Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Acunetix — це один з всесвітніх лідерів серед додатків, які застосовують інтерактивну (IAST) і динамічну (SAST) модель сканування/тестування безпеки електронних ресурсів з можливістю Black-Box та Grey-Box аналізу. Заснований американською компанією з кібербезпеки Invicti Security у 2005 році, флагманський продукт Acunetix Vulnerability Web Scanner дозволяє виявляти та запобігати різноманітним ризикам ІТ-безпеки. У цій статті ми розглянемо ази роботи з цим інструментом, а також навчимося проводити аудит безпеки.
Acunetix Vulnerability Web Scanner — це один з найстаріших (відомий з 2005 року) та найпотужніших професійних інструментів для оцінки захищеності сайтів, веб-додатків, мережевих ресурсів. На сьогоднішній день, це одне з найавторитетніших IAST/DAST-рішень для автоматизованого пошуку ризиків та вразливостей електронних ресурсів. Маючи Acunetix у своєму арсенсалі, з легкістю можна виявляти та визначати поширені вразливості, загрози і недоліки кібербезпеки.
Як бачимо, Acunetix Vulnerability Scanner – це досить об’ємне, комплексне рішення. Перейдемо тепер безпосередньо до роботи з ним.
Завантажити додаток можна з офіційного сайту за посиланням.
Розгортати Acunetix пропоную на окремій віртуальній машині або RDP/VNC-сервері.
Примітка: Перш за все варто наголосити, що всі продукти компанії Acunetix розповсюджуються лише за комерційною ліцензією, тут немає безкоштовних версій, подібно до Burp Suite Community Edition. Є лише Trial, який видається на обмежений строк для корпоративних клієнтів для ознайомлення. Для цього власнику компанії необхідно написати в технічну підтримку support@acunetix.com й з вами зв’яжеться дилер, який проведе процедуру верифікації/реєстрації і видасть ключ активації.
Встановлення відбувається в автоматичному режимі, треба лише запустити інсталяційний Bash-скрипт (Linux) або exe-файл (Windows) на виконання.
Після того як будуть розгорнуті усі необхідні служби та компоненти, можна перейти у веб-інтерфейс сканера, який доступний за локальною URL-адресою: https://localhost:3443
. Для входу використовується стандартна форма: логін/пароль.
Щоб розпочати сканування, необхідно спочатку додати в систему нову ціль (target). Це можна зробити обравши в сайдбар-меню пункт Targets -> Add Targets:
При створенні нового проєкту Acunetix запропонує ввести URL або IP-адресу цілі:
Тут можна вказати або кореневий домен – Acunetix просканує повністю всю його структуру, або підпапку – Acunetix обмежиться лише її скануванням, включаючи усі підпапки та файли.
Опція Network Scans Only – означає перевіряти тільки мережевий периметр, зовнішні веб-інтерфейси скануватися не будуть.
Кнопка Import CSV дозволяє імпортувати CSV-файл списку цілей. Підійде для масового сканування.
Щоб продовжити, натискаємо Save.
Потрапляємо в деталізоване налаштування проєкта – Target Settings, де є ряд вкладок з опціями цілі:
/home/acunetix/.acunetix/data/scans/
, для Windows – C:\ProgramData\Acunetix\shared\scans
.Запуск сканування відбувається після натиснення кнопки “Scan”, що знаходиться у правому верхньому кутку вікна (попередньо бажано також натиснути “Save”, щоб зберегти задані налаштування в проєкті).
Після цього з’явиться діалогове вікно, у якому необхідно обрати три завершальні опції:
Після натискання кнопки Create Scan розпочнеться довгоочікуваний процес сканування. Ми потрапляємо на сторінку сканування з відображенням перебігу подій:
Окрім загальної інформації тут буде також декілька вкладок:
Новостворений проєкт також відобразиться на лістингу проєктів в розділі Scans:
Якщо є потреба посортувати проєкти, то скористайтеся меню Target Groups. Тут можна створювати різні групи для своїх проєктів.
Після того як сканування завершено, звіт стане доступним у розділі Reports і його можна буде завантажити в форматі PDF/HTML:
Також можна повторно генерувати звіти будь-якого типу безпосередньо на лістингу або на сторінці проєкту, натиснувши кнопку Generate Report.
Звіт оформлений відповідно до сучасних вимог та стандартів й містить детальну інформацію по проєкту, доповнену інфографікою. Виявлені ризики та вразливості підсвічуються різними кольорами, відповідно до їх ступеня критичності: Зелений (Зауваги інформативного характеру), Блакитний (Вразливості низького, інформаційного рівня), Жовтий (Вразливості середнього рівня) та Червоний (Вразливості високого, критичного рівня).
У звіті до кожної знайденої вразливості наводять такі подробиці як:
Примітка: Отримані результати можуть варіюватися, в залежності від типу обраного звіту.
За потреби, на базі виявлених вразливостей, Acunetix може сформувати правила безпеки для популярних фаєрволів (WAF). Необхідно перейти в проєкт й натиснути “Export to”:
В розділі Users можна додати нового користувача в систему з правами доступу до проєктів.
В розділі Settings знаходяться глобальні технічні налаштування сканера Acunetix.
Acunetix Vulnerability Scanner – це професійний інструмент з кібербезпеки Premium-класу. Такою кількістю фіч в одній коробці мало хто може похизуватися. Працювати з ним – одне задоволення!
Якщо Burp Suite вимагає від користувача конкретних технічних навичок, то Acunetix підійде не лише спеціалістам кібербезпеки, а й широкому колу власників електронних ресурсів. Тут все інтуїтивно зрозуміло і доведено до автоматизму, а тому не складно розібратися.
Точність ідентифікації вразливостей, кількість, деталізованість та стиль звітів вражають й розкривають необмежений потенціал. Те, що можна довго і нудно комбінувати вручну, створюючи аудити з нуля, в Acunetix отримуєш однією кнопкою. Ось це і є автоматизація рутинних процесів у кращому вигляді. Сподобались також об’єм та фактаж наданих даних, багатопоточність, швидкодія і простота сканера.
Обширна База знань допоможе в опануванні Acunetix новачкам. Також додаток має власну CVE-базу вразливостей, що стане в пригоді аудиторам й пентестерам.
Загалом, Acunetix Vulnerability Scanner є прикладом довершеності та функціональності програмного забезпечення.
Усім власникам ІТ-інфраструктури рекомендується!
Читайте також:
ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!