Close
Digital-лабораторія
IT технологій
 UK EN
Mastodon Twitter Linkedin

Як провести аудит безпеки з допомогою Acunetix Vulnerability Scanner?

Acunetix —  це один з всесвітніх лідерів серед додатків, які застосовують інтерактивну (IAST) і динамічну (SAST) модель сканування/тестування безпеки електронних ресурсів з можливістю Black-Box та Grey-Box аналізу. Заснований американською компанією з кібербезпеки Invicti Security у 2005 році, флагманський продукт Acunetix Vulnerability Web Scanner дозволяє виявляти та запобігати різноманітним ризикам ІТ-безпеки. У цій статті ми розглянемо ази роботи з цим інструментом, а також навчимося проводити аудит безпеки.

Зміст статті

Acunetix Vulnerability Scanner: переваги та можливості

Acunetix Tool

Acunetix Vulnerability Web Scanner —  це один з найстаріших (відомий з 2005 року) та найпотужніших професійних інструментів для оцінки захищеності сайтів, веб-додатків, мережевих ресурсів. На сьогоднішній день, це одне з найавторитетніших IAST/DAST-рішень для автоматизованого пошуку ризиків та вразливостей електронних ресурсів. Маючи Acunetix у своєму арсенсалі, з легкістю можна виявляти та визначати поширені вразливості, загрози і недоліки кібербезпеки.

Функціональні можливості:

  • Кросплатформність: підтримка OS Linux, Windows, MacOS;
  • Підтримка веб-серверів Apache/NGINX;
  • Уміння тестувати SQL/PHP/XXE/CRLF-ін’єкції, XSS/CSRF/SSRF/RFI/RCE вразливості;
  • Розуміння технологій HTML5, JS, Java, AJAX, PHP, Ruby, React, Vue, Angular, Node.js, ASP.NET та їх тестування;
  • Розуміння структури популярних CMS WordPress/Drupal/Joomla, аналіз вразливостей в їх компонентах, темах, плагінах;
  • Наявність модуля “AcuSensor”  –  суттєво покращує результативність сканування, дає можливість виконувати інтерактивне IAST-тестування, аналізуючи і експлуатуючи вразливості в режимі сірого ящика (GreyBox), проводячи аналіз вихідного коду додатків PHP, .NET, Java або Node.js. Скачується окремо і ставиться на стороні сервера;
  • Наявність модуля “AcuMinitor” – виявлення поширених вразливостей через віртуальний браузер.
  • Підтримка технологій SmartScan (розумного пошуку) та DeepScan (глибокого пошуку);
  • Перевірка на відповідність стандартам OWASP Top 10/ISO27001/PCIDSS/HIPAA/NIST, класифікація вразливостей по базам CWE/CVE;
  • Інтеграція з популярними таск-трекерами та платформами: Jira, Trello, GitHub, GitLab, Azure DevOps, Microsoft Team, Bugzilla, Mantis, Jenkis;
  • Інтеграція з файєрволами Fortinet/Citrix/Imperva/AWS та іншими IPS/IDS системами (доступний експорт правил);
  • Вбудований мережевий сканер, інтеграція з OpenVAS (безпека локальної мережі);
  • Масовий імпорт цілей;
  • Підготовка інформативних звітів з рекомендаціями;
  • В базі Acunetix більше 4500 маркерів вразливостей!

Як бачимо, Acunetix Vulnerability Scanner – це досить об’ємне, комплексне рішення. Перейдемо тепер безпосередньо до роботи з ним.

Аудит безпеки з Acunetix Vulnerability Scanner

Завантажити додаток можна з офіційного сайту за посиланням.

Розгортати Acunetix пропоную на окремій віртуальній машині або RDP/VNC-сервері.

Примітка: Перш за все варто наголосити, що всі продукти компанії Acunetix розповсюджуються лише за комерційною ліцензією, тут немає безкоштовних версій, подібно до Burp Suite Community Edition. Є лише Trial, який видається на обмежений строк для корпоративних клієнтів для ознайомлення. Для цього власнику компанії необхідно написати в технічну підтримку support@acunetix.com й з вами зв’яжеться дилер, який проведе процедуру верифікації/реєстрації і видасть ключ активації.

Встановлення відбувається в автоматичному режимі, треба лише запустити інсталяційний Bash-скрипт (Linux) або exe-файл (Windows) на виконання.

Після того як будуть розгорнуті усі необхідні служби та компоненти, можна перейти у веб-інтерфейс сканера, який доступний за локальною URL-адресою: https://localhost:3443. Для входу використовується стандартна форма: логін/пароль.

Щоб розпочати сканування, необхідно спочатку додати в систему нову ціль (target). Це можна зробити обравши в сайдбар-меню пункт Targets -> Add Targets:

Acunetix Add Target

При створенні нового проєкту Acunetix запропонує ввести URL або IP-адресу цілі:

Тут можна вказати або кореневий домен – Acunetix просканує повністю всю його структуру, або підпапку – Acunetix обмежиться лише її скануванням, включаючи усі підпапки та файли.

