語軒閣: 網站安全檢測

360 http://webscan.360.cn/index/checkwebsite?url=www.grassstudio.com.tw%2F
諾頓 .http://safeweb.norton.com/

URL VOID http://www.urlvoid.com/

這套軟體的名稱是websecurify，他們標榜的是web and web 2.0 security，目前提供了windows、mac os和linux三種平台的版本，如果你也有興趣也可以下載原始碼回來研究。

一、前言
　　網站上線前，是否只要功能正常運作就算是通過測試？也許在10年或20年前是這樣，但在今日僅是功能正常運作是不夠的，安全性的評估有時比功能正常運作更加重要。當我們使用網站搜尋功能尋找「Mary」時，系統會正常找出「Mary」的相關資訊，good！但是當我們搜尋「Mary’or 1=1」的時候，系統會幫我們找出甚麼呢？網站的漏洞往往就在這些非預期的情況下產生，如果只靠傳統的程式邏輯去尋找這些漏洞的話，恐怕略顯不足，畢竟這些漏洞大部分是在「非預期」的情況下產生的。

　　此外，隨著網站越來越多元化，內容或資訊都會不定期更新，而每個新增的頁面或連結，都有可能帶來新的漏洞，因此，網站的安全性檢測不論在上線前或是每次更新時，都是務必檢查的工作。

　　但是手動的網站檢測，對使用者而言是很大的負擔，尤其以目前網站動輒數百至數千頁，以人工方式對每一頁進行澈底的安全檢測近乎不可能，此時，方便而自動化的檢測工具就很重要了。以下介紹幾套好用、便利及自動化檢測的免費工具，使用者可以自行上網下載使用，對網站安全進行基本的檢查，降低網站被入侵的風險。

二、工具介紹
　　
˙Paros
　　Paros是一套使用JAVA語言撰寫成的網頁代理伺服器型檢測工具。Paros啟動之後，使用者只需將代理伺服器指向Paros，使得接下來瀏覽網頁的資訊皆可被Paros中斷與記錄，讓使用者可對HTTP/HTTPS所傳送與接收的內容觀看或修改，亦可找出POST等方法所傳送的資料格式，非常便於網站測試。此外，Paros也提供爬尋(spider)網站的功能，可完整取得網站之樹狀結構，並對找出來的頁面進行XSS、SQL Injection及資訊揭露與不適當錯誤處置等基本網頁弱點進行掃描。整體來說，Paros是一套以網頁代理伺服器型的檢測工具，功能性可說是非常完整，其操作畫面詳見圖１，但比較可惜的是此軟體已有一段時間沒有進行更新，目前最新的版本仍是2006年８月８日所公布的3.2.13版。
https://sites.google.com/site/gappstutor/news/yiparossaomiaowebchengshiloudong
˙Burp Suite

　　Burp Suite 也是一套JAVA語言撰寫成的網頁代理伺服器型檢測工具，使用的方法和Paros類似，但在功能上Burp Suite卻有其獨特處。使用者將代理伺服器指向Burp Suite，使用爬尋功能取得網站樹狀結構之後，即可將找到的頁面送至Burp Suite中其他如掃描(Scanner)、入侵(Intruder)或重複註冊檢測(Repeater)等功能，其中掃描可檢測XSS、SQL Injection等弱點，而重複註冊檢測則能測試網站是否可防範大量註冊或灌票等弱點。此外，入侵功能可說是Burp Suite最強大的功能之一，可以對特定頁面傳送大量不同的參數，並觀察特定回傳欄位的變化，對於暴力破解密碼或Blind SQL Injection的檢測都非常好用。唯一美中不足的地方是，免費版的Burp Suite不支援或只有部分支援某些功能(如免費版的入侵功能測試速度較慢)，但其基本功能足以完成很多的網站弱點測試，因此在從事網站檢測時，仍是一套非常好用的工具。Burp Suite畫面詳見圖２。
http://dinowang.blogspot.tw/2010/04/first-use-of-burp-suite-for.html
圖１　Paros畫面（資料來源：自行整理）

