Trang chủ Chuyên đề An toàn thông tin

Phát hiện lỗ hổng bảo mật của Cổng Thông tin điện tử (website) với phần mềm Acunetix Web Security Scanner

(Ngày đăng :30/08/2016 9:17:31 SA)


Phần mềm giúp phát hiện nhanh chóng các lỗ hổng bảo mật còn tồn tại trên website và kịp thời đưa ra các biện pháp khắc phục để tránh những rủi ro không mong muốn

(laichau.gov.vn) Hiện nay các trang thông tin điện tử, cổng thông tin điện tử  của một số cơ quan, đơn vị chưa được quan tâm thường xuyên về vấn đề an ninh, bảo mật, từ đó vô tình tạo lỗ hổng an toàn thông tin để tin tặc lợi dụng phát tán mã độc, tấn công vào các hệ thống thông tin khác, chiếm quyền điều khiển hệ thống thông tin làm tổn hại đến chính hoạt động của đơn vị đó cũng như an ninh quốc gia trên phạm vi toàn cầu. Phần mềm Acunetix Web Security Scanner (Acunetix WVS) được sử dụng miễn phí trong 14 ngày (tải về tại đây) cũng đã đủ thời gian giúp chúng ta nhanh chóng phát hiện ra các lỗ hổng bảo mật còn tồn tại trên website và kịp thời đưa ra các biện pháp khắc phục để tránh những rủi ro không mong muốn.

Trên thế giới có khá nhiều công cụ quét lỗ hổng bảo mật website nổi tiếng  như : Retina NetWork Security Scanner,Shadow Security Scanner, Metasploit … hơn nữa có thể kể dến các công cụ chuyên nghiệp hơn thông qua tương tác dòng lệnh vì thế  các phần mềm này yêu cầu phải có kiến thức chuyên sâu về bảo mật như: Nmap, netcat. Nhưng bên cạnh đó công cụ Acunetix WVS được ưa chuộng vì tính năng dễ sử dụng (giao diện sử dụng bằng đồ họa trực quan, thiết lập đơn gian, nhanh chóng phát hiện các lỗ hổng bảo mật, không phải sử dụng bằng dòng lệnh,...), chỉ cần người dùng có kiến thức căn bảnphải có kiến thức cũng như có

Acunetix WVS là phần mềm cho phép quét các ứng dụng trên cổng 80 của các máy chủ web nhằm phát hiện ra các nguy cơ an ninh, các lỗ hổng bảo mật và các lỗi có thể xảy ra đối với các ứng dụng web như các lỗi Blind SQL Injection, Cross Site Scripting, Application error message, HTML form without CSRF XSS, Blind Injection … để cảnh báo đến bộ phận an ninh hệ thống để có thể triển khai những biện pháp phòng chống hợp lý.

Các công nghệ của Web Server mà phần mềm hỗ trợ

Các tính năng của phần mềm Acunetix WVS:

  • Khả năng rà soát chuyên sâu lỗ hổng website: SQL Injection và XSS
  • Công nghệ tiên tiến AcuSensor giúp giảm thiểu phát hiện sai
  • Khả năng quét AJAX và Web 2.0
  • Tự động nhận diện và nhập thông tin vào Form Web
  • Lập lịch, quét nhiều website cùng lúc
  • Báo cáo chi tiết theo chuẩn thông dụng
  • Hỗ trợ Google Hacking Database (GHDB)
  • Tự động xác định lỗi trang Custom 404 Error Page
  • Tương tác Web Application Firewall
  • Port Scanning – Network Alerts

 

Những lỗi của website mà phần mềm đã phát hiện sau khi thực hiện quét

 

Những vấn đề mà phần mềm Acunetix WVS có thể phát hiện được:

