摘要:[資訊安全]
最近公司導入 ISO 27001 , 內部的資安小組,針對公司開發出來的網站,實施了弱點掃瞄,用了W3AF (Web Application Attack and Audit Framework) 這套工具,還不錯用,下載回來掃了一下,果然幫我的網站找出不少會發生 exception 的 bug 出來。
這套工具是用 python 寫的,所以最好先安裝一下 Python,再安裝 W3AF
http://www.python.org/download/
官網下載
http://w3af.sourceforge.net/#download
安裝好之後就可以開始進行掃瞄啦
以下資訊轉自
w3af 掃描進行方式大致可分為三個階段,相關核心的 plugins 為 discovery、audit、attack 三者。
-
第一階段:discovery plugins 會找尋新的 URLs、表單和網站中的 injection points
-
第二階段:audit plugins 針對第一階段找到的 injection points 輸入特殊的 input data 來找尋是否有弱點,例如檢查 SQL Injection、XSS 等常見弱點
-
第三階段:attack plugins 針對第二階段找到的弱點傳回對使用者有用的資訊,例如 remote shell、SQL table dump、a proxy 等
除了上述三個主要的 plugins 外,w3af 已有超過 130 個 plugins,這些 plugins 可分為以下幾種類型:
-
discovery:找尋網頁中的 injection points
-
audit:由 discovery plugins 產生的結果找尋網站弱點
-
grep:搜尋網頁所有內容找尋其他 plugins request 的弱點
-
exploit:由 audit plugins 產生的結果傳回對使用者有用的資訊
-
output:根據掃描結果產生 text 或 html 的檔案,可以供使用者作進一步分析
-
mangle:可利用 regular expressions 更改 requests 和 responses
-
bruteforce:做 bruteforce logins
-
evasion:可迴避簡單的偵測入侵規則