Vergleichende Tests von Sicherheitsscannern für Webanwendungen. Informationssicherheit, Schutz und sichere Verwaltung von Webressourcen Scannen auf Sicherheit einer Webressource

Das Thema Website-Sicherheit war noch nie so akut wie im 21. Jahrhundert. Das liegt natürlich an der flächendeckenden Verbreitung des Internets in nahezu allen Branchen und Bereichen. Jeden Tag finden Hacker und Sicherheitsexperten mehrere neue Schwachstellen auf Websites. Viele von ihnen werden von den Eigentümern und Entwicklern sofort geschlossen, während einige so bleiben, wie sie sind. Dies nutzen Angreifer. Aber mit Hilfe einer gehackten Website können Sie sowohl den Benutzern als auch den Servern, auf denen sie gehostet wird, großen Schaden zufügen.

Arten von Website-Schwachstellen

Sie werden interessiert sein:

Beim Erstellen von Webseiten beziehen sich viele Elektronische Technologie. Manche sind perfekt und bewährt, manche neu und noch nicht eingefahren. In jedem Fall gibt es viele Arten von Website-Schwachstellen:

  • XSS. Jede Seite hat kleine Formulare. Mit ihrer Hilfe geben Benutzer Daten ein und erhalten Ergebnisse, registrieren sich oder senden Nachrichten. Indem Sie spezielle Werte in diese Formulare einfügen, können Sie die Ausführung eines bestimmten Skripts provozieren, was zu einer Verletzung der Integrität der Website und zur Gefährdung von Daten führen kann.
  • SQL-Injektion. Sehr häufig u effektive Methode auf vertrauliche Daten zugreifen. Dies kann entweder über die Adressleiste oder über Formulare geschehen. Der Prozess wird durchgeführt, indem Werte ersetzt werden, die nicht durch Skripte gefiltert werden dürfen, und die Datenbank abgefragt wird. Und mit dem richtigen Wissen kann dies zu einer Sicherheitsverletzung führen.

Figur 2. Aussehen Mutillidae-Webanwendungen

Testmethodik

Jetzt haben wir uns vorbereitet Prüfstand, können Sie den Testprozess in Betracht ziehen, der aus der folgenden Abfolge von Aktionen besteht:

  1. Vorbereiten einer Testanwendung zum Scannen
  2. Einrichten eines Sicherheitsscanners
  3. Starten des Scanvorgangs mit den gewählten Einstellungen
  4. Auswertung der Ergebnisse und Eintrag in eine Tabelle
Art der Schwachstelle Gefunden falsch gefunden Zeit

Tabelle 1. Scanergebnisse

Nachdem alle Testreihen für alle Scanner durchgeführt wurden, tragen wir die Ergebnisse in eine zusammenfassende Tabelle ein.

Die Path Traversal / Local File Inclusion

Offenlegung sensibler Daten

verstrichene Zeit

Falsch erkannt

 Falsche Erkennung

Falsch erkannt

Falsch erkannt

Falsch erkannt

Tabelle 2. Übersichtstabelle der Ergebnisse

Bei der Durchführung von Tests werden wir auf mehrere Probleme stoßen:

  1. Sicherheitsscanner unterscheiden sich in ihren Einstellungen und Funktionen. Um die spezifischen Merkmale der Scanner in unseren Tests widerzuspiegeln, werden wir mehrere Scanserien mit unterschiedlichen Einstellungskonfigurationen durchführen, um (wenn möglich) ein besseres Ergebnis zu erzielen.
  2. Sicherheitsscanner sind entweder auf eine bestimmte Art von Schwachstelle spezialisiert oder können eine Vielzahl von Schwachstellen erkennen. Wenn der Scanner auf eine bestimmte Art von Schwachstellen spezialisiert ist, muss er diese daher qualitativer bestimmen, ansonsten werden wir betonen besondere Aufmerksamkeit auf eine nicht identifizierte oder fälschlicherweise identifizierte Schwachstelle durch einen spezialisierten Scanner.
  3. Arten von Schwachstellen. Da es eine große Anzahl von Arten von Schwachstellen gibt, müssen wir uns für die Typen entscheiden, die wir im Abschlussbericht widerspiegeln. IN dieses Problem Wir orientieren uns an der Klassifizierung OWASP Top 10 2013 und wählen aus dieser Liste fünf Arten von Schwachstellen aus.
  4. Die Anzahl der Schwachstellen in einer Webanwendung. Wir können nicht im Voraus wissen, wie viele Schwachstellen in der Test-Webanwendung enthalten sind, daher nehmen wir für die Gesamtzahl die Summe der von allen Scannern gefundenen Schwachstellen.

Scanner einrichten und Tests starten

SkipFisch

Dieser Scanner ist ein vollautomatisches Tool mit einer Konsolenschnittstelle und hat eine kleine Anzahl von Einstellungen, mit vollständige Liste die mit dem Befehl skipfish -h gefunden werden kann. Um den Scanvorgang zu starten, bietet der Autor drei grundlegende Optionen an:

  1. skipfish -W /dev/null -LV […andere Optionen…] – In diesem Startmodus führt der Scanner eine geordnete Traversierung des Ziels durch und funktioniert im Prinzip genauso wie andere Scanner. Aufgrund der begrenzten Abdeckung der Ressourcen des Ziels nicht empfohlen, aber der Scanvorgang dauert im Vergleich zu anderen Modi viel weniger Zeit;
  2. skipfish -W dictionary.wl -Y […andere Optionen…] – in diesem Modus fuzzet der Scanner nur Dateinamen oder Erweiterungen. Dieser Modus wird bevorzugt, wenn es eine zeitliche Begrenzung gibt und ein akzeptables Ergebnis erforderlich ist;
  3. skipfish -W dictionary.wl […weitere Optionen…] – in diesem Modus geht der Scanner alle möglichen Namens- und Erweiterungspaare durch. Dieser Modus ist viel langsamer als die vorherigen, führt aber gleichzeitig eine detailliertere Analyse der Webanwendung durch. Der Scannerentwickler empfiehlt, diese Option standardmäßig zu verwenden.