圖２　Burp Suite畫面（資料來源：自行整理）

˙Grendel-Scan

　　Grendel-Scan工具是一套自動化圖形介面的網站安全性檢測工具，可運行在Windows及Macintosh作業系統上，並提供Source Code下載。Grendel-Scan可以檢測相當完整的弱點，包含檔案列舉(File Enumeration)、資訊洩漏(Information Leakage)、連線管理(Session Management)、XSS、惡意攻擊(Miscellaneous Attacks)、應用程式架構(Application Architecture)、網站設定(Web Server Configuration)及SQL Injection等弱點分項，使用者可對每一分項再就需要檢測的項目進行細部調整。此外Grendel-Scan亦具備網站爬尋功能，因此在檢測時只需提供起始頁面，即可取得網站樹狀結構並對每一頁面自動檢測。Grendel-Scan也具備了許多其他好用的功能，例如：選擇是否使用代理伺服器進行檢測、選擇不同的報告輸出格式、設定檢測速度、預先設定須登入頁面之帳號密碼，及設定檢測時URL之黑名單與白名單等，這些都是在從事網頁檢測時非常方便的功能。Grendel-Scan畫面詳見圖３。

˙Nikto

　　Nikto工具是一款能對網站伺服器執行多種安全測試的自動化掃描軟體，與其他工具不同的是，Nikto為文字介面之檢測工具，在操作上或許沒有其他工具那麼直覺，但也不算困難，可在命令提示字元下輸入nikto.pl –Help，即可顯示詳細的操作說明。Nitko可對伺服器進行全面掃描，包含超過3,500種具有潛在危險的文件或CGI檔案、超過900種伺服器版本問題及逾250種特定伺服器問題。此外，Nikto的掃描項目和外掛程式仍在持續更新，只須在命令提示字元下輸入nikto.pl –update，即可至Nikto官網下載最新套件進行更新。Nikto具有另一項特色為掃描速度快，可在最短時間內對網站伺服器相關的不安全設定、錯誤的配置及久未更新之過時軟體進行偵測，是網站檢測時一個很方便的利器。Nikto畫面詳見圖４。

圖３　Grendel-Scan畫面（資料來源：自行整理）

圖４　Nikto畫面（資料來源：自行整理）

˙Nessus

　　Nessus是一套非常有名的網站伺服器檢測工具，由於是圖型化界面，因此在操作上非常便利。比較特別的是Nessus在使用上需要事先安裝Nessus Server與Nessus Client，檢測的過程則是由Nessus Client連至Nessus Server，再透過Nessus Server對目標網站進行檢測。Nessus可幫助系統管理者檢測系統主機的弱點所在，讓系統管理者對弱點處進行修正與防護，降低遭受入侵之風險。此外，Nessus 可以更新外掛模組(Plugins)，提升軟體功能與增進檢測能力。但是由於Nessus過於有名，目前大部分的網路防護設備都會對Nessus的測試加以阻擋，因此為了達到較高的檢測準確率，一般是建議將Nessus掃描主機至於網站伺服器同一網段進行檢測。Nessus畫面詳見圖５與圖６。

圖５　 Nessus Server畫面（資料來源：自行整理）

圖６　Nessus Client畫面（資料來源：自行整理）

三、結論
　
˙Paros

　　承上所言，現在網站都如此龐大，因此本文介紹了5套常用的網站檢測工具，提供一般的網站/網頁管理人員對網站安全進行基本的檢測。但是比檢測更重要的就是修復，否則找出漏洞卻不修復的話，就完全失去了檢測的意義。通常漏洞修補之後，應該再進行複測的動作，以確保漏洞被正確修復，或驗證是否還有新的漏洞產生。透過不斷地檢測與修復循環後，即可降低網站被入侵的風險。此外，網站安全並不是只作一次檢測即代表永久安全，應要安排定期檢測或每次網站更新時執行檢測，將網站的安全性保持在一定水平。

　　另外，使用電腦與網路的民眾應該要有一個基本觀念—「絕對沒有百分之百的安全性」，因此，即使運用了本文所介紹的工具，甚或更多的工具，也不能保證網站是絕對安全的。雖然愈是全面地檢測愈是煩瑣，但是努力一定會有收穫的。藉由本文５套基本網站檢測工具拋磚引玉地介紹，希望能提供網站/網頁管理人員強化網站的安全性，降低遭受攻擊的風險，「一同努力、一份心力，共同提高網站安全性！」

資料來源：國家資通安全會報技術服務中心

　　随着 Web 应用越来越广泛，Web 安全威胁日益凸显。黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题，对 Web 应用安全的关注度也逐渐升温。下面向大家推荐8款非常有用的免费 Web 安全测试工具。

N-Stalker Free Version

N-Stalker Web 应用程序安全2012免费版本能够为您的 Web 应用程序清除该环境中大量常见的漏洞，包括跨站脚本（XSS）、SQL 注入（SQL injection）、缓存溢出（Buffer Overflow）、参数篡改（Parameter Tampering）等等。