Веб-қосымшаларды құру құралдары (Интернет, frame relay)


Веб-бағдарламалардың қауіпсіздік сканерлерін салыстырмалы тестілеу



бет13/19
Дата11.01.2023
өлшемі1,31 Mb.
#60965
1   ...   9   10   11   12   13   14   15   16   ...   19
Байланысты:
1 Веб- осымшаларды ру ралдары 8

4 Веб-бағдарламалардың қауіпсіздік сканерлерін салыстырмалы тестілеу
Бұл бөлімде енуге тестілеу әдісі үшін веб-бағдарламалардың қол жетімді және танымал қауіпсіздік сканерін зерттеу және бірінші бөлімде зерттелген веб-қосымшалардың қауіпсіздік қатерлері мен осалдықтарының негізгі түрлерін анықтау үшін қандай сканердің тиімді екенін анықтау үшін салыстырмалы тестілеу жүргізілді.
4.1 Таңдалған қауіпсіздік сканерлерінің қысқаша сипаттамасы
Веб-бағдарламалардың қауіпсіздігін талдау сканері веб-қосымшаның осалдығын іздеуді жүзеге асыруға мүмкіндік беретін кешенді шешімдер болып табылады. Бұл бөлімде кейбір қауіпсіздік сканерлерін салыстырмалы тестілеу жүргізіледі және алынған нәтижелерге талдау жүргізіледі, сондай-ақ қорытынды жасалады. Қазіргі уақытта веб-қосымшалардың көптеген қауіпсіздік сканерлері бар, мұндай құралдар бағасымен, сканерлеу сапасымен, осалдықтарды іздеу әдістерімен және басқа да кейбір параметрлермен ерекшеленеді. Сипаттаманың негізінде тестілеуді өткізу үшін 4 түрлі қауіпсіздік сканерін таңдау жүргізілді, тестілеуге қосу үшін негізгі критерий сканердің осы жұмыстың бірінші тарауында жіктелген осалдықтарды табу және идентификациялау мүмкіндігі болды. Келесі сканерлер таңдалды: Web Application Attack and Audit Framework (w3af), SkipFish, Acunetix Web Vulnerability Scanner (Acunetix WVS) және SQLMap.
Одан әрі сканерлердің қысқаша сипаттамасы, сондай-ақ тестілеу барысында анықталған артықшылықтар мен кемшіліктер келтірілген.
Acunetix Web Vulnerability Scanner. Автоматты веб-бағдарлама қауіпсіздігін талдау сканері. Дәстүрлі схемаға сәйкес жұмыс істейді: алдымен веб-қосымшаның құрылымы зерттеледі және құрылады, содан кейін осалдықтарды іздеу орындалады. Бұл сканердің жұмыс жасау қорытындысы [Б1.6] [Б1.7 суреттер] көрсетілген.
Артықшылықтары:

  • ең өзекті және жиі кездесетін осалдықтарды анықтауға мүмкіндік береді;

  • графикалық интерфейс;

Осалдықтарды жою тәсілін шығару және олардың сипаттамасы;

етеді;

  • есеп жасау.

Кемшіліктері:

  • осалдықтарды жою тәсілі және олардың нақты сипаттамасын анықтау ақылы болады.

SkipFish. Google компаниясынан веб-қосымшалардың қауіпсіздігін талдау сканері ашық кодпен тегін, талдау рекурсивті әдіске негізделген. Талдау нәтижесінде сканер толық есепті қалыптастырады.
Артықшылықтары:

  • веб-бағдарламаны толық талдау;

  • осы бағдарламаны одан әрі сынау үшін сөздікті қалыптастыру мүмкіндігі;

  • анықталған осалдықтар туралы толық ақпарат, осалдықты қамтитын ресурстың URL мекенжайы және оған берілген сұраныс бар толық есеп. Есептегі деректер қауіптілік деңгейі мен осалдықтың түрі бойынша сұрыпталған.

Кемшіліктері:

SQLMap. Бұл сканердің басты мақсаты SQL осалдықтарды автоматтандырылған іздеу болып табылады. Осалдықтарды анықтауға ғана емес, оларды пайдалануға да мүмкіндік береді. Ашық бастапқы коды бар, толықтай тегін болып табылады.
Артықшылықтары:

  • әр түрлі инъекция түрлерін қолдау;

  • көпағымдылық;

  • енуді тестілеу үшін басқа құралдармен интеграциялану;

  • бағдарлама және сервер туралы ақпаратты жинау мүмкіндігін береді.

Кемшіліктері:
- сканерлеу кезінде ешқандай кемшіліктер байқалмады.


Достарыңызбен бөлісу:
1   ...   9   10   11   12   13   14   15   16   ...   19




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет