3. Cấu trúc luận văn
2.5.4. Máy quét lỗ hổng Web tự động
Web Vulnerability Scanners tự động có ba thành phần chính: Bộ phận thu thập thông tin, bộ phận tấn công và bộ phận phân tích. Bộ phận thu thập thông tin thu thập tất cả các trang của ứng dụng web. Nó sử dụng một URL gốc như là khởi đầu và bắt đầu liên kết trên mỗi trang cho đến khi đạt đến một mức độ nhất định. Các mô-đun thu thập thông tin có thể cho là các phần quan trọng nhất của máy quét lỗ hổng ứng dụng Web; nếu bộ phận tấn công các của máy quét không tốt, nó có thể bỏ lỡ một lỗ hổng bảo mật, nhưng nếu bộ phận thu thập thông tin không tốt và không thể tìm thấy lỗ hổng bảo mật thì chắc chắn nó sẽ bỏ lỡ các lỗ hổng bảo mật.
Hình 2.10: Một kiến trúc Web Vulnerability Scanner chuẩn
Mô đun tấn công quét tất cả các dạng, các thông số URL của các trang thu thập được và tiêm nhiễm các mẫu tấn công vào các thông số khác nhau. Bộ phận phân tích phân tích và giải thích phản hồi của máy chủ. Nó sử dụng tiêu chuẩn tấn công và từ khóa
để xác định nếu tồn tại một cuộc tấn công. Hình 2.10 cho thấy quá trình này. Trong bước 1, tất cả các trang được thu thập thành 1 danh sách. Để đơn giản và dễ dàng cài đặt, dữ liệu được lưu trữ trong một file văn bản chứ không phải là trong một cơ sở dữ liệu. Chúng chiếm một phần nhỏ không gian nhớ (một vài kilobyte). Trong bước 3, các module tấn công trong các trang web vừa tổng hợp với các thông số sửa đổi, thêm vecto tấn công, và truyền các phản hồi để phân tích trong bước 4.
Trong dạng tấn công đơn giản, các thành phần tấn công tiêm một vector tấn công phổ biến như <script> alert ("XSS") </ script> . Các thành phần phân tích sử dụng một biểu thức chính quy để tìm kiếm các chuỗi tiêm tương tự. Nếu các mô hình tấn công được tìm thấy không được nâng cao (không được thêm vào hoặc thay thế các ký tự) thì các thông số trả về là kết quả của một cuộc tấn công XSS.
Những nỗ lực đã được thực hiện để xác định các yêu cầu đối với Web Vulnerability Scanners được thực hiện. Dự án OWASP Web Application Scanner Specification có chứa một danh sách các tính năng và yêu cầu đối với mỗi WVS phải thực hiện.
Web Application Security Scanner Evaluation Criteria đánh giá các yêu cầu của WVS([Web09]) . Họ cung cấp một bản tóm tắt các tính năng quan trọng và một kiến trúc khá chặt chẽ. [Web09] cho rằng "thu thập thông tin là việc phải làm để quét bảo mật ứng dụng web. Nó đảm bảo rằng máy quét thu thập được tất cả các trang liên kết tồn tại trên trang web".
Còn có một loại của Web Vulnerability Scanners không phải là máy quét hoàn toàn tự động, như là công cụ cho pentesters. Burp là một công cụ pentesting hoạt động như một proxy. Pentester sử dụng một trình duyệt để lướt các ứng dụng Web và Burp để ngăn chặn các yêu cầu, thông số tự động và phân tích trả lời HTTP của máy chủ Web. Burp cũng cung cấp một mô-đun tấn công tự động tiêm vec tơ tấn công vào các thông số. Web
Vulnerability Scanners như Web Inspect hoặc AppScan là một chế độ proxy tốt.
Cách iStar hoạt động có thể được xem như là một máy quét bán tự động.Thay vì thu thập dữ liệu của ứng dụng Web, có một quy trình làm việc được xác định trước và sau đó sẽ tự động chạy công việc này thường xuyên như pentester muốn. Ta có thể hoạch định để chạy kiểm tra tự động mỗi tuần một lần hoặc mỗi tháng một lần. Các kiến trúc của iStar được trình bày chi tiết hơn trong phần 2.6.