Phát hiện lỗ hổng bảo mật của Cổng Thông tin điện tử (website) với phần mềm Acunetix Web Security Scanner
 Phần mềm giúp phát hiện nhanh chóng các lỗ hổng bảo mật còn tồn tại trên website và kịp thời đưa ra các biện pháp khắc phục để tránh những rủi ro không mong muốn |
Trên thế giới có khá nhiều công cụ quét lỗ hổng bảo mật website nổi tiếng như : Retina NetWork Security Scanner,Shadow Security Scanner, Metasploit … hơn nữa có thể kể dến các công cụ chuyên nghiệp hơn thông qua tương tác dòng lệnh vì thế các phần mềm này yêu cầu phải có kiến thức chuyên sâu về bảo mật như: Nmap, netcat. Nhưng bên cạnh đó công cụ Acunetix WVS được ưa chuộng vì tính năng dễ sử dụng (giao diện sử dụng bằng đồ họa trực quan, thiết lập đơn gian, nhanh chóng phát hiện các lỗ hổng bảo mật, không phải sử dụng bằng dòng lệnh,...), chỉ cần người dùng có kiến thức căn bảnphải có kiến thức cũng như có
Acunetix WVS là phần mềm cho phép quét các ứng dụng trên cổng 80 của các máy chủ web nhằm phát hiện ra các nguy cơ an ninh, các lỗ hổng bảo mật và các lỗi có thể xảy ra đối với các ứng dụng web như các lỗi Blind SQL Injection, Cross Site Scripting, Application error message, HTML form without CSRF XSS, Blind Injection … để cảnh báo đến bộ phận an ninh hệ thống để có thể triển khai những biện pháp phòng chống hợp lý.
Các công nghệ của Web Server mà phần mềm hỗ trợ
Các tính năng của phần mềm Acunetix WVS:
- Khả năng rà soát chuyên sâu lỗ hổng website: SQL Injection và XSS
- Công nghệ tiên tiến AcuSensor giúp giảm thiểu phát hiện sai
- Khả năng quét AJAX và Web 2.0
- Tự động nhận diện và nhập thông tin vào Form Web
- Lập lịch, quét nhiều website cùng lúc
- Báo cáo chi tiết theo chuẩn thông dụng
- Hỗ trợ Google Hacking Database (GHDB)
- Tự động xác định lỗi trang Custom 404 Error Page
- Tương tác Web Application Firewall
- Port Scanning – Network Alerts
Những lỗi của website mà phần mềm đã phát hiện sau khi thực hiện quét
Những vấn đề mà phần mềm Acunetix WVS có thể phát hiện được:
- Version Check
- Vulnerable Web Servers
- Vulnerable Web Server Technologies – such as “PHP 4.3.0 file disclosure and possible code execution.
- CGI Tester
- Checks for Web Servers Problems – Determines if dangerous HTTP methods are enabled on the web server (e.g. PUT, TRACE, DELETE)
- Verify Web Server Technologies
- Parameter Manipulation
- Cross-Site Scripting (XSS)*– over 40 different XSS variations are tested.
- SQL Injection
- Code Execution(Unix*and*Windows)
- Directory Traversal*(Unix*and*Windows)
- File Inclusion
- Script Source Code Disclosure
- CRLF Injection
- Cross Frame Scripting (XFS)
- PHP Code Injection
- XPath Injection
- Full Path Disclosure
- LDAP Injection
- Cookie Manipulation
- Arbitrary File creation*(AcuSensor Technology)
- Arbitrary File deletion*(AcuSensor Technology)
- Email Injection*(AcuSensor Technology)
- File Tampering*(AcuSensor Technology)
- URL redirection
- Remote XSL inclusion
- MultiRequest Parameter Manipulation
- Blind SQL/XPath Injection
- File Checks
- Checks for Backup Files or Directories – Looks for common files (such as logs, application traces, CVS web repositories)
- Cross Site Scripting in URI
- Checks for Script Errors
- File Uploads
- Unrestricted File uploads Checks
- Directory Checks
- Looks for Common Files (such as logs, traces, CVS)
- Discover Sensitive Files/Directories
- Discovers Directories with Weak Permissions
- Cross Site Scripting in Path and PHPSESSID Session Fixation.
- Web Applications
- HTTP Verb Tampering
- Text Search
- Directory Listings
- Source Code Disclosure
- Check for Common Files
- Check for Email Addresses
- Microsoft Office Possible Sensitive Information
- Local Path Disclosure
- Error Messages
- Trojan shell scripts (such as popular PHP shell scripts like r57shell, c99shell etc)
- Weak Passwords
- Weak HTTP Passwords
- GHDB Google Hacking Database
- Over 1200 GHDB Search Entries in the Database
- Port Scanner and Network Alerts
- Port scans the web server and obtains a list of open ports with banners
- Performs complex network level vulnerability checks on open ports such as:
- DNS Server vulnerabilities (Open zone transfer, Open recursion, cache poisoning)
- FTP server checks (list of writable FTP directories, weak FTP passwords, anonymous access allowed)
- Security and configuration checks for badly configured proxy servers
- Checks for weak SNMP community strings and weak SSL cyphers
- and many other network level vulnerability checks!
- Other vulnerability tests may also be preformed using the manual tools provided, including:
- Input Validation
- Authentication attacks
- Buffer overflows
- Blind SQL injection
- Sub domain scanning
Như vậy, phần mềm Acunetix WVS cũng đã cung cấp khá đầy đủ chức năng để người quản trị dễ dàng phát hiện được các lỗ hổng của website, hạn chế rủi ro, đảm bảo an toàn thông tin trên môi trường mạng.
Tài liệu hướng dẫn sử dụng: Xem chi tiết tại đây./.
Hoàng Thắng
Số liệu thống kê
Văn bản quy phạm pháp luật
Tra cứu bảo hiểm xã hội hộ gia đình
Báo cáo kinh tế - xã hội
Thông tin doanh nghiệp
Kết quả đánh giá Bộ chỉ số phục vụ người dân, doanh nghiệp
Chiến lược, quy hoạch, kế hoạch
Dự án, hạng mục đầu tư
Báo cáo và Giấy phép môi trường
Đấu thầu, mua sắm công
Chương trình, đề tài khoa học
Công khai ngân sách
Giá thị trường
Khen thưởng, xử phạt
Thông tin kết quả kiểm tra, giám sát
Thông tin vi phạm về đất đai
Danh sách người giám định tư pháp
