在網路的應用服務中,應用最廣的除了E-mail服務之外,就屬Web服務的應用了。對於企業而言,網站往往代表企業的形象。一旦企業網站發生安全上的漏洞,除了有形的損失外,對於無形的商譽損失更是難以估計,也因此網站安全也愈顯重要。
Attack
Attack模組是針對所測試到的漏洞,實際以攻擊手法進行測試,其所提供的常用Plugin如表3所示。
表3 Attack模組所提供的Plugin
Output
Output模組可將所偵測到的相關漏洞輸出至報表,而其所提供的Plugin如表4所示。
表4 Output模組所提供的Plugin
另外值得一提的是,w3af提供了Profile概念,使用者可定義一個Profile,將相關的Plugin設定儲存在相關的Profile,就可以很方便地提供使用者進行掃描。事實上,w3af本身也有預設定義的相關Profile,如OWASP TOP 10,來便利使用者掃描網站,以確認是否有OWASP TOP 10的問題。
使用w3af軟體
w3af軟體的安裝相當簡單,只要利用git指令將最新的版本取回即可,相關指令如下所示。在安裝過程中,或許需要相關的模組,請根據其所提示,安裝相關的套件。
在安裝成功後,可以利用w3af_gui來執行,如圖3所示。
 |
| ▲圖3 利用w3af_gui來執行。 |
而後,可利用w3af預設的Profile進行掃描,可自行選擇Plugin、設定報表輸出(例如輸出至HTML)及設定目標網站等相關資訊,然後按下〔Start〕按鈕開始進行網站掃描。
掃描結束後,即可根據所設定的報表輸出位置取得相關的報表資訊。或者,到該介面的〔Log〕分頁標籤中查看結果,如圖4所示。
 |
| ▲圖4 到〔Log〕分頁標籤內查看結果。 |
而w3af的HTML報表範例,則如圖5所示。
 |
| ▲圖5 w3af的HTML報表。 |
另外,w3af也提供文字介面格式的操作,可執行「w3af_console」指令來進入命令介面,如圖6所示。
 |
| ▲圖6 執行「w3af_console」指令即可進入命令介面。 |
除了使用者可以利用登入命令列介面的方式來執行掃描作業外,w3af更提供自動執行Script的方式,讓使用者將相關欲執行的指令寫成Script後直接執行,以進行相關的掃描作業。
以下就以預設的Scripts為例,也就是位於w3af之「Script」目錄內的script-sqli.w3af檔案(用來掃描網站是否有SQL injection的漏洞)來說明(#之後為注釋):
而script-sqli.w3af檔案的執行方式,如下所示:
執行script-sqli.w3af檔案後,即可自動進行相關的掃描作業,並在掃描完成後產生一個檔名為output-w3af.txt的掃描結果檔。
<本文作者:吳惠麟,多年資安經驗,喜好利用開源碼建構相關解決方案。現任職於台灣學術網路危機處理中心(TACERT)。著有「資訊安全原理與實驗」。TACERT官方網址:http://cert.tanet.edu.tw/>