Quét lỗi bảo mật Acunetix Web Vulnerability

Quét lỗi bảo mật Acunetix Web Vulnerability 

Tại phần 1: Giới thiệu công cụ đánh giá Website

Bài viết này giới thiệu một trong các công cụ được các chuyên gia bảo mật và các Hacker hay dùng.

1. Giới thiệu

Acunetix WVS (Web Vulnerability Scanner) là một chương trình Pentest các ứng dụng Web bằng cách thử các bộ dữ liệu đồ sộ từ đó tìm các lỗ hổng bảo mật như: SQL Injection, Cross-Site Scripting (XSS), chính sách xác thực…và các lỗi bảo mật khác, đồng thời cũng quét các lỗi bảo mật của các Webserver như Apache, IIS.

Trên thị trường hiện nay có nhiều phần mềm, công cụ hỗ trợ các tính năng scan trên có thể kể đến các công cụ như:
Shadow Security Scanner, Retina Network Security Scanner, Nessus…trong bài này anninhmang giới thiệu công cụ Acunetix WVS.

Databse của Acunetix WVS được cập nhật thường xuyên, nhiều thuật toán scan thông minh phát hiện khá tốt các lỗi và đáng chú ý là chương trình cảnh báo dưới các mức khác nhau (low, medium, high) đồng thời đề ra các giải pháp cho admin có thể khắc phục các sự cố đó bằng cách nào, nguồn

Một số các lổ hổng bảo mật được kiểm tra bởi Acunetix WVS được giới thiệu tại trang chủ: http://www.acunetix.com
– Code Execution
– Directory Traversal
– File Inclusion
– Script Source Code Disclosure
– CRLF Injection
– Cross Frame Scripting (XFS)
– PHP Code Injection
– XPath Injection
– Full Path Disclosure
– LDAP Injection
– Cookie Manipulation
– MultiRequest Parameter Manipulation
– Blind SQL/XPath Injection
– File Checks
– Checks Backup Files hay Directories
– Cross Site Scripting trong URL
– Checks Script Errors
– Directory Checks
– Discover Sensitive Files/Directories
– Cross Site Scripting trong Path and PHPSESSID Session Fixation.
– Web Applications
– Text Search
– Directory Listings
– Source Code Disclosure
– Microsoft Office Possible Sensitive Information
– Local Path Disclosure
– Error Messages
– GHDB Google Hacking Database
– Over 1200 GHDB Search Entries in the Database

2. Sử dụng phần mềm

Sau khi chúng ta download phần mềm và cài đặt, ta có thể update phiên bản mới nếu cần

Bước 1: Nhấn New scan để tiến hành scan

Bước 2: Nhập địa chỉ trang web bạn muốn scan tại ô Website URL

Bước 3: Nhấn Next để sang lựa chọn kiểu scan (Mục tiêu bạn kiểm tra lỗi gì thì chọn kiểu đó tại Scaning Profile)

–          Thiết lập setting chọn chế độ scan mode, loại ngôn ngữ của website, URL rewrite…

Bước 4: Chờ đợi cho kết thúc tiến trình scan

Bước 5: Xem kết quả lỗi và đề xuất của chương trình, nguồn tài liệu tham khảo khắc phục

Cảm ơn các bạn.

Lượt xem (3252)

Bài viết liên quan:

Bảo mật Website WordPress Thực hành tấn công SQL Injection trên DVWA Giới thiệu và cài đặt Mod_security (Phần 1) Các bước bảo mật Webserver An ninh mạng làm gì? Ngành “HOT” – An toàn thông tin (Information Security) Web Fake, DNS CACHE POISONING, đánh cắp tài khoản trong LAN Hạn chế local attack trong WordPress