4 Веб-бағдарламалардың қауіпсіздік сканерлерін салыстырмалы тестілеу Бұл бөлімде енуге тестілеу әдісі үшін веб-бағдарламалардың қол жетімді және танымал қауіпсіздік сканерін зерттеу және бірінші бөлімде зерттелген веб-қосымшалардың қауіпсіздік қатерлері мен осалдықтарының негізгі түрлерін анықтау үшін қандай сканердің тиімді екенін анықтау үшін салыстырмалы тестілеу жүргізілді.
4.1 Таңдалған қауіпсіздік сканерлерінің қысқаша сипаттамасы Веб-бағдарламалардың қауіпсіздігін талдау сканері веб-қосымшаның осалдығын іздеуді жүзеге асыруға мүмкіндік беретін кешенді шешімдер болып табылады. Бұл бөлімде кейбір қауіпсіздік сканерлерін салыстырмалы тестілеу жүргізіледі және алынған нәтижелерге талдау жүргізіледі, сондай-ақ қорытынды жасалады. Қазіргі уақытта веб-қосымшалардың көптеген қауіпсіздік сканерлері бар, мұндай құралдар бағасымен, сканерлеу сапасымен, осалдықтарды іздеу әдістерімен және басқа да кейбір параметрлермен ерекшеленеді. Сипаттаманың негізінде тестілеуді өткізу үшін 4 түрлі қауіпсіздік сканерін таңдау жүргізілді, тестілеуге қосу үшін негізгі критерий сканердің осы жұмыстың бірінші тарауында жіктелген осалдықтарды табу және идентификациялау мүмкіндігі болды. Келесі сканерлер таңдалды: Web Application Attack and Audit Framework (w3af), SkipFish, Acunetix Web Vulnerability Scanner (Acunetix WVS) және SQLMap.
Одан әрі сканерлердің қысқаша сипаттамасы, сондай-ақ тестілеу барысында анықталған артықшылықтар мен кемшіліктер келтірілген.
Acunetix Web Vulnerability Scanner. Автоматты веб-бағдарлама қауіпсіздігін талдау сканері. Дәстүрлі схемаға сәйкес жұмыс істейді: алдымен веб-қосымшаның құрылымы зерттеледі және құрылады, содан кейін осалдықтарды іздеу орындалады. Бұл сканердің жұмыс жасау қорытындысы [Б1.6] [Б1.7 суреттер] көрсетілген.
Артықшылықтары:
ең өзекті және жиі кездесетін осалдықтарды анықтауға мүмкіндік береді;
осалдықтарды жою тәсілі және олардың нақты сипаттамасын анықтау ақылы болады.
SkipFish. Google компаниясынан веб-қосымшалардың қауіпсіздігін талдау сканері ашық кодпен тегін, талдау рекурсивті әдіске негізделген. Талдау нәтижесінде сканер толық есепті қалыптастырады.
Артықшылықтары:
веб-бағдарламаны толық талдау;
осы бағдарламаны одан әрі сынау үшін сөздікті қалыптастыру мүмкіндігі;
анықталған осалдықтар туралы толық ақпарат, осалдықты қамтитын ресурстың URL мекенжайы және оған берілген сұраныс бар толық есеп. Есептегі деректер қауіптілік деңгейі мен осалдықтың түрі бойынша сұрыпталған.
SQLMap. Бұл сканердің басты мақсаты SQL осалдықтарды автоматтандырылған іздеу болып табылады. Осалдықтарды анықтауға ғана емес, оларды пайдалануға да мүмкіндік береді. Ашық бастапқы коды бар, толықтай тегін болып табылады.
Артықшылықтары:
әр түрлі инъекция түрлерін қолдау;
көпағымдылық;
енуді тестілеу үшін басқа құралдармен интеграциялану;
бағдарлама және сервер туралы ақпаратты жинау мүмкіндігін береді.
Кемшіліктері:
- сканерлеу кезінде ешқандай кемшіліктер байқалмады.