網站安全檢測

360 http://webscan.360.cn/index/checkwebsite?url=www.grassstudio.com.tw%2F
諾頓 .http://safeweb.norton.com/

URL VOID http://www.urlvoid.com/

這套軟體的名稱是websecurify，他們標榜的是web and web 2.0 security，目前提供了windows、mac os和linux三種平台的版本，如果你也有興趣也可以下載原始碼回來研究。

一、前言 
　　網站上線前，是否只要功能正常運作就算是通過測試？也許在10年或20年前是這樣，但在今日僅是功能正常運作是不夠的，安全性的評估有時比功能正常運作更加重要。當我們使用網站搜尋功能尋找「Mary」時，系統會正常找出「Mary」的相關資訊，good！但是當我們搜尋「Mary’or 1=1」的時候，系統會幫我們找出甚麼呢？網站的漏洞往往就在這些非預期的情況下產生，如果只靠傳統的程式邏輯去尋找這些漏洞的話，恐怕略顯不足，畢竟這些漏洞大部分是在「非預期」的情況下產生的。 

　　此外，隨著網站越來越多元化，內容或資訊都會不定期更新，而每個新增的頁面或連結，都有可能帶來新的漏洞，因此，網站的安全性檢測不論在上線前或是每次更新時，都是務必檢查的工作。 

　　但是手動的網站檢測，對使用者而言是很大的負擔，尤其以目前網站動輒數百至數千頁，以人工方式對每一頁進行澈底的安全檢測近乎不可能，此時，方便而自動化的檢測工具就很重要了。以下介紹幾套好用、便利及自動化檢測的免費工具，使用者可以自行上網下載使用，對網站安全進行基本的檢查，降低網站被入侵的風險。 

二、工具介紹 
　　 
˙Paros 
　　Paros是一套使用JAVA語言撰寫成的網頁代理伺服器型檢測工具。Paros啟動之後，使用者只需將代理伺服器指向Paros，使得接下來瀏覽網頁的資訊皆可被Paros中斷與記錄，讓使用者可對HTTP/HTTPS所傳送與接收的內容觀看或修改，亦可找出POST等方法所傳送的資料格式，非常便於網站測試。此外，Paros也提供爬尋(spider)網站的功能，可完整取得網站之樹狀結構，並對找出來的頁面進行XSS、SQL Injection及資訊揭露與不適當錯誤處置等基本網頁弱點進行掃描。整體來說，Paros是一套以網頁代理伺服器型的檢測工具，功能性可說是非常完整，其操作畫面詳見圖１，但比較可惜的是此軟體已有一段時間沒有進行更新，目前最新的版本仍是2006年８月８日所公布的3.2.13版。 
https://sites.google.com/site/gappstutor/news/yiparossaomiaowebchengshiloudong
˙Burp Suite 

　　Burp Suite 也是一套JAVA語言撰寫成的網頁代理伺服器型檢測工具，使用的方法和Paros類似，但在功能上Burp Suite卻有其獨特處。使用者將代理伺服器指向Burp Suite，使用爬尋功能取得網站樹狀結構之後，即可將找到的頁面送至Burp Suite中其他如掃描(Scanner)、入侵(Intruder)或重複註冊檢測(Repeater)等功能，其中掃描可檢測XSS、SQL Injection等弱點，而重複註冊檢測則能測試網站是否可防範大量註冊或灌票等弱點。此外，入侵功能可說是Burp Suite最強大的功能之一，可以對特定頁面傳送大量不同的參數，並觀察特定回傳欄位的變化，對於暴力破解密碼或Blind SQL Injection的檢測都非常好用。唯一美中不足的地方是，免費版的Burp Suite不支援或只有部分支援某些功能(如免費版的入侵功能測試速度較慢)，但其基本功能足以完成很多的網站弱點測試，因此在從事網站檢測時，仍是一套非常好用的工具。Burp Suite畫面詳見圖２。 
http://dinowang.blogspot.tw/2010/04/first-use-of-burp-suite-for.html
圖１　Paros畫面（資料來源：自行整理） 

圖２　Burp Suite畫面（資料來源：自行整理） 

˙Grendel-Scan 

　　Grendel-Scan工具是一套自動化圖形介面的網站安全性檢測工具，可運行在Windows及Macintosh作業系統上，並提供Source Code下載。Grendel-Scan可以檢測相當完整的弱點，包含檔案列舉(File Enumeration)、資訊洩漏(Information Leakage)、連線管理(Session Management)、XSS、惡意攻擊(Miscellaneous Attacks)、應用程式架構(Application Architecture)、網站設定(Web Server Configuration)及SQL Injection等弱點分項，使用者可對每一分項再就需要檢測的項目進行細部調整。此外Grendel-Scan亦具備網站爬尋功能，因此在檢測時只需提供起始頁面，即可取得網站樹狀結構並對每一頁面自動檢測。Grendel-Scan也具備了許多其他好用的功能，例如：選擇是否使用代理伺服器進行檢測、選擇不同的報告輸出格式、設定檢測速度、預先設定須登入頁面之帳號密碼，及設定檢測時URL之黑名單與白名單等，這些都是在從事網頁檢測時非常方便的功能。Grendel-Scan畫面詳見圖３。 

