在Qualys公司的多種雲端服務中,Web Application Scanning(WAS)顧名思義,可設為自動定期執行掃描特定網頁應用程式弱點,以便及早修正潛在危機,避免遭人濫用。
而透過雲端服務的形式,用戶可視本身的需求向Qualys租用,不需在自身環境中建置軟硬體設備。根據原廠網站的資料,目前服務的訂閱方式,分成企業版與精簡版(Express Edition),時間是以一整年為單位,可掃描、抓取(Crawl)無限數量的內外網站的頁面,但精簡版只提供6個帳戶供用戶端人員登入,以及最多可掃描200支應用程式、使用2套Scanner,而企業版無此限制。而在臺灣的代理商亞利安科技有另一套計價方式,主要是依據內部IP位址加上外部IP位址的數量。
WAS除了掃描網頁應用程式弱點,也會辨識出這些網站上是否包含敏感、機密資料。同時,對於需要驗證使用者身分才能登入的網站,管理者也可以預先設定身分認證方式,以便進入檢驗。此外,系統也提供統計報表機制,上面會提供如何修改網頁程式碼的建議,以提升安全性。
可選擇用內部或外部弱點掃描機制
要開始網站應用程式弱點掃描之前,首先我們要先指定所欲針對的網站應用程式,WAS提供步驟式的設定頁面,可以引導你輸入目標網址,選擇網頁掃描與抓取的方式、登入網站的身分認證,以及希望一併掃描或排除掃描的網址,也就是所謂的黑白名單(前者是指不讓WAS掃描的網頁,後者則是希望WAS掃描的網頁,管理可直接新增網址或透過正規表示式描述)。
在掃描設定上,我們能指定用一組Option Profile,並選擇Scanner Appliance的類型。
Scanner Appliance有內外之分,若決定用內部,用戶需在內部網路架設一臺由原廠提供的硬體設備QualysGuard Scanner Appliance,或建置Virtual Scanner Appliance(可支援VMware虛擬化平臺和Amazon雲端服務);若選外部,則是指位在網際網路上的遠端Scanner,由Qualys本身管理。
此外,對於很多網頁會用的robots.txt和sitemap.xml這兩個檔,目的是不讓搜尋引擎檢索或讓搜尋引擎能夠抓取網頁內容,因此裡面會記錄一些網址或資料夾位置,而在WAS上,管理者也能設定是否抓取裡面的連結。甚至,用戶可以設定用Header Injection的方式來掃描網頁。robots.txt通常是用來限制檢索網頁搜尋引擎存取網站部分內容的檔案,相反地,sitemap.xml則是讓搜尋引擎能夠檢索一些很難找到位置的網站內容,例如動態網頁。
抓取網頁內容的設定上,WAS掃描引擎可匯入從Selenium產生的script,可設定觸發這支Script的網址或正規表示式敘述,或是通過表單驗證後才執行這支Script。Selenium是一套自動測試網頁應用程式的工具軟體。每支Script裡面,通常會需要記錄從指定網站應用程式中所存取的路徑,使WAS能夠去抓取,這裡,同時也包含網站標準服務下,所要抓取的頁面路徑。
這樣的支援,主要是讓WAS網頁抓取作業,能夠涵蓋到更複雜的工作流程,像是使用者基於特定習慣或知識所輸入的資訊或執行的互動式行為。
提供兩種主要的掃描模式
在掃描模式上,WAS提供探勘掃描(Discovery Scan)和弱點掃描(Vulnerability Scan)等兩種。Discovery Scan會尋找網頁應用程式的相關資訊,但不涉及弱點測試,可用來了解掃描進行的位置,以及協助管理者判斷是否需要置入弱點掃描的黑名單中。
Vulnerability Scan顧名思義就是檢查網站應用程式弱點,並蒐集相關資訊,它會偵測網站是否具有跨站執行(XSS)、SQL注入等弱點,以及是否包含敏感內容,如美國民眾的社會安全號碼(SSN)、信用卡號或其他自定的資料格式。在使用者密碼安全性的驗證上,我們也可以設定讓WAS使用不同層級的暴力破解法(password bruteforcing),有5種系統清單模式可以選用(從簡單到複雜,或自定嘗試失敗到一定次數才罷手),也可以自行上傳使用者帳號、密碼清單的破解模式。
在WAS網頁管理介面上,可以看到Web Applications這一個主項目,下面還細分Catalog和Maps等兩個分頁設定。
Catalog是存放已被WAS完整掃描過,並且與Maps功能對應的網站應用程式項目,可辨識出主機位在網路上的相關資訊,像是FQDN資訊、IP位址與網路通訊埠。管理者可將Maps所收集到的主機資訊,再自行設定這些節點的狀態為批准使用、不受控管(Rogue),或是自動忽略,我們也可以將這些網站項目加入訂閱機制,即可新增至WAS的網站應用程式清單中。
而Maps功能的使用,是需要搭配Qualys另一套弱點管理服務Vulnerability Management(VM)的功能,它主要用來對特定網域去偵測目前正在運作的主機,並收集相關網路資訊(例如DNS記錄和網路拓樸)。
能以摘要檢視與統計報表等形式,呈現弱點掃描結果
不論執行單次掃描或排程掃描作業,管理者若要察看WAS偵測該網站弱點的結果,都可用統計報表的方式去觀察結果。系統提供4種類型的報表,你可以選擇從網站應用程式、個別的掃描作業、計分卡或Catalog的觀點,來產生指定的掃描結果圖表。系統會以長條圖與圓餅圖的方式,呈現詳細的弱點統計結果,以及在不同威脅項目下的分布比例。
其中較特別的是計分卡報表和Catalog報表。前者主要是讓管理者根據不同的業務部門或性質的工作,來區分所監控的多個網站應用程式,它也會包含Catalog報表。
而Catalog報表則是列出Catalog中所有的網站項目,來呈現之間的狀態區別,例如是新出現的或是不受管控的。
除了報表形式的統計檢視(View Report),我們還可以在個別的掃描項目下,選擇摘要檢視(View),即可瀏覽較精簡的弱點偵測結果。
能自行建立弱點偵測項目清單
系統目前提供了14,260個弱點項目,管理者可自行搜尋、指定需要項目,以建立多組弱點偵測清單(Search List)。
可偵測特定格式的敏感資料
管理在設定掃描各網站的Profi le時,可以選擇所有弱點的完整掃描或自定的弱點清單,同時也可檢查該網站應用程式,是否包含了信用卡號等個人機密資料。
以圖表檢視單次弱點掃描作業結果
對於弱點偵測結果,管理者可以用摘要或報表的形式來檢視。圖中為摘要檢視,簡單扼要地呈現弱點數量與等級分布。
產品資訊 | 建議售價●5個外部IP位址為每年15萬元(未稅)原廠●Qualys 網址●www.qualys.com 代理商●亞利安科技(02)2799-2800 可偵測的網站弱點類型●OWASP公布的10大弱點 可偵測弱點項目●14,260個 功能●網站行為分析、網站靜態分析、自動警示 報表匯出格式●ZIP(壓縮後的HTML)、PDF、加密PDF、XLS、DOC、PPT |
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】
熱門新聞
2024-12-24
2024-12-22
2024-12-20
2024-11-29
2024-08-14