Опція Network Scans Only – означає перевіряти тільки мережевий периметр, зовнішні веб-інтерфейси скануватися не будуть.

Кнопка Import CSV дозволяє імпортувати CSV-файл списку цілей. Підійде для масового сканування. 

Щоб продовжити, натискаємо Save.

Потрапляємо в деталізоване налаштування проєкта – Target Settings, де є ряд вкладок з опціями цілі:

Target settings Acunetix

  • Вкладка “Target Information”
    • Project Name – вказати назву проєкту.
    • Business Ctitically – відповідає за рівень критичності сканування, можна обрати такі режими як: Low, Normal, High, Critical. Це дозволяє зосередити сканування на більш критичних або менш критичних елементах.
    • Default Scan Profile  – тип сканування, можна обрати: Full Scan, Critical/High Risk, Critical/High/Medium Risk, XSS, SQLi, Weak Passwords, Crawl Only, OWASP top 10, PCI Checks, SANS Top 25, Malware Scan. Кожен з них передбачає відповідність тій чи іншій методології. Можна також додати власний профіль, попередньо створивши його в розділі “Scan Profiles”.
    • Scan Speed  – швидкість сканування, доступні опції: Slower, Slow, Moderate, Fast. Наприклад, режим Slow встановлює 50 мілісекундну затримку між запитами і дозволяє 2 одночасних з’єднань. Ця опція може знадобитися для сканування сайтів, які містять фаєрволи, які обмежують високоінтенсивне сканування.
    • Continious Scannings – це сканування по розкладу, яке буде проводитися регулярно щодня в автоматичному режимі.
    • Site Login – тут можна вказати дані авторизації, якщо доступ до ресурсу обмежений. Сканер також протестує форму входу на брутфорс-перебор, але цю опцію можна відключити обравши “Do not test login forms”.
    • Business Login Recorder  – створення або імпорт спеціального макроса (сценарія) для виконання різноманітних автоматизованих дій на сайті, наприклад заповнення форм.
    • AcuSensor  – інтерактивний IAST модуль сканування, який задіює глибинну перевірку програмних компонентів досліджуваної системи: JAVA, PHP, NET, Node.js. Вимагає окремого ручного встановлення і конфігурації на стороні сервера.
  • Вкладка “Crawling”
    • User Agent – вибір юзер-агента браузера, у списку доступні: Default, Google Chrome, Internet Explorer, Mozilla Firefox, Opera.
    • Case Sensitive Paths – дозволяє включити перевірку шляхів з чутливим регістром (верхній/нижній).
    • Limit Crawling to address and sub-directories only – обмежити краулінг адресою та субдиректоріями сайту. Тобто, субдомени враховуватися не будуть.
    • Exclude Paths – виключає додані вручну директорії.
    • Import Files / API Definitions – дозволяє імпортувати додаткові файли і заготовки для сканування, наприклад список адрес для сканування або скрипти Selenium.
  • Вкладка “HTTP”
    • HTTP Authentication – автентифікація по протоколу HTTP.
    • Client Certificate – автентифікаія через клієнтський сертифікат.
    • Proxy Server – автентифікація через проксі-сервер.
  • Вкладка “Advanced”
    • Custom Headers – додати вручну додаткові HTTP-заголовки, які будуть використовуватися при скануванні і тестуванні. Це може бути корисно, якщо наприклад треба обійти той чи інший захист (Bypass WAF).
    • Custom Cookie – аналогічно, можна додати кукі.
    • Issue Tracker – створення та відстеження задач для розробників.
    • Allowed Hosts – додати додаткові ресурси, які будуть скануватися разом з основою ціллю.
    • Knowledge Base – включити або вимкнути використання вбудованої бази знань Acunetix, яка використовується для опису вразливостей та рекомендацій.
    • Excluded Hours – вказати години сканування, якщо включене по розкладу (див. вище “Continious Scanning”).
    • Scanning Engine – обрати додатковий механізм сканування.
    • Block requests to Ad services (recommended) – блокувати запити до рекламних ресурсів.
    • Debug scans for this target – вмикає журнал налагодження, для Linux – /home/acunetix/.acunetix/data/scans/, для Windows – C:\ProgramData\Acunetix\shared\scans.

Запуск сканування відбувається після натиснення кнопки “Scan”, що знаходиться у правому верхньому кутку вікна (попередньо бажано також натиснути “Save”, щоб зберегти задані налаштування в проєкті).

Після цього з’явиться діалогове вікно, у якому необхідно обрати три завершальні опції:

  • Scan Profile – профіль сканування, доступні такі режими: Full Sсan, Critical/High Risk, Critical/High/Medium Risk, XSS, SQLi. Як можна зрозуміти з назв, кожен з них орієнтується на виявлення різних типів вразливостей, але режим Full Scan – враховує все.
  • Report – дозволяє вказати тип звіту. Доступні такі варіанти: Standard Reports – Affected Items (звіт тільки про уражені об’єкти), Comprehensive (комплексний класичний звіт), Developer (звіт для розробників у вигляді ТЗ), Executive Summary (звіт з підсумковими даними, резюме для керівників та менеджерів), Quick (експрес-звіт); Compliance Reports – CWE Top 25, DISA STIG, HIPAA, ISO 27001, NIST SP 800-53, OWASP Top 10, PCI-DSS, Sarbanes Oxley, WASC.
  • Schedule – дозволяє обрати час сканування: Instant (запустити негайно), Future Scan (за розкладом), Recurrent Scan (регулярні повторні сканування за розкладом).