  • Version Check
  • Vulnerable Web Servers
  • Vulnerable Web Server Technologies – such as “PHP 4.3.0 file disclosure and possible code execution.
  • CGI Tester
  • Checks for Web Servers Problems – Determines if dangerous HTTP methods are enabled on the web server (e.g. PUT, TRACE, DELETE)
  • Verify Web Server Technologies
  • Parameter Manipulation
  • Cross-Site Scripting (XSS)*– over 40 different XSS variations are tested.
  • SQL Injection
  • Code Execution(Unix*and*Windows)
  • Directory Traversal*(Unix*and*Windows)
  • File Inclusion
  • Script Source Code Disclosure
  • CRLF Injection
  • Cross Frame Scripting (XFS)
  • PHP Code Injection
  • XPath Injection
  • Full Path Disclosure
  • LDAP Injection
  • Cookie Manipulation
  • Arbitrary File creation*(AcuSensor Technology)
  • Arbitrary File deletion*(AcuSensor Technology)
  • Email Injection*(AcuSensor Technology)
  • File Tampering*(AcuSensor Technology)
  • URL redirection
  • Remote XSL inclusion
  • MultiRequest Parameter Manipulation
  • Blind SQL/XPath Injection
  • File Checks
  • Checks for Backup Files or Directories – Looks for common files (such as logs, application traces, CVS web repositories)
  • Cross Site Scripting in URI
  • Checks for Script Errors
  • File Uploads
  • Unrestricted File uploads Checks
  • Directory Checks
  • Looks for Common Files (such as logs, traces, CVS)
  • Discover Sensitive Files/Directories
  • Discovers Directories with Weak Permissions
  • Cross Site Scripting in Path and PHPSESSID Session Fixation.
  • Web Applications
  • HTTP Verb Tampering
  • Text Search
  • Directory Listings
  • Source Code Disclosure
  • Check for Common Files
  • Check for Email Addresses
  • Microsoft Office Possible Sensitive Information
  • Local Path Disclosure
  • Error Messages
  • Trojan shell scripts (such as popular PHP shell scripts like r57shell, c99shell etc)
  • Weak Passwords
  • Weak HTTP Passwords
  • GHDB Google Hacking Database
  • Over 1200 GHDB Search Entries in the Database
  • Port Scanner and Network Alerts
  • Port scans the web server and obtains a list of open ports with banners
  • Performs complex network level vulnerability checks on open ports such as:
  • DNS Server vulnerabilities (Open zone transfer, Open recursion, cache poisoning)
  • FTP server checks (list of writable FTP directories, weak FTP passwords, anonymous access allowed)
  • Security and configuration checks for badly configured proxy servers
  • Checks for weak SNMP community strings and weak SSL cyphers
  • and many other network level vulnerability checks!
  • Other vulnerability tests may also be preformed using the manual tools provided, including:
  • Input Validation
  • Authentication attacks
  • Buffer overflows
  • Blind SQL injection
  • Sub domain scanning

Như vậy, phần mềm Acunetix WVS cũng đã cung cấp khá đầy đủ chức năng để người quản trị dễ dàng phát hiện được các lỗ hổng của website, hạn chế rủi ro, đảm bảo an toàn thông tin trên môi trường mạng.

Tài liệu hướng dẫn sử dụng: Xem chi tiết tại đây./.

Tin liên quan

Tăng cường sự lãnh đạo của Đảng đối với công tác đảm bảo trật tự, an toàn giao thông đường bộ, đường thuỷ nội địa và khắc phục ùn tắc giao thông(18/09/2019 2:33:50 CH)

Liên thông giữa dịch vụ chứng thực chữ ký số quốc gia và chữ ký số chuyên dùng Chính phủ(31/07/2019 8:05:28 SA)

Luật An ninh mạng: Công cụ bảo vệ người dân khỏi thông tin xấu, độc(03/07/2018 9:18:48 SA)

Người phát ngôn: Luật an ninh mạng cần thiết cho an ninh quốc gia(15/06/2018 8:58:55 SA)

Quốc hội biểu quyết thông qua Luật An ninh mạng(13/06/2018 1:00:12 CH)

Tin mới nhất

Lai Châu - Miền đất của các loại lan đẹp (18/01/2020 12:36:47 SA)

Những chiến sỹ giữ bình yên cho Tết(18/01/2020 9:22:10 SA)

Khoảnh khắc ngày xuân(18/01/2020 2:13:02 CH)

Lai Châu: Cải thiện môi trường, thu hút nguồn đầu tư chất lượng(17/01/2020 4:13:13 CH)

Những bông hoa miền biên viễn(09/01/2020 8:17:59 SA)

CỔNG THÔNG TIN ĐIỆN TỬ TỈNH LAI CHÂU
Cơ quan chủ quản:             
Giấy phép số:
Chịu trách nhiệm chính:
Trụ sở:
Điện thoại:
Fax:
Email:
Ủy ban nhân dân tỉnh Lai Châu
26/GP - TTĐT, do Sở Thông tin và Truyền thông cấp ngày: 08/01/2019
Ông Kiều Hải Nam - Phó Chánh Văn phòng UBND tỉnh Lai Châu

Tầng 1,2,3 nhà B - khu Hành chính - Chính trị tỉnh

02133.876.460                  
02133.876.337
laichau@chinhphu.vn

Ghi rõ nguồn www.laichau.gov.vn khi sử dụng thông tin trên website này
top
down