根據台灣網路資訊中心今年公布的最新「台灣寬頻網路使用調查」報告顯示,截至2010年2月12日為止,台灣地區上網人口約有1,622萬,比去年增加約40萬人,其中15到34歲的上網率均超過九成。
網路的高滲透率,卻也成了犯罪集團覬覦的目標,特別是針對網友常常瀏覽的社群網站,功能多元卻也處處蘊藏著網路陷阱,伺機竊取使用者資料,如同不定時的炸彈,無預警地恣意侵犯個人權益。
為此,筆者從維護企業網站的立場,將介紹網路上著名的免費網站弱點掃描工具,在不增加企業成本下,讓網管工程人員有效降低企業網站遭受惡意入侵的風險。
網站弱點掃描流程介紹
網站弱點掃描工具是一種自動化系統黑箱測試工具,其使用週期一般分為爬網、測試、分析、報表四個階段。就如同測試一般程式,要完整地測試所有程式的功能,就須要收集完整的應用程式介面(Application Programming Interface,API)和參數,而爬網階段的主要工作就是取得網頁程式所提供的外部連線網址和參數。此階段使用的方式可以分為兩種,一種是手動收集,由使用者實際操作瀏覽行為,讓工具取得和網頁主機的所有連線資料,另一種則是自動收集,自動收集完全使用自動化方式,由工具剖析網頁內容,藉此取得所有連線,這兩個方式所收集到的網址,將影響工具掃描網站的完整性。
收集完網站所有的連線網址和參數之後,在測試階段,工具依據每個網址,搭配不同的參數值來產生請求(Request),藉此測試各種可能的漏洞,並將回應(Response)收集起來,由於測試的項目眾多,所以在這個階段自動化執行就顯得特別重要。
如剛剛描述的,分析階段將依據測試項目和回應進行判讀,系統中是否隱含漏洞,由於判讀的方式主要是依據網頁的回應來判斷送出去的測試項目是否對網站造成不正常反應,所以這個階段的判讀方式將影響整個測試的誤判比率。
最後是報表的產生,報表產生通常不在自動化的過程裡面,須要診測人員依不同的目的來產生不同的報表,例如管理層讀的報表是整合性的數據統計,技術人員則會需要弱點說明和解決建議等。
網站弱點掃描技術剖析
網站弱點掃描工具依其設計方式可以分為代理伺服器式弱點掃描和無代理伺服器式弱點掃描兩類,分析說明如下。
無代理伺服器式弱點掃描
這一類的掃描設計比較單純,網站弱點掃描工具將自己模擬成一個瀏覽器,直接與網站主機連線,就像一般使用者在瀏覽網站一樣。這類型的工具使用上比較簡單,只要使用者提供待掃描的網址和相關設定,工具就會完全自動化地對此網站進行弱點掃描,架構如下圖所示。
 |
| ▲無代理伺服器式弱點掃描。 |
代理伺服器式弱點掃描
相對於無代理伺服器式弱點掃描工具,代理伺服器式弱點掃描就是使用代理伺服器(Proxy)。使用代理伺服器的優點為,可以攔截掃描工具和網站伺服器間的HTTP請求和回應資料,這些資料除了可以收集更完整的連線網址和參數外,也可以對HTTP請求進一步修改。這類型的工具在執行弱點掃描時,須要先對瀏覽器設定,設定完成後,工具就可以攔截瀏覽中的網頁內容,因此也有人稱之為被動式弱點掃描工具,其架構如下圖所示。
 |
| ▲代理伺服器式弱點掃描。 |
(更多精采文章詳見網管人第56期)