Skipfish -W dictionary.wl -o ~/report/ http://target/

W - geben Sie den Pfad zum Wörterbuch an, das wir verwenden werden;

O - Geben Sie das Verzeichnis an, in dem wir den Bericht speichern werden.

Art der Schwachstelle Gefunden falsch gefunden Zeit
SQL-Injektion 6 5 3h18m
XSS 11 2
CSRF 1 1
3 2
Offenlegung sensibler Daten 128 0

Tabelle 3. SkipFish-Scanergebnisse

Abbildung 3. Beenden des SkipFish-Scanvorgangs

SkipFish hat die Aufgabe trotz der vielen Fehlalarme gut gemeistert. Es ist erwähnenswert, dass der Scanner, obwohl er keine grafische Oberfläche hat, sehr einfach einzurichten ist. Außerdem hat SkipFish zusätzlich zu den in der Tabelle gezeigten Ergebnissen viele gefunden interessante Informationüber eine Webanwendung, durch deren Analyse Sie die Sicherheit der Anwendung verbessern können

SQLMap

Der Hauptzweck dieses Scanners besteht darin, SQL-Schwachstellen automatisch zu finden und auszunutzen. Es verfügt über eine Vielzahl von Einstellungen, mit denen Sie den Prozess zum Auffinden und Ausnutzen von Schwachstellen optimieren können. Um mit dem Scannen zu beginnen, können Sie den Assistenten verwenden: sqlmap --wizard or der einfachste Befehl: sqlmap -u "http://www.target.com/vuln.php?id=1". Wir werden versuchen, den Suchprozess vollständig zu automatisieren und das Ergebnis zu maximieren. Wir werden den Scanvorgang auf zwei Arten starten:

sqlmap –u "http://target/" -o –v 4 --crawl=4 --level=3 --risk=2 --forms --batch --dbms=mysql sqlmap –l ~/burplog.log -o –v 4 --batch --level=3 --risk=2 --dbms=mysql

Bei der ersten Methode verwenden wir den integrierten SQLMap-Crawler und bei der zweiten die Burp Suite-Protokolldatei. Kommentieren wir nun die von uns verwendeten Parameter:

U - nach angegebenen Parameter geben Sie die Adresse des Scanziels an;

L - Geben Sie nach diesem Parameter den Pfad zu der Datei mit Burp Suite- (oder WebScarab-) Protokollen an;

O - Optimierung aktivieren;

V - Stellen Sie den Detaillierungsgrad der angezeigten Informationen ein;

-dbms – installiert das DBMS, das unser Ziel verwendet;

-Formulare - ermöglichen das Parsing und die Analyse von Formularen, die in der Testanwendung enthalten sind;

--crawl - schaltet den eingebauten Crawler ein, der unser Ziel scannt;

--batch - Da wir uns entschieden haben, den Such- und Exploitationsprozess vollständig zu automatisieren, werden wir diesen Parameter verwenden, er zwingt SQLMap dazu, standardmäßig alle Aktionen auszuführen und den Benutzer nicht um eine Entscheidung zu bitten;

-level, -risk - Erhöhen Sie die Anzahl der verwendeten Tests und verlängern Sie gleichzeitig die Scanzeit erheblich.

Art der Schwachstelle Gefunden falsch gefunden Zeit
SQL-Injektion 14 0 4h27m
XSS - -
CSRF - -
Die Path Traversal / Local File Inclusion - -
Offenlegung sensibler Daten - -

Tabelle 4. Ergebnisse des SQLMap-Scans

Abbildung 4. Ausnutzung der entdeckten SQL-Schwachstelle

Wie wir oben geschrieben haben, ist SQLMap ein spezialisiertes Tool zum Suchen und SQL-Ausnutzung Schwachstellen, er hat diese Aufgabe perfekt gemeistert, obwohl die Vollautomatisierung kein solches Ergebnis lieferte. Dieses Ergebnis konnten wir dank manueller Analyse erreichen. Es ist erwähnenswert, dass die Testzeit ziemlich lang ist, da wir nur nach einer Art von Schwachstelle gesucht haben. Das Einrichten dieses Scanners ohne detaillierte Bekanntschaft mit einer umfangreichen Liste von Optionen ist der schwierigste aller in diesem Artikel vorgestellten Scanner.

Acunetix Web Vulnerability Scanner (Acunetix WVS)

Dieses Tool ist der einzige bezahlte Vertreter, der nur funktioniert Windows-Plattform, in unserem Test. Der Scanner hat sowohl eine grafische als auch eine Konsolenschnittstelle. Um den Scanvorgang zu starten, müssen Sie den Assistenten verwenden, der Sie auffordert, beide zu verwenden Standardeinstellungen und speziell konfiguriert.

Beginnen wir also mit der Einrichtung des Scanners:

  1. Im ersten Schritt wird uns angeboten, die Zieladresse einzugeben oder eine Datei mit der Site-Struktur auszuwählen, die mit dem Site Crawler-Tool erhalten wurde. Wir wählen die erste Option
  2. Im zweiten Schritt müssen wir ein Scanprofil auswählen, es gibt ziemlich viele davon, wir werden das Profil "Standard" auswählen, da es Tests enthält, nach denen alle gesucht werden sollen verfügbare Typen Schwachstellen und Scaneinstellungen, die wir standardmäßig belassen werden
  3. Im dritten Schritt versucht der Scanner, die Technologien zu ermitteln, die das Ziel verwendet, und zeigt die empfangenen Werte an, während Sie diese selbst auswählen oder den Wert auf „Unbekannt“ setzen können. In unserem Fall wurden alle Werte korrekt definiert, und wir werden sie unverändert lassen.
  4. Der nächste Schritt ist die Auswahl einer Authentifizierungsmethode, da wir sie nicht benötigen, überspringen wir diesen Schritt
  5. Im letzten Schritt wird vorgeschlagen, die Einstellungen zu speichern und nach dem Klicken auf „Fertig stellen“ beginnt der Scanvorgang
Art der Schwachstelle Gefunden falsch gefunden Zeit
SQL-Injektion 1 0 2h 13m
XSS 31 0
CSRF 19 0
Die Path Traversal / Local File Inclusion 4 3
Offenlegung sensibler Daten 231 0

