots.txt, перевірка іконок в <link>, перевірка вразливостей з crossdomain.xml і clientaccesspolicy.xml. Серед нових опцій програми - установка максимального часу сканування хоста (в секундах) для маскування сканування, повтор збережених JSON-запитів за допомогою replay.pl, підтримка SSL-сертифікатів на стороні клієнта, більш просунуте тестування за рахунок автоматично додати змінних в db_variables після парсинга robots .txt або інших сторінок.

Варто також відзначити, що вільний движок Nikto використовується в комерційних сканерах вразливостей Edgeos і HackerTarget.com.

Платформа: MacOS, Linux, Windows.

Детальніше зі сканером Nikto можна ознайомитися тут .

Skipfish

Тип сканера: сканер пошуку вразливостей в веб-скриптах.

Крос-платформний сканер веб-вразливостей Skipfish від програміста Michal Zalewski виконує рекурсивний аналіз веб-додатки і його перевірку на базі словника, після чого складає карту сайту, забезпечену коментарями про виявлені вразливості.

Розробка інструменту ведеться всередині компанії Google.

Сканер здійснює детальний аналіз web-додатки. Також існує можливість створення словника для подальшого тестування цього ж додатка. Докладний звіт Skipfish містить інформацію про виявлені вразливості, URL ресурсу, що містить уразливість, а також переданий запит. У звіті отримані дані відсортовані за рівнем небезпеки і по типу вразливості. Звіт формується в html-форматі.

Варто зазначити, що сканер веб-вразливостей Skipfish генерує дуже великий обсяг трафіку, а сканування відбувається дуже довго.

Платформи: MacOS, Linux, Windows.

Детальніше з сканером Skipfish можна ознайомитися тут .

Wapiti

Тип сканера: сканер пошуку вразливостей в веб-скриптах.

Wapiti - це консольна утиліта для аудиту веб-додатків. Працює за принципом «чорного ящика» (blackbox).

Wapiti функціонує наступним чином: спочатку WASS-сканер аналізує структуру сайту, шукає доступні сценарії, аналізує параметри. Після Wapiti включає фаззер і продовжує сканування до тих пір, поки всі вразливі скрипти ні знайдено.

WASS-сканер Wapiti працює з наступними типами вразливостей:

• File disclosure (Local and remote include / require, fopen, readfile).
• Database Injection (PHP / JSP / ASP SQL Injections and XPath Injections).
• XSS (Cross Site Scripting) injection (reflected and permanent).
• Command Execution detection (eval (), system (), passtru () ...).
• CRLF Injection (HTTP Response Splitting, session fixation ...).
• XXE (XmleXternal Entity) injection.
• Use of know potentially dangerous files.
• Weak .htaccess configurations that can be bypassed.
• Presence of backup files giving sensitive information (source code disclosure).

Wapiti входить до складу утиліт дистрибутива Kali Linux. Можна завантажити вихідні з SourceForge і використовувати на будь-якому дистрибутиві, заснованому на ядрі Linux. Wapiti підтримує GET і POST HTTP методи запитів.

Платформи: Windows, Unix, MacOS.

Детальніше зі сканером Wapiti можна ознайомитися тут .

Засоби пошуку експлойтів

Metasploit Framework

Тип сканера: кошти пошуку експлойтів.

Проста у використанні платформа проникнення, що містить опис новітніх загроз, доповнена функціями автоматичного оновлення і розширюється за допомогою відомого мови Perl. Metasploit Framework дуже стане в нагоді фахівцям з мережевої безпеки для емуляції загроз.

Metasploit - механізм на базі сценаріїв Perl, з допомогою якого застосовувати безліч методів проникнення для різних платформ і додатків. Крім набору методів проникнення через відомі лазівки, Metasploit дозволяє переслати в виявлену пролом конкретну програму.

Metasploit Framework розширюється з використанням модулів Perl, тому можна підготувати власні кошти проникнення, включити їх в інфраструктуру і скористатися готовою підходящої програмою користування.

Детальніше з сканером Metasploit Framework можна ознайомитися тут .

Nessus

Категорія сканера: мережевий сканер і засіб пошуку експлойтів.

Сканер Nessus є потужним і надійним засобом, яке відноситься до сімейства мережевих сканерів, що дозволяють здійснювати пошук вразливостей в мережевих сервісах, пропонованих операційними системами міжмережевими екранами, що фільтрують маршрутизаторами і іншими мережевими компонентами. Для пошуку вразливостей використовуються як стандартні засоби тестування і збору інформації про конфігурацію і функціонуванні мережі, так і спеціальні засоби, адаптовані дії зловмисника по проникненню в системи, підключені до мережі.

Платформи: крос-платформенне програмне забезпечення.

Детальніше зі сканером Nessus можна ознайомитися тут .

Засоби автоматизації ін`єкцій

SQLMap

Тип сканера: засіб автоматизації ін'єкцій.

Безкоштовний сканер з відкритим вихідним кодом, головне завдання якого - автоматизований пошук SQL-вразливостей. SQLMap дозволяє не тільки виявляти уразливості, але і при можливості експлуатувати їх. SQLMap підтримує велику кількість СУБД.

На функціональним можливостям SQLMap належать:

• Пошук ін'єкцій: boolean-based blind, time-based blind, error-based, UNION query і stacked queries.
• Можливість роботи з конкретним URL або зі списком.
• Перевірка параметрів, що передаються методами GET і POST.
• Робота в багатопотоковому режимі.
• Інтеграція з іншими інструментами для аналізу веб-додатків - Metasploit і w3af.
• Можливість отримання корисною інформації про програму та сервері (fingerprint).

Платформи: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB і HSQLDB.