Acunetix Scanning Options

Після натискання кнопки Create Scan розпочнеться довгоочікуваний процес сканування. Ми потрапляємо на сторінку сканування з відображенням перебігу подій:

Acunetix Project Page

Окрім загальної інформації тут буде також декілька вкладок:

  • Scan Information  – загальна інформація про сканування;
  • Vulnerabilities  – виявлені вразливості та їх докладний опис;
  • Site Structure  –  структура просканованого сайту у вигляді дерева файлів та папок й відображення по ним знайдених вразливостей;
  • Scan Statistics  – статистика про перебіг сканування, кількість відправлених запитів, URL-адреси цілей та інше;
  • Events  –  основні події сканування, дата і час запуску і т.д.

Acunetix Vulnerabilities tab

Новостворений проєкт також відобразиться на лістингу проєктів в розділі Scans:

Якщо є потреба посортувати проєкти, то скористайтеся меню Target Groups. Тут можна створювати різні групи для своїх проєктів.

Після того як сканування завершено, звіт стане доступним у розділі Reports і його можна буде завантажити в форматі PDF/HTML:

Acunetix Reports

Також можна повторно генерувати звіти будь-якого типу безпосередньо на лістингу або на сторінці проєкту, натиснувши кнопку  Generate Report.

Звіт оформлений відповідно до сучасних вимог та стандартів й містить детальну інформацію по проєкту, доповнену інфографікою. Виявлені ризики та вразливості підсвічуються різними кольорами, відповідно до їх ступеня критичності: Зелений (Зауваги інформативного характеру), Блакитний (Вразливості низького, інформаційного рівня), Жовтий (Вразливості середнього рівня) та Червоний (Вразливості високого, критичного рівня).

Acunetix Comprehensive Report

У звіті до кожної знайденої вразливості наводять такі подробиці як:

  • URL-адреса і деталі вразливого об’єкту;
  • Короткий опис вразливості;
  • HTTP-заголовки;
  • Вплив і значення;
  • Рекомендація щодо усунення вразливості;
  • Класифікація;
  • Посилання на джерела та документації.

Примітка: Отримані результати можуть варіюватися, в залежності від типу обраного звіту.

За потреби, на базі виявлених вразливостей, Acunetix може сформувати правила безпеки для популярних фаєрволів (WAF). Необхідно перейти в проєкт й натиснути “Export to”:

В розділі Users можна додати нового користувача в систему з правами доступу до проєктів.

В розділі Settings знаходяться глобальні технічні налаштування сканера Acunetix.

Висновки

Acunetix Vulnerability Scanner  – це  професійний інструмент з кібербезпеки Premium-класу. Такою кількістю фіч в одній коробці мало хто може похизуватися. Працювати з ним  –  одне задоволення!

Якщо Burp Suite вимагає від користувача конкретних технічних навичок, то Acunetix підійде не лише спеціалістам кібербезпеки, а й широкому колу власників електронних ресурсів. Тут  все інтуїтивно зрозуміло і доведено до автоматизму, а тому не складно розібратися.

Точність ідентифікації вразливостей, кількість, деталізованість та стиль звітів вражають й розкривають необмежений потенціал. Те, що можна довго і нудно комбінувати вручну, створюючи аудити з нуля, в Acunetix отримуєш однією кнопкою. Ось це і є автоматизація рутинних процесів у кращому вигляді. Сподобались також об’єм та фактаж наданих даних, багатопоточність, швидкодія і простота сканера.

Обширна База знань допоможе в опануванні Acunetix новачкам. Також додаток має власну CVE-базу вразливостей, що стане в пригоді аудиторам й пентестерам.

Загалом, Acunetix Vulnerability Scanner є прикладом довершеності та функціональності програмного забезпечення.

Усім власникам ІТ-інфраструктури рекомендується!

Читайте також: 

ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:

Konrad Ravenstone
Konrad Ravenstone
Спеціаліст з кібербезпеки, аудитор, OSINT-аналітик, Penetration Tester в KR. Laboratories. Досліджує інтернет-технології з 2011 року. Впроваджує кіберзахист інформаційних систем та електронних ресурсів на всіх рівнях.
Усі записи
0 0 голосів
Рейтинг статті
Підписатися
Сповістити про
guest
0 Коментарі
Вбудовані Відгуки
Переглянути всі коментарі
Варто прочитати:
MENU
0
Цікаво почути Вашу думку!x
Отримати комерційну пропозицію
Оформити заявку
Замовити консультацію

Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!

Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!