Tabelle 5. Ergebnisse des Acunetix WVS-Scans

Abbildung 5. Abschluss des Acunetix WVS-Scanvorgangs

Einfache Einrichtung und ein Minimum an Fehlalarmen, das kann man über dieses Tool sagen. Zusätzlich zu den Ergebnissen in der Tabelle sammelte Acunetix WVS viele Informationen über die Struktur der Webanwendung und sensible Benutzerdaten. Eine der nützlichen Funktionen des Scanners ist die Bereitstellung detaillierter Informationen über die Schwachstelle und Methoden zu ihrer Beseitigung sowie Links zu Ressourcen mit umfassenden Informationen.

Angriffs- und Audit-Framework für Webanwendungen (w3af)

Ein Framework mit einer grafischen und einer Konsolenschnittstelle, mit der Sie Schwachstellen in einer Webanwendung suchen und ausnutzen können. Dank einer großen Auswahl an Plug-Ins können Sie den Scanvorgang ganz fein abstimmen. Außerdem hat w3af fertige Vorlagen zum Scannen, der Benutzer muss nur die Zieladresse eingeben.

Bei der Einrichtung des Crawlers werden wir uns an den Templates „full_audit“ und „full_audit_spider_man“ orientieren, deren Unterschied darin besteht, dass das erste Template web_spider, einen klassischen Webspider, als Crawler-Plugin nutzt und das zweite spider_man einen lokaler Proxy. Für unsere Zwecke benötigen wir die in den ausgewählten Vorlagen standardmäßig aktivierten „Bruteforce“-Plug-ins nicht, daher deaktivieren wir sie. Es bleibt, Plugins aus der Gruppe „Ausgabe“ zu konfigurieren. Standardmäßig werden die gesammelten Informationen nur an die Konsole ausgegeben, was für die Analyse der Ergebnisse nicht sehr praktisch ist, daher aktivieren wir das Plugin "html_file", mit dem Sie alle erhaltenen Informationen in einer HTML-Datei speichern können.

Jetzt können Sie die Zieladresse eingeben und mit dem Scannen beginnen.

Art der Schwachstelle Gefunden falsch gefunden Zeit
SQL-Injektion 4 2 2h57m
XSS 3 1
CSRF 25 0
Die Path Traversal / Local File Inclusion 4 3
Offenlegung sensibler Daten 17 0

Tabelle 6. Ergebnisse des w3af-Scans

Abbildung 6. Details der Abfrage, die die SQL-Schwachstelle enthält

Nicht umsonst ist dieses Tool ein Framework, mit dem man mit gewissen Tuning-Skills in angemessener Zeit umfassende Informationen über das Ziel sammeln kann. Aber es ist nicht ohne Mängel, beim Testen stießen wir auf ein Problem mit der Stabilität des Scanners, das nur stören konnte.

Testergebnisse

Was haben unsere Tests ergeben? Wenn Sie Aufgaben im Zusammenhang mit der Durchführung eines Sicherheitsaudits für Webanwendungen haben, sollten Sie sich mit Geduld und Zeit eindecken. In der folgenden Tabelle können Sie die Zeit beachten, die der Scanvorgang für jedes der Tools benötigt hat. Es ist nicht sehr groß, der Grund ist folgender: Erstens befanden sich die Testanwendung und die Sicherheitsscanner auf demselben physischen Computer, und zweitens umfasst diese Zeit nicht den Prozess der Analyse der unter realen Bedingungen erzielten Ergebnisse, die Testzeit wird viel länger dauern. Wie Sie bereits bemerkt haben, variieren die Ergebnisse der Scanner: Einige Scanner haben eine bestimmte Schwachstelle besser gefunden, andere mehr genaue Informationüber die Bewerbung als Ganzes. In diesem Zusammenhang sollten Sie sich bei der Sicherheitsprüfung nicht auf ein einziges Tool verlassen, sondern einen Komplex verschiedener Tools verwenden, einschließlich der manuellen Analyse einer Webanwendung. Es ist auch erwähnenswert, dass sich Webtechnologien rasant entwickeln und Sicherheitsscanner nicht mit ihrer Entwicklung Schritt halten. Bevor Sie ein Audit durchführen, sollten Sie sich daher ausführlich mit den in der getesteten Webanwendung verwendeten Technologien vertraut machen, um diese zu prüfen eine Reihe von Werkzeugen und Techniken genauer auswählen.

SQL-Injektion

Das Gelände ist wie ein Garten: Je mehr Arbeit darin investiert wird, desto üppiger werden die Früchte. Aber es passiert auch, wenn eine bewässerte, gedüngte und sorgfältig gepflegte Fläche plötzlich mit einem Paukenschlag aus den Suchergebnissen fliegt. Was ist das? Die Intrigen der Konkurrenten? Normalerweise ist der Grund viel banaler - Viren haben Ihre Webressource gestartet.

Also, woher kommen Viren auf Websites, was sind die Symptome, um sie zu identifizieren, wie Sie Ihre Lieblingsidee auf das Vorhandensein von Malware überprüfen und wie Sie sie vor all diesen bösen Geistern schützen können.