Детальніше зі сканером SQLMap можна ознайомитися тут .

bsqlbf-v2

Тип сканера: засіб автоматизації ін'єкцій.

bsqlbf-v2 - скрипт, написаний на мові Perl. Брутфорсер «сліпих» SQL-ін'єкцій. Сканер працює як з integer-значеннями в url, так і із строковими (string).

Платформи: MS-SQL, MySQL, PostgreSQL, Oracle.

Детальніше зі сканером bsqlbf-v2 можна ознайомитися тут .

дебаггера

Burp Suite

Тип сканера: дебагер.

Burp Suite - це набір відносно незалежних крос-платформних додатків, написаних на Java.

Ядром комплексу є модуль Burp Proxy, що виконує функції локального проксі-сервера; інші компоненти набору - це Spider, Intruder, Repeater, Sequencer, Decoder і Comparer. Всі складові пов'язані між собою в єдине ціле таким чином, що дані можуть бути відправлені в будь-якої частини програми, наприклад, з Proxy в Intruder для проведення різних перевірок над веб-додатком, з Intruder в Repeater - для більш ретельного ручного аналізу HTTP-заголовків.

Платформи: крос-платформенне програмне забезпечення.

Детальніше з сканером Burp Suite можна ознайомитися тут .

Fiddler

Тип сканера: дебагер.

Fiddler - це оцінний проксі, логірующій весь HTTP (S) -трафік. Інструмент дозволяє досліджувати цей трафік, встановлювати breakpoint і «гратися» з вхідними або вихідними даними.

Функціональні особливості Fiddler:

• Можливість контролю всіх запитів, файлів cookie, переданих параметрів інтернет-браузерами.
• Функція зміни відповідей сервера «на льоту».
• Можливість маніпулювати заголовками і запитами.
• Функція зміни ширини каналу.

Платформи: крос-платформенне програмне забезпечення.

Детальніше зі сканером Fiddler можна ознайомитися тут .

універсальні сканери

Web Application Attack and Audit Framework (w3af)

Тип сканера: сканер пошуку уразливостей у веб-скриптах, засіб пошуку експлойтів.

Web Application Attack and Audit Framework (w3af) - це WASS-сканер (фреймворк) з відкритим вихідним кодом. WASS-сканер написаний на Python, тому з успіхом запускається і під Windows, і під * NIX, і під MacOS. Для інсталяції необхідний встановлений інтерпретатор Python. У розпорядженні користувача як графічний (з використанням GTK), так і консольний інтерфейси.

Переважну частину функціональності платформи складають плагіни (на даний момент вже більше 100). Вони діляться на групи:

• audit - плагіни, які безпосередньо шукають уразливості на веб сервері;
• bruteforce - плагіни для перебору логінів і паролів веб-форм і BasicAuth;
• discovery - плагіни для збору інформації: версія веб-сервера, версія ОС, посилання, користувачі, поштові ящики;
• evasion - плагіни, які змінюють запити до веб-сервера для подолання фільтрації, типу лапок і іншого;
• grep - плагіни для аналізу запитів і відповідей веб сервера;
• mangle - плагіни для зміни запитів до веб-сервера «на льоту».

Модулі, наявні в w3af, діляться на 3 типи: для досліджень, для аудиту і для проведення атак.

Платформи: Windows, Unix, MacOS.

Детальніше зі сканером Web Application Attack and Audit Framework (w3af) можна ознайомитися тут .

N-Stalker Web Application Security Scanner X Free Edition

Тип сканера: сканер пошуку вразливостей в веб-скриптах, засіб пошуку експлойтів.

Ефективний інструмент для веб-служб - N-Stealth Security Scanner компанії N-Stalker. Компанія продає більше повнофункціональну версію N-Stealth, але пробна версія цілком придатний для простої оцінки. Платний продукт має більш як 30 тис. Тестів системи безпеки веб-серверів, але і безкоштовна версия виявляє більше 16 тис. Певних недоліків, в тому числі вразливі місця в таких широко поширених веб-серверах, як Microsoft IIS і Apache. Наприклад, N-Stealth відшукує вразливі сценарії Common Gateway Interface (CGI) і Hypertext Preprocessor (PHP), використовує атаки з проникненням в SQL Server, типові крос-сайтовий сценарії та інші прогалини в популярних веб-серверах.

N-Stealth підтримує як HTTP, так і HTTP Secure (HTTPS - з використанням SSL), зіставляє вразливі місця зі словником Common Vulnerabilities and Exposures (CVE) і базою даних Bugtraq, а також генерує непогані звіти. N-Stealth використовується для пошуку найбільш поширених вразливих місць в веб-серверах і допомагає визначати найбільш імовірні напрямки атак.

Звичайно, для більш достовірної оцінки безпеки веб-вузла або додатків рекомендується придбати платну версію.

Детальніше зі сканером N-Stealth можна ознайомитися тут .

Висновки

Тестування веб-сайтів на предмет виявлення вразливих місць - це хороша превентивна міра. В даний час існує безліч як комерційних, так і вільно розповсюджуваних сканерів захищеності веб-сайтів. При цьому сканери можуть бути як універсальні (комплексні рішення), так і спеціалізовані, призначені тільки для виявлення певних типів вразливостей.

Деякі безкоштовні сканери є досить потужними інструментами і показують велику глибину і гарна якість перевірки веб-сайтів. Але перед тим як використовувати безкоштовні утиліти для аналізу захищеності веб-сайтів, необхідно упевнитися в їх якості. Сьогодні для цього вже є безліч методик (наприклад, Web Application Security Scanner Evaluation Criteria , OWASP Web Application Scanner Specification Project ).

Найбільш повну картину про захищеність тієї чи іншої інфраструктури дозволяють отримати тільки комплексні рішення. У деяких випадках краще застосовувати кілька сканерів захищеності.