Acunetix hướng dẫn sử dụng
Yêu cầu
Triển khaiCài đặt acunetix web vulnerability scannerAcunetix Web Security Scanner là một trong những công cụ phổ biến trong việc đánh giá ứng dụng web. Công cụ này cho phép quét các ứng dụng trên cổng 80 của các máy chủ web nhằm phát hiện ra các nguy cơ an ninh, các lỗ hổng bảo mật và các lỗi có thể xẩy ra đối với ứng dụng web như: SQL Injection, Cross-Site Scripting (XSS), chính sách xác thực...và các lỗi bảo mật khác, đồng thời cũng quét các lỗi bảo mật của các Webserver như Apache, IIS... để cảnh báo đến bộ phận an ninh hệ thống của tổ chức để có thể triển khai những biện pháp phòng chống hợp lý. Một số lỗ hổng phổ biến mà Acunetix có thể phát hiện:
Chuẩn bịDùng VMware để mở máy ảo Windows 7, khởi động máy này để thấy rằng nó hoạt động bình thường. Thiết đặt lại địa chỉ IP để có thể truy cập ra ngoài mạng Internet. Copy phần mềm Acunetix Web Vulnerability vào máy ảo (C:\Acunetix). Tiến hành cài đặtClick đúp chuột vào file 2014_05_05_00_webvulnscan95.exe để bắt đầu quá trình cài đặt. Xuất hiện giao diện chào mừng như sau: Click vào “Next” để tiếp tục. Xuất hiện dòng thông báo yêu cầu đọc và kiểm tra các điều khoản sử dụng: Lựa chọn “I accept the agreement” và click “Next”. Lựa chọn nơi lưu trữ chương trình (mặc định được lưu tại C:\Program Files\Acunetix\Web Vulnerability Scanner 9.5). Chúng ta có thể lưu trữ vào chỗ khác bằng cách click vào “Browse” và chọn nơi lưu trữ mới. Click “Next” để tiếp tục Click Next để sang bước tiếp theo Chọn “Create a desktop icon” nếu muốn tạo 1 biểu tượng Acunetix Web Vulnerability Scanner 9.5 trên Desktop, còn nếu không thì bỏ tùy chọn trên. Click “Next” để sang bước tiếp theo Click vào Install và đợi để chương trình bắt đầu tiến hành cài đặt Sau khi hoàn tất quá trình cài đặt, chương trình sẽ hiển thị thông báo: Click vào “Finish” để kết thúc quá trình cài đặt. Nếu muốn sau khi cài đặt xong khởi chạy luôn chương trình thì lựa chọn “Launch Acunetix Web Vulnerability Scanner”, nếu không thì bỏ tùy chọn trên. Đánh giá điểm yếu webKhởi động AcunetixSau khi cài đặt xong, nếu trong quá trình cài có lựa chọn tùy chọn “Create a desktop icon” thì trên Desktop sẽ xuất hiện chương trình chạy Acunetix Web Vulnerability Scanner 9.5. Click vào biểu tượng này để khởi chạy chương trình. Nếu không lựa chọn tùy chọn như trên, khởi chạy chương trình bằng cách click vào Start -> All Programs -> Acunetix Web Vulnerability Scanner 9.5 -> Acunetix WVS 9.5. Chương trình khởi chạy sẽ có giao diện như bên dưới: Acunetix có cung cấp sẵn danh sách 4 website tương ứng với 4 mã nguồn phổ biến html,php,asp,asp.net chứa các lỗ hổng có sẵn để người dùng có thể test và làm quen với phần mềm. Tiến hành đánh giáLựa chọn “New Scan” để tiến hành để bắt đầu đánh giá 1 website. Xuất hiện cửa sổ Scan Wizard. Tại đây có thể nhập địa chỉ trang web muốn đánh giá tại Website URL, mặc định ban đầu URL là: http://testhtml5.vulnweb.com/ Click vào “Next” để tiếp tục. Trong phần lựa chọn kiểu đánh giá, ta có thể lựa chọn phương thức đánh giá bằng cách sử dụng các tùy chọn trong “Scanning profile”. Tại đây có các tùy chọn như: * AcuSensor * Blind_SQL_Injection * CSRF * Default * Directory_And_File_Checks * Empty * File_Upload * GHDBLựa chọn tùy chọn mặc định là “Default”, phần Scan settings cũng lựa chọn “Default”. Click vào “Next” và kiểm tra lại một lần nữa về đích đánh giá Sau khi tiến hành đánh giá ban đầu, chương trình sẽ kiểm tra banner để xác định hệ điều hành, webserver. Ngoài ra ta cũng có thể chọn 1 số các tùy chọn về công nghệ khác như: PHP, Perl, Java, .... Click “Next” để tiếp tục. Tại đây ta có thể có thêm tùy chọn về xác thực nếu có tài khoản đăng nhập tới website đánh giá bằng cách click vào “New Login Sequence” và nhập thông tin tài khoản. Click “Next” để sang bước tiếp theo Kiểm tra lại các thông tin cấu hình và click vào “Finish” để bắt đầu thực hiện đánh giá. Sau khi hoàn thành xong quá trình đánh giá, kết quả thu được như sau: Phân tích đánh giá:39 liên kết chưa điểm yếu được tìm thấy tương ứng với 4 mức độ nguy hại: High (cao), Medium (trung bình), Low (thấp) và Information (rất thấp). Trong đó:
Lựa chọn 1 điểm yếu cụ thể để tiến hành phân tích, ví dụ: “Weak password”. Nhìn vào cột bên cạnh ta có thể thấy được thông tin về lỗ hổng cũng như cách vá lỗ hổng được đưa ra. Ngoài ra còn có thể xem được các thông tin khác như HTTP Header, HTML response,... Mục Knowledge Base là phần tổng hợp lại các thông tin cơ bản như:
Trong phần Site Structure (Cấu trúc site) ta có thể thấy được cấu trúc của website đó gồm các folder (thư mục), file (tập tin) nào và HTTP Status (mã trạng thái HTTP) như: 200,302,400,403,500,... một cách trực quan. Ở cột bên phải ta có thể thấy các thông tin như: Info, Referrers, HTTP Headers, Inputs, View Source, Structure Analysis, Alerts. Click vào mục “Report” để tạo báo cáo đánh giá Báo cáo đánh giá: Kết luận
|