Quellen, Anzeichen und Ziele einer Virusinfektion von Internetressourcen

Möglichkeiten für Viren, in Websites einzudringen viel weniger als zum Beispiel Geräte. Genauer gesagt gibt es nur 3 davon:

  • Ein infizierter Computer, von dem Dateien auf die Website hochgeladen werden. Dieser Faktor macht mehr als 90 % der Fälle aus.
  • Einbrechen. Es kann zum Beispiel gezielt werden, wenn Sie von geschäftlichen Konkurrenten "bestellt" wurden oder die Ressource irgendwie die Aufmerksamkeit von Eindringlingen auf sich gezogen hat, und zufällig - weil sie nicht gut geschlossen war.
  • Schwachstellen von CMS, Serversystemen, Plug-Ins und anderer Software, mit der Websites in Kontakt kommen.

Wie zeigen Viren ihre Anwesenheit an:

  • Die Besucherzahlen gehen stark und unangemessen zurück. Die Webressource verliert Positionen oder fällt aus den Suchergebnissen heraus Suchmaschinen. Wenn Sie versuchen, es im Browser zu öffnen, werden anstelle von Seiten beeindruckende Warnungen wie diese angezeigt:
  • Die Gestaltung der Seiten ändert sich spontan. Es gibt "linke" Werbebanner, Blöcke, Links und Inhalte, die Sie nicht gepostet haben. Wenn Barzahlungen auf die Ressource vorgenommen werden, können sich die Zahlungsdetails ändern.
  • Die Funktionalität der Seite ist gestört, die Links öffnen nicht das, was sie sollten.
  • Besucher beschweren sich, dass Antivirenprogramme auf Ihre Website schwören oder dass nach dem Öffnen Anzeichen einer Infektion auf ihren Geräten aufgetreten sind.

Was ist die böswillige Aktivität von Viren auf Internetressourcen:

  • Beim Diebstahl von Inhalten, Datenbanken, Verkehr, Geld.
  • Beim Infizieren der Geräte von Besuchern und anderer anfälliger Websites auf demselben Server.
  • Indem Sie Ihre Besucher zu den Ressourcen umleiten, die die Angreifer benötigen, zum Beispiel durch die Installation von Doorways mit Spam-Links oder das Hinzufügen eines böswilligen Umleitungscodes für Mobilgeräte zu .htaccess. Dieser Code leitet nur diejenigen zu anderen Websites weiter, die mitgekommen sind mobile Geräte.
  • Indem Sie die Suchpositionen von jemandem auf Ihre Kosten verbessern.
  • Versenden von Spam und böswilligen Nachrichten aus Ihrer E-Mail. Oft mit dem Ziel, Ihre E-Mail den Mail-Datenbanken von böswilligen Spammern hinzuzufügen, damit Ihre Abonnenten und Benutzer keine Briefe von Ihnen erhalten.
  • Bei der vollständigen oder teilweisen Deaktivierung einer Webressource sowie bei ihrer absichtlichen Entfernung aus Suchindizierung(Verhüllung).
  • Bei der Installation von Web-Shells und Backdoors auf dem Server, mit deren Hilfe der Angreifer gelangt Fernzugriff zum Dateisystem des Servers.

Methoden zur Diagnose der Site-Sicherheit

Es gibt mehrere Möglichkeiten, eine Website auf Viren zu überprüfen. Die schnellste und einfachste, aber eher oberflächliche Möglichkeit ist die Überprüfung mit Online-Antivirenscannern. Sie sollten immer damit beginnen, wenn auch nur der geringste Verdacht auf das Vorhandensein von Malware besteht.

Wenn eine Online-Site-Überprüfung eine Bedrohung ergab, ist es ratsam, einen vollständigen Datei-für-Datei-Scan mit Antivirenprogrammen durchzuführen.

Darüber hinaus praktizieren einige Webmaster die manuelle Methode des Virenscans – indem sie jede verdächtige Datei öffnen und nach Lesezeichen durchsuchen. Die Suche erfolgt anhand von Signaturen (Codefragmente, die häufig in bösartigen Objekten zu finden sind) und durch den Vergleich potenziell infizierter Dateien mit sauberen. Wenn Sie über das Wissen und die Erfahrung verfügen, kann diese Methode die zuverlässigste sein, da selbst die leistungsstärksten und am besten bewerteten Antivirenprogramme Bedrohungen übersehen.

Sicherheitslücken auf Webseiten werden von Suchmaschinen oft als erstes bemerkt:

  • Yandex.Webmaster zeigt Informationen darüber auf der Seite "Diagnose" - "Sicherheit und Verstöße" an.

  • Google Search Console- im Abschnitt "Tools für Webmaster" - "Status" - " Malware».

Wenn Malware erkannt wird, befolgen Sie die Empfehlungen von Yandex und Google, um sie zu finden und zu beseitigen. Und dann überprüfen Sie die Website mit Online-Crawlern.

Online-Scanner zum Überprüfen von Websites auf Viren und Hacking

i2p

i2p ist ein einfacher kostenloser russischsprachiger Dienst für schneller Check Webressourcen - in ganzen oder einzelnen Seiten, für schädliche Inhalte. Die Analyse dauert einige Sekunden, aber das Ergebnis ist leider nicht immer zuverlässig. „Virenverdacht“, wie im Beispiel unten, kann ganz harmlos sein. Sie brauchen nur mehr Aufmerksamkeit.

einer der bekanntesten und beliebtesten Virenscanner online. Überprüft Internetressourcen (sowie alle Dateien) mit 65 Antiviren-Engines, darunter Kaspersky, Dr.Web, ESET, Avast, BitDefender, Avira usw. Zeigt die Reputation der überprüften Website gemäß der Abstimmung der Virustotal-Community an. Nur Serviceschnittstelle ein Englische Sprache.

Um eine Webressource auf VirusTotal zu scannen, öffnen Sie die Registerkarte „URL“ auf der Hauptseite, fügen Sie den Link in das Feld „URL suchen oder scannen“ ein und klicken Sie auf das Lupensymbol.

Der Dienst meldet nicht nur die Sauberkeit oder Infektion der Website, sondern zeigt eine Liste der überprüften Dateien mit Hinweisen darauf, was Verdacht erregt hat. Die Analyse basiert auf eigenen und globalen Antiviren-Datenbanken.

