網站弱點管理服務QualysGuard WAS v2提供超過1萬個偵測項目

在Qualys公司的多種雲端服務中，Web Application Scanning（WAS）顧名思義，可設為自動定期執行掃描特定網頁應用程式弱點，以便及早修正潛在危機，避免遭人濫用。

而透過雲端服務的形式，用戶可視本身的需求向Qualys租用，不需在自身環境中建置軟硬體設備。根據原廠網站的資料，目前服務的訂閱方式，分成企業版與精簡版（Express Edition），時間是以一整年為單位，可掃描、抓取（Crawl）無限數量的內外網站的頁面，但精簡版只提供6個帳戶供用戶端人員登入，以及最多可掃描200支應用程式、使用2套Scanner，而企業版無此限制。而在臺灣的代理商亞利安科技有另一套計價方式，主要是依據內部IP位址加上外部IP位址的數量。

WAS除了掃描網頁應用程式弱點，也會辨識出這些網站上是否包含敏感、機密資料。同時，對於需要驗證使用者身分才能登入的網站，管理者也可以預先設定身分認證方式，以便進入檢驗。此外，系統也提供統計報表機制，上面會提供如何修改網頁程式碼的建議，以提升安全性。

可選擇用內部或外部弱點掃描機制

要開始網站應用程式弱點掃描之前，首先我們要先指定所欲針對的網站應用程式，WAS提供步驟式的設定頁面，可以引導你輸入目標網址，選擇網頁掃描與抓取的方式、登入網站的身分認證，以及希望一併掃描或排除掃描的網址，也就是所謂的黑白名單（前者是指不讓WAS掃描的網頁，後者則是希望WAS掃描的網頁，管理可直接新增網址或透過正規表示式描述）。

在掃描設定上，我們能指定用一組Option Profile，並選擇Scanner Appliance的類型。

Scanner Appliance有內外之分，若決定用內部，用戶需在內部網路架設一臺由原廠提供的硬體設備QualysGuard Scanner Appliance，或建置Virtual Scanner Appliance（可支援VMware虛擬化平臺和Amazon雲端服務）；若選外部，則是指位在網際網路上的遠端Scanner，由Qualys本身管理。

此外，對於很多網頁會用的robots.txt和sitemap.xml這兩個檔，目的是不讓搜尋引擎檢索或讓搜尋引擎能夠抓取網頁內容，因此裡面會記錄一些網址或資料夾位置，而在WAS上，管理者也能設定是否抓取裡面的連結。甚至，用戶可以設定用Header Injection的方式來掃描網頁。robots.txt通常是用來限制檢索網頁搜尋引擎存取網站部分內容的檔案，相反地，sitemap.xml則是讓搜尋引擎能夠檢索一些很難找到位置的網站內容，例如動態網頁。

抓取網頁內容的設定上，WAS掃描引擎可匯入從Selenium產生的script，可設定觸發這支Script的網址或正規表示式敘述，或是通過表單驗證後才執行這支Script。Selenium是一套自動測試網頁應用程式的工具軟體。每支Script裡面，通常會需要記錄從指定網站應用程式中所存取的路徑，使WAS能夠去抓取，這裡，同時也包含網站標準服務下，所要抓取的頁面路徑。

這樣的支援，主要是讓WAS網頁抓取作業，能夠涵蓋到更複雜的工作流程，像是使用者基於特定習慣或知識所輸入的資訊或執行的互動式行為。

提供兩種主要的掃描模式

在掃描模式上，WAS提供探勘掃描（Discovery Scan）和弱點掃描（Vulnerability Scan）等兩種。Discovery Scan會尋找網頁應用程式的相關資訊，但不涉及弱點測試，可用來了解掃描進行的位置，以及協助管理者判斷是否需要置入弱點掃描的黑名單中。

Vulnerability Scan顧名思義就是檢查網站應用程式弱點，並蒐集相關資訊，它會偵測網站是否具有跨站執行（XSS）、SQL注入等弱點，以及是否包含敏感內容，如美國民眾的社會安全號碼（SSN）、信用卡號或其他自定的資料格式。在使用者密碼安全性的驗證上，我們也可以設定讓WAS使用不同層級的暴力破解法（password bruteforcing），有5種系統清單模式可以選用（從簡單到複雜，或自定嘗試失敗到一定次數才罷手），也可以自行上傳使用者帳號、密碼清單的破解模式。

在WAS網頁管理介面上，可以看到Web Applications這一個主項目，下面還細分Catalog和Maps等兩個分頁設定。

Catalog是存放已被WAS完整掃描過，並且與Maps功能對應的網站應用程式項目，可辨識出主機位在網路上的相關資訊，像是FQDN資訊、IP位址與網路通訊埠。管理者可將Maps所收集到的主機資訊，再自行設定這些節點的狀態為批准使用、不受控管（Rogue），或是自動忽略，我們也可以將這些網站項目加入訂閱機制，即可新增至WAS的網站應用程式清單中。

而Maps功能的使用，是需要搭配Qualys另一套弱點管理服務Vulnerability Management（VM）的功能，它主要用來對特定網域去偵測目前正在運作的主機，並收集相關網路資訊（例如DNS記錄和網路拓樸）。

能以摘要檢視與統計報表等形式，呈現弱點掃描結果

不論執行單次掃描或排程掃描作業，管理者若要察看WAS偵測該網站弱點的結果，都可用統計報表的方式去觀察結果。系統提供4種類型的報表，你可以選擇從網站應用程式、個別的掃描作業、計分卡或Catalog的觀點，來產生指定的掃描結果圖表。系統會以長條圖與圓餅圖的方式，呈現詳細的弱點統計結果，以及在不同威脅項目下的分布比例。

其中較特別的是計分卡報表和Catalog報表。前者主要是讓管理者根據不同的業務部門或性質的工作，來區分所監控的多個網站應用程式，它也會包含Catalog報表。

而Catalog報表則是列出Catalog中所有的網站項目，來呈現之間的狀態區別，例如是新出現的或是不受管控的。

除了報表形式的統計檢視（View Report），我們還可以在個別的掃描項目下，選擇摘要檢視（View），即可瀏覽較精簡的弱點偵測結果。

能自行建立弱點偵測項目清單

系統目前提供了14,260個弱點項目，管理者可自行搜尋、指定需要項目，以建立多組弱點偵測清單（Search List）。

可偵測特定格式的敏感資料

管理在設定掃描各網站的Profi le時，可以選擇所有弱點的完整掃描或自定的弱點清單，同時也可檢查該網站應用程式，是否包含了信用卡號等個人機密資料。

以圖表檢視單次弱點掃描作業結果

對於弱點偵測結果，管理者可以用摘要或報表的形式來檢視。圖中為摘要檢視，簡單扼要地呈現弱點數量與等級分布。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】