XSpider за световната мрежа

световната

Тази публикация продължава поредица от статии, предназначени да запознаят читателя с особеностите на използването на скенера за уязвимост XSpider и е посветена на въпросите за оценка на сигурността на уеб приложенията. .

Андрей Абрамов, експерт по информационна сигурност в Positive Technologies

Една от отличителните черти на скенера XSpider е наличието на модул за евристичен анализ на уеб приложения. Разбира се, има специализирани скенери за уеб приложения като Nikto, но те нямат способността да откриват недостатъци в други услуги. От друга страна, скенерите с общо предназначение като Nessus имат изключително ограничени възможности за намиране на уязвимости на порт 80. XSpider съчетава възможностите на двата вида скенери.

Преглед на характеристиките

По отношение на анализирането на уеб приложения, XSpider поддържа следните функции:

  • автоматично откриване на уеб приложения на произволни портове;
  • работа със SSL/TLS;
  • автоматичен индексатор на сайтове с поддръжка за търсене в скрити директории и архиви на файлове (Принудително сърфиране);
  • поддръжка за основни схеми за удостоверяване и нестандартни схеми за удостоверяване;
  • автоматично проследяване на сесията;
  • търсене на уязвими и злонамерени скриптове (например php-shell) по съдържание на страницата;
  • евристична идентификация на основните видове уязвимости в уеб приложения;
  • идентифициране на уязвимости в полетата на заглавката на HTTP заявка.

Настройка на профила

Ключът към доброто сканиране е правилно конфигуриран профил. Профилът определя логиката на скенера, както и методите, използвани за търсене на уязвимости.

Конфигуриране на индексатора на сайта

За да активирате механизмите за търсене на уязвимости, на първо място, трябва да активирате функцията за анализ на съдържание (Профил - Общи настройки - Скенер за уязвимост - Откриване на уязвимост - HTTP - активиране на анализатор на съдържание).

Разделът „Content Analyzer“ (Профил - общи настройки - скенер за уязвимости - откриване на уязвимости - HTTP - анализатор на съдържанието) съдържа основните настройки на индексатора.

Параметърът "начална страница на анализатора" ви позволява да посочите от кой от разделите на уеб сървъра да започнете да индексирате. Ако опцията „не напуска стартовата директория“ е активирана, тогава скенерът ще анализира само скриптове, разположени на посочения път и по-долу. Тези настройки са полезни, когато трябва да анализирате определен раздел от уеб сървър или конкретен сценарий. Освен това те могат да се използват за разделяне на проверката на големи уеб сървъри на няколко задачи, което улеснява по-късното анализиране на резултатите. Параметърът "използвайте заявка за начална страница от файл" се отнася до механизмите за удостоверяване и ще бъде обсъден допълнително.

Опциите „използване на речник при събиране на съдържание“ и „търсене на стари файлове“ включват механизъм за намиране на скрити файлове и папки. Търсенето се извършва в обширен вграден речник, съдържащ общи имена на файлове и разширения. Този механизъм, въпреки своята простота, може да бъде много ефективен инструмент. Експертите на Positive Technologies трябваше да се справят със ситуации, когато просто търсене по име позволяваше достъп до сървърните бази данни (например /database/database.mdb) или до архиви на изходните текстове на сайтове.

В допълнение към настройките в графичния интерфейс е възможно да персонализирате индексатора, като редактирате конфигурационните файлове. Тези файлове се намират в папката "\ Profiles \ Http" на работната директория на скенера (например "C: \ Program Files \ Positive Technologies \ XSpider 7.5"). Файлът AdditionalUrls.txt съдържа пътищата до папки и скриптове, които трябва да бъдат добавени към контролния списък. Тази опция е полезна за проверка на уеб сайтове, които използват технологии от страна на клиента, които е трудно да се анализират автоматично (например Java, Flash и др.). За да съберете списък със скриптове в този случай, можете да използвате различни HTTP sniffers или прокси сървъри, например WebScarab (http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project). Също така свързан с индексатора е файлът RequestIgnore.txt. В него се въвеждат пътища и скриптове, които не трябва да се обработват от индексатора и съответно търсенето на уязвимости в тях няма да се извършва.