Andere Bereiche des Dienstes sind gefüllt mit Artikeln über Diagnose, selbstmanuelle Entfernung von Viren, Schutz vor Infektionen, Sicherung und andere Materialien über die Sicherheit von Internetressourcen.

Das Dr Web-Labor analysiert den Zustand von Websites ausschließlich mit seinen eigenen Datenbanken und Algorithmen.

Basierend auf den Scanergebnissen wird ein Bericht erstellt:

  • Ob Malware auf dem Objekt erkannt wurde.
  • Ob es sich in den Datenbanken von jemandem mit schädlichen Objekten befindet.
  • Leitet es Besucher zu anderen Ressourcen um.

Unten sind die Ergebnisse der Überprüfung von Dateien und Weitere Informationenüber Verdachtsmomente.

xseo

Der unansehnliche Xseo-Webdienst ist tatsächlich informativer und funktionaler als viele andere. Es prüft Websites auf mehr als sechs Millionen bekannte Viren, auf Phishing und zeigt auch deren Sicherheitsbewertungen nach MyWOT, Yandex und Google an. Darüber hinaus enthält Xseo eine Menge anderer nützlicher und kostenloser SEO-Tools. Der Zugang zu einigen von ihnen erfordert eine Registrierung.

- noch eins kostenloser Service Sicherheitsüberprüfungen von Internetressourcen. Es ist in der Lage, Anzeichen einer Infektion mit bekannter Malware zu erkennen, Fehler auf Websites zu finden, sie durch Blacklisting-Datenbanken zu "lochen" und die Relevanz der CMS-Version zu bestimmen. Serviceschnittstelle in Englisch, Spanisch und Portugiesisch.

— ein Tool zur umfassenden Überprüfung von Internetressourcen auf Infektionen und Hacking. Erkennt die folgenden Arten von Bedrohungen:

  • verschlüsselte Skripte.
  • Versteckte Weiterleitungen.
  • Spionieren Sie Lesezeichen, Einfügungen und Widgets von verdächtigen Websites aus.
  • Drive-by-Angriffe (Herunterladen von Malware ohne Wissen des Benutzers).
  • Spam-Links und -Inhalte.
  • Fehler und Anzeichen von Verunstaltung.
  • Hinzufügen zu den schwarzen Listen von Suchmaschinen und Antivirenprogrammen.

Nach einem kostenlosen Scan „vor Ort“ bietet er an, bei seinen Spezialisten eine Virenbehandlung und Site-Protection-Services zu bestellen. Bereits bezahlt.

Überprüft die Reputation von Links – ob die Ressource auf der Liste der infizierten oder Phishing-Datenbanken steht Kaspersky-Sicherheit Netzwerk.

Der Scanner sucht sowohl in Datenbanken als auch auf der Grundlage heuristischer Analysen nach Malware, wodurch er manchmal Bedrohungen erkennt, von denen Antivirenprogramme noch nichts wissen. Neben dem Scannen bietet der Service bezahlte Dienste Reinigung von Websites von Viren und anschließende Infektionsprävention.

Quttera-Oberfläche auf Englisch.

Der russischsprachige Dienst überprüft Websites mit 20 verschiedenen Antivirenprogrammen. Darüber hinaus bietet es kostenpflichtige Dienste zum Entfernen von gefundener Malware und zum Installieren dauerhafter Schutztools.

Überprüfung der Website mit einem Antivirenprogramm auf einem Computer

Der nächste Schritt bei der Überprüfung einer Webressource auf Sicherheit besteht darin, alle ihre Dateien zu scannen. Antivirus Programm auf dem PC installiert. Für diese Aufgabe reicht jedes komplexe AV-Produkt mit frischen Datenbanken aus. Sie können denjenigen verwenden, dem Sie mehr vertrauen.

Vor dem Scannen müssen Sie den Inhalt der Website in einen separaten Ordner auf Ihrem PC oder auf herunterladen Wechselmedien, und führen Sie dann den Scan aus, ohne den Inhalt des Ordners zu berühren. Klicken Sie keine Dateien an, da sonst Malware Ihren Computer infizieren kann.

Im Falle der Erkennung von Bedrohungen ist es am besten und schnellsten, die infizierten Dateien durch saubere zu ersetzen und die neuesten von zu nehmen Sicherungen. Wenn keine Kopien vorhanden sind, können Sie gefährliche Objekte auch manuell löschen, aber erstellen Sie vorher unbedingt eine Sicherungskopie.

Was möglicherweise gefährlich sein könnte:

  • Eingebettete Frames und Skripte (zu finden unter iframe und javascript).
  • Herunterladbare Skripte.
  • Weiterleitungen zu Ressourcen von Drittanbietern (sogar normale und nicht infizierte).
  • Ladbare Bilder und andere Multimedia-Objekte.
  • Andere externe Ergänzungen.
  • Dateien mit einem Änderungsdatum, das in der Nähe des erwarteten Infektionsdatums liegt.

Natürlich sollte man nicht alles hintereinander löschen, erst müssen diese Objekte studiert werden. Wenn eine unabhängige Analyse Schwierigkeiten bereitet, ist es besser, sie Spezialisten anzuvertrauen.

Stellen Sie nach der Reinigung sicher, dass Sie die Passwörter ändern, die für den Zugriff auf die Website und das Hosting-Konto verwendet wurden.

So schützen Sie Ihre Website vor Viren

Wie bereits erwähnt, sind die meisten Fälle von Malware, die auf Webressourcen gelangt, das Ergebnis einer Infektion des Computers, über den der Administrator die Website verwaltet. Deshalb:

  • Behalten Sie den Zustand Ihres Computers im Auge: Beschränken Sie den Zugriff darauf auf Familienmitglieder, lehnen Sie nicht verifizierte Programme ab, klicken Sie nicht auf unbekannte Links, führen Sie von Zeit zu Zeit einen vollständigen Antivirus-Scan durch usw.
  • Vertrauen Sie Browsern und FTP/SSH-Clients nicht auf die Speicherung von Passwörtern der Website, der Datenbanken und des Hosting-Kontos. Geschützt verwenden. Die Passwörter selbst sollten lang und komplex sein. Vergessen Sie nicht, sie regelmäßig zu ändern.
  • Versuchen Sie, nur über SFTP oder SSH auf die Site zuzugreifen, das FTP-Protokoll ist unsicher.
  • Löschen Sie keine Fehlerprotokolle und Site-Zugriffsprotokolle, bevor sie für Sie nützlich sein könnten.
  • Aktualisieren Sie CMS, zusätzliche Module und Plugins rechtzeitig. Wenn diese Objekte kompromittiert oder nicht mehr unterstützt werden, sind sie anfällig für Malware und Hackerangriffe. Ersetzen Sie sie durch sicherere Alternativen. Verwenden Sie auch keine Software aus nicht verifizierten Quellen.
  • Vor Ort installieren guter Virenschutz, zum Beispiel das AI-Bolit-Viren- und Hack-Reinigungsskript, oder verbinden Sie es mit einem automatischen Behandlungs- und Schutzdienst wie Virusdie.

Erfahren Sie mehr über die Dienste von AI-Bolit und Virusdie

AI-Bolit (Aibolit) ist ein leichtes, anspruchsloses Antiviren-Skript, das entwickelt wurde, um nach allen Arten von Malware und Schwachstellen auf Hosting und Websites zu suchen. Unterstützt alle Betriebssysteme, Skripte und CMS. Für den persönlichen, nicht kommerziellen Gebrauch stehen die Grundfunktionen des Dienstes kostenlos zur Verfügung. Im Infektionsfall helfen Spezialisten bei der Analyse der Meldungen, der Behandlung und der Installation eines vorbeugenden Schutzes.

Virusdie ist ein umfassender Antivirus-Support-Service (Antivirus, Firewall, Explorer und Dateieditor). Außer, abgesondert, ausgenommen automatische Suche und Entfernung von Viren, hilft, Blockierungen und andere Sanktionen von Hosting-Providern, Antivirensoftware und Suchmaschinen von der Website zu entfernen. Unterstützt die gängigsten SMS. Serviceleistungen werden bezahlt, der Schutz eines Standorts kostet 249-1499 Rubel pro Jahr.

Sauberes Internet für Sie!

Es gibt viele Möglichkeiten für Angriffe auf eine Webressource sowie die Folgen dieser Angriffe. Und wie immer gibt es nur zwei Ziele – Ruhm mit einer banalen Freude am Zeigen der eigenen Fähigkeiten und der allgegenwärtige Nutzen, der sich in Form von direktem oder indirektem materiellem Gewinn, also Geld, manifestiert. Also, was ist die Bedrohung? Hier ist ein Beispiel für die häufigsten Angriffe auf Websites:

  • Auswechslung Startseite Website ist eine der häufigsten Formen des Hackens. Anstelle der üblichen Inhalte auf dem Cover der Seite wird alles angezeigt - vom Namen eines böswilligen Hackers bis hin zu banalen Beleidigungen.
  • Entfernung Dateisystem- Alle Informationen verschwinden einfach, was in Ermangelung einer gespeicherten Kopie der Ressource zu einem Fehler wird. Es ist erwähnenswert, dass auch die Datenbank mit Client-Passwörtern sowie andere Daten von kritischem Wert verloren gehen können.
  • Austausch von Informationen – Angreifer können das Telefon oder andere Daten der Organisation ersetzen. In diesem Fall werden Ihre Clients automatisch zu Clients von Angreifern.
  • Unterkunft Trojaner- In diesem Fall werden Sie den Besuch eines Hackers höchstwahrscheinlich nicht bemerken, zumindest wird alles darauf abzielen. Schädliche Programme können eine Vielzahl von Funktionen ausführen – auf eine bösartige Website umleiten, persönliche Daten von Kunden stehlen, Besucher mit Viren infizieren und so weiter.
  • Spamming - Ihre Website kann zum Versenden von Spam verwendet werden, in diesem Fall erreicht Ihre "echte" Korrespondenz den Adressaten nicht, da die Domain Ihrer Organisation fast sofort in die zentrale Datenbank von Spammern eingetragen wird.
  • Erstellen einer hohen Last - Senden von absichtlich falschen Anfragen an den Webserver oder andere Aktionen von außen, was zu Schwierigkeiten beim Zugriff auf die Website oder zu einem Absturz führt Betriebssystem Server. Diese Art von Angriff ist im Internet sehr weit verbreitet.

Das Ergebnis all dieser Arten von Angriffen ist nicht nur ein vorübergehender Ausfall der Ressource, sondern auch ein Vertrauensverlust in die Website in den Augen der Kunden. Benutzer, der infiziert ist Schadcode auf Ihrer Ressource oder von Ihrer Website auf eine Website mit fragwürdigem Inhalt umgeleitet, wird es wahrscheinlich nie wieder wagen, Ihre Adresse in die Browserleiste einzugeben.

Was zu tun ist?

Das Thema Website-Sicherheit kann bereits in der Entwicklungsphase gestellt werden. Da sind viele CMS-Systeme(Content Management System - Content Management System), das eine Vorlage ist, die die Verwaltung und Entwicklung der Website vereinfacht. Die gesamte Palette der CSM-Systeme kann in offene (freie) und proprietäre unterteilt werden. Unter den offenen können wir Drupal, Mambo, Joomla und Typo3 unterscheiden, unter den kostenpflichtigen - 1C-Bitrix, NetCat, Amiro.CMS. Alle von ihnen sind mehr oder weniger sicher, haben eine Reihe von Vor- und Nachteilen. Welches CMS sollten Sie also wählen? Natürlich wird dieses Thema in allen berücksichtigt konkreten Fall Statistiken zeigen jedoch, dass in Russland die überwiegende Mehrheit der Webstudios, die die Entwicklung von Drittanbietern zum Erstellen von Websites verwenden, das Produkt 1C-Bitrix verwenden. Dahinter stehen mehrere Faktoren:

  • Durch die Fusion mit 1C ist Bitrix inoffiziell zum nationalen Standard für CMS-basierte Webentwicklung geworden.
  • 1C-Bitrix verfügt über ein Sicherheitszertifikat von Positive Technologies (das später besprochen wird), das die Unverwundbarkeit des Systems gegenüber allen Arten bekannter Angriffe auf Webanwendungen bestätigt.
  • 1C-Bitrix ist derzeit das vielversprechendste CMS-System auf dem russischen Markt und weist die besten Wachstumsraten auf.
  • Die Funktionalität des Produkts reicht aus, um komplexe Unternehmensseiten, Informations- und Referenzportale, Online-Shops, Medienseiten sowie fast jede andere Art von Webressourcen zu erstellen.

Das Erstellen von Websites auf der Basis von 1C-Bitrix sowie das Übertragen vorhandener Ressourcen in die Produkt-Engine ist eine der Optionen zum Lösen einer Reihe von Sicherheitsproblemen, hauptsächlich Schwachstellenproblemen, auf die später eingegangen wird.

Die Seite wurde bereits erstellt – ist sie angreifbar?

Das Überprüfen einer vorhandenen Webressource auf eine Schwachstelle ist eine sehr mühsame Aufgabe. Der Prozess beschränkt sich nicht nur auf das direkte Scannen – die Seite muss noch überarbeitet, Lücken gestopft und einige Probleme auf Seiten des Anbieters gelöst werden. Also Schwachstellenscanner.

Schwachstellen-Scanner- Das spezielle Programme entwickelt, um die Netzwerksicherheit durch Scannen und Sondieren zu analysieren Netzwerkressourcen und ihre Schwachstellen zu identifizieren. Vereinfacht gesagt sucht der Scanner nach typischen Sicherheitslücken und Lücken und macht damit nicht nur Website-Betreibern, sondern auch Hackern das Leben leichter. Alle Schwachstellenscanner lassen sich je nach Arbeitsweise in 3 Gruppen einteilen:

  • Lokal – wird direkt auf dem zu prüfenden Knoten installiert und bietet eine hohe Zuverlässigkeit. Im Auftrag arbeiten Konto mit maximalen Privilegien und verwenden Sie nur eine Methode zur Suche nach Schwachstellen - den Vergleich von Dateiattributen.
  • Passiv - als Datenquelle verwenden Netzwerktraffic, jedoch ermöglichen sie im Gegensatz zu Netzwerkscannern, den Einfluss des Scanners auf Schwachstellen zu minimieren. Derzeit sind sie nicht weit verbreitet, sehen aber sehr vielversprechend aus.
  • Netzwerk - das beliebteste heute. Führen Sie Prüfungen aus der Ferne durch und verbinden Sie sich über Netzwerkdienste.

Es gibt viele Hersteller von Schwachstellenscannern, es gibt viele Bewertungen und Tests, die das Produkt eines bestimmten Unternehmens hervorheben. Hier sind einige der gängigsten Scanner: Nessus, XSpider, IBM Internet Scanner, Retina, Shadow Security Scanner, Acunetix, N-Stealth.

XSpider (ersetzt durch MaxPatrol) ist ein Scanner des russischen Herstellers Positive Technologies. Es verfügt über eine wirklich umfangreiche Liste von Funktionen - heuristische Analyse und Servertyperkennung, vollständiges Port-Scanning und Service-Mapping, Überprüfung auf Standardpasswörter, SQL-Injection-Analyse, XSS-Angriffe und fast tägliche Schwachstellen-Updates. Im Vergleich zu Mitbewerbern weist der Scanner eine bessere Identifizierung von Diensten und Anwendungen auf, wodurch eine immer genauere Erkennung von Schwachstellen mit einem minimalen Prozentsatz an Fehlalarmen ermöglicht wird. Das Produkt ist eines davon beste Lösungen nicht nur auf der russischen, sondern auch auf der Weltbühne, also haben wir uns entschieden, ihn herauszugreifen.

Was muss geändert werden?

Das Sichern einer Webressource ist ein Prozess, der eine bestimmte Reihe von Aktionen kombiniert. Das bestehende System wird zunächst auf Sicherheit untersucht, dann werden eine Reihe von Maßnahmen und Arbeiten festgelegt, die durchgeführt werden müssen, um diese Sicherheit zu erreichen. Dies können die Dienste von Programmierern sein, die die Website entwickeln oder optimieren, und die Dienste von Ingenieuren, die entscheiden technische Fragen, und natürlich einige organisatorische Maßnahmen. Es hängt alles von den Wünschen und Fähigkeiten des Kunden ab.

Es zeigt sich, dass mehr als 70 % der gescannten Websites mit einer oder mehreren Sicherheitslücken infiziert waren.

Wie stellen Sie als Eigentümer einer Webanwendung sicher, dass Ihre Website vor Online-Bedrohungen geschützt ist? Oder durch das Durchsickern vertraulicher Informationen?

Wenn Sie eine Cloud-basierte Sicherheitslösung verwenden, ist das regelmäßige Scannen auf Schwachstellen wahrscheinlich Teil Ihres Schutzplans.

Ist dies jedoch nicht der Fall, müssen Sie einen routinemäßigen Scan durchführen und die erforderlichen Schritte unternehmen, um die Risiken zu mindern.

Es gibt zwei Arten von Scannern.

1. Kommerziell - Gibt Ihnen die Möglichkeit, das Scannen für kontinuierliche Sicherheit, Berichterstattung, Warnungen, detaillierte Anleitung Risikominderung usw. Einige der bekanntesten Namen in dieser Branche sind:

Acunetix
erkennen
Qualität

Open Source / Kostenlos - Sie können Sicherheitsprüfungen bei Bedarf herunterladen und durchführen.

Nicht alle von ihnen werden in der Lage sein, ein breites Spektrum an Schwachstellen wie kommerzielle Schwachstellen abzudecken.

Werfen wir einen Blick auf die folgenden Open-Source-Schwachstellenscanner.

1. Arachni

Arachni ist ein Ruby-basierter Hochleistungs-Sicherheitsscanner für moderne Webanwendungen.

Es ist im Binärformat für Mac, Windows und Linux verfügbar.

Es ist nicht nur eine grundlegende statische oder CMS-Website-Lösung, sondern Arachni kann auch in die folgenden Plattformen integriert werden.

Es führt aktive und passive Prüfungen durch.

Windows, Solaris, Linux, BSD, Unix
Nginx, Apache, Tomcat, IIS, Jetty
Java, Rubin, Python, ASP, PHP
Django, Schienen, CherryPy, CakePHP, ASP.NET MVC, Symfony

Einige der gefundenen Schwachstellen:

NoSQL/Blind/SQL/Code/LDAP/Befehl/XPath-Injektion
Forgery Cross Site Scripting anfordern
Umweg
Einschließlich lokaler/entfernter Datei
Antwort geteilt
Cross-Site-Scripting
Undefinierte DOM-Umleitungen
Offenlegung des Quellcodes

2.XssPy

Der Python-basierte XSS (Cross-Site Scripting)-Schwachstellenscanner wird von vielen Organisationen verwendet, darunter Microsoft, Stanford, Motorola, Informatica usw.

XssPy von Faizan Ahmad ist ein intelligentes Tool. Anstatt nur zu prüfen Startseite oder Seite, überprüft es alle Links auf Websites.

XssPy prüft auch die Subdomain.

3. w3af

w3af, ein Ende 2006 gestartetes Open-Source-Projekt, basiert auf Python und ist für Linux und Windows verfügbar. w3af ist in der Lage, über 200 Sicherheitslücken zu erkennen, einschließlich OWASP Top 10.

Er unterstützt verschiedene Methoden Protokollierung für die Berichterstattung. Beispiel:

csv
HTML
Konsole
Text
XML
Email Adresse

Es basiert auf der Plugin-Architektur und Sie können alle verfügbaren Plugins überprüfen.

4. Nikto

Ein von Netsparker gesponsertes Open-Source-Projekt zielt darauf ab, Webserver-Fehlkonfigurationen, Plugins und Web-Schwachstellen zu finden.

5.Wfuzz

Wfuzz (Web Fuzzer) ist ein Anwendungsbewertungstool für Penetrationstests.

Sie können die Daten in der HTTP-Anforderung für jedes Feld stubben, um die Webanwendung zu verwenden und zu validieren.

Für Wfuzz muss Python auf dem Computer installiert sein, auf dem Sie den Scan ausführen möchten.

6. OWASP ZAP

ZAP (Zet Attack Proxy) ist eines der bekanntesten Tools für Penetrationstests, das von Hunderten von Freiwilligen auf der ganzen Welt aktiv aktualisiert wird.

Es ist ein plattformübergreifendes Java-Tool, das sogar auf dem Raspberry Pi ausgeführt werden kann.

ZIP befindet sich zwischen dem Browser und der Webanwendung, um Nachrichten abzufangen und zu untersuchen.

Einige der folgenden ZAP-Funktionen, die erwähnt werden sollten.

Fuzzer
Automatischer und passiver Scanner
Unterstützung für mehrere Skriptsprachen
erzwungene Ansicht

7. Wapity

Wapiti surft auf den Webseiten des angegebenen Ziels und sucht nach Skripten und Eingabeformularen, um zu sehen, ob es angreifbar ist.

Dies ist keine Quellcode-Sicherheitsprüfung, sondern eine Black-Box-Prüfung.

Es unterstützt GET- und POST-HTTP-Methoden, HTTP- und HTTPS-Proxys, mehrere Authentifizierungen usw.

8. Weg

Vega entwickelt von Subgraph, plattformübergreifend Software, geschrieben in Java, um XSS, SQLi, RFI und viele andere Schwachstellen zu finden.

Vega erhielt eine benutzerfreundliche grafische Oberfläche und kann automatische Scans durchführen, indem es sich mit den angegebenen Anmeldeinformationen bei der Anwendung anmeldet.

Wenn Sie ein Entwickler sind, können Sie die Vega-API verwenden, um neue Angriffsmodule zu erstellen.

9. SQLmap

Wie Sie anhand des Namens erraten können, können Sie Datenbank-Penetrationstests durchführen, um Fehler zu finden.

Es funktioniert mit Python 2.6 oder 2.7 auf jedem Betriebssystem. Wenn Sie möchten, ist sqlmap nützlicher denn je.

10 Greifer

Es ist ein kleines Python-basiertes Tool, das mehrere Dinge recht gut macht.

Einige Funktionen von Grabber:

JavaScript-Quellcode-Analysator
Cross-Site-Scripting, SQL-Injection, Blind-SQL-Injection
Testen von PHP-Anwendungen mit PHP-SAT

11. Golismero

Ein Framework zum Verwalten und Ausführen einiger beliebter Sicherheitstools wie Wfuzz, DNS Recon, SQLMap, OpenVas, Robot Analyzer usw.).

Golismero kann Bewertungen aus anderen Tools konsolidieren und ein Ergebnis anzeigen.

12. OWASP Xenotix XSS

Xenotix XSS OWASP ist ein erweitertes Framework zum Suchen und Verwenden von Cross-Site-Scripting.

Er verfügt über drei integrierte intelligente Fixierer für schnelles Scannen und verbesserte Ergebnisse.

13. Metascan

Schwachstellen-Scanner für Webanwendungen von einheimischen Entwicklern



Wird geladen...
Spitze