˙Nikto 

　　Nikto工具是一款能對網站伺服器執行多種安全測試的自動化掃描軟體，與其他工具不同的是，Nikto為文字介面之檢測工具，在操作上或許沒有其他工具那麼直覺，但也不算困難，可在命令提示字元下輸入nikto.pl –Help，即可顯示詳細的操作說明。Nitko可對伺服器進行全面掃描，包含超過3,500種具有潛在危險的文件或CGI檔案、超過900種伺服器版本問題及逾250種特定伺服器問題。此外，Nikto的掃描項目和外掛程式仍在持續更新，只須在命令提示字元下輸入nikto.pl –update，即可至Nikto官網下載最新套件進行更新。Nikto具有另一項特色為掃描速度快，可在最短時間內對網站伺服器相關的不安全設定、錯誤的配置及久未更新之過時軟體進行偵測，是網站檢測時一個很方便的利器。Nikto畫面詳見圖４。 

圖３　Grendel-Scan畫面（資料來源：自行整理） 

圖４　Nikto畫面（資料來源：自行整理） 

˙Nessus 

　　Nessus是一套非常有名的網站伺服器檢測工具，由於是圖型化界面，因此在操作上非常便利。比較特別的是Nessus在使用上需要事先安裝Nessus Server與Nessus Client，檢測的過程則是由Nessus Client連至Nessus Server，再透過Nessus Server對目標網站進行檢測。Nessus可幫助系統管理者檢測系統主機的弱點所在，讓系統管理者對弱點處進行修正與防護，降低遭受入侵之風險。此外，Nessus 可以更新外掛模組(Plugins)，提升軟體功能與增進檢測能力。但是由於Nessus過於有名，目前大部分的網路防護設備都會對Nessus的測試加以阻擋，因此為了達到較高的檢測準確率，一般是建議將Nessus掃描主機至於網站伺服器同一網段進行檢測。Nessus畫面詳見圖５與圖６。 

圖５　 Nessus Server畫面（資料來源：自行整理） 

圖６　Nessus Client畫面（資料來源：自行整理） 

三、結論 
　 
˙Paros 

　　承上所言，現在網站都如此龐大，因此本文介紹了5套常用的網站檢測工具，提供一般的網站/網頁管理人員對網站安全進行基本的檢測。但是比檢測更重要的就是修復，否則找出漏洞卻不修復的話，就完全失去了檢測的意義。通常漏洞修補之後，應該再進行複測的動作，以確保漏洞被正確修復，或驗證是否還有新的漏洞產生。透過不斷地檢測與修復循環後，即可降低網站被入侵的風險。此外，網站安全並不是只作一次檢測即代表永久安全，應要安排定期檢測或每次網站更新時執行檢測，將網站的安全性保持在一定水平。 

　　另外，使用電腦與網路的民眾應該要有一個基本觀念—「絕對沒有百分之百的安全性」，因此，即使運用了本文所介紹的工具，甚或更多的工具，也不能保證網站是絕對安全的。雖然愈是全面地檢測愈是煩瑣，但是努力一定會有收穫的。藉由本文５套基本網站檢測工具拋磚引玉地介紹，希望能提供網站/網頁管理人員強化網站的安全性，降低遭受攻擊的風險，「一同努力、一份心力，共同提高網站安全性！」 


資料來源：國家資通安全會報技術服務中心 

　　随着 Web 应用越来越广泛，Web 安全威胁日益凸显。黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题，对 Web 应用安全的关注度也逐渐升温。下面向大家推荐8款非常有用的免费 Web 安全测试工具。

N-Stalker Free Version

N-Stalker Web 应用程序安全2012免费版本能够为您的 Web 应用程序清除该环境中大量常见的漏洞，包括跨站脚本（XSS）、SQL 注入（SQL injection）、缓存溢出（Buffer Overflow）、参数篡改 （Parameter Tampering）等等。

Netsparker Community Edition

Netsparker Community Edition 是一款 SQL 注入扫描工具，是Netsparker的社区免费版本，提供了基本的漏洞检测功能。使用友好，灵活。

Websecurify

Websecurify 是一款开源的跨平台网站安全检查工具，能够帮助你精确的检测 Web 应用程序安全问题。

Wapiti

Wapiti 是 Web 应用程序漏洞检查工具。它具有“暗箱操作”扫描，即它不关心 Web 应用程序的源代码，但它会扫描网页的部署，寻找使其能够注入数据的脚本和格式。

Skipfish

Skipfish 是 Google 公司发布的一款自动 Web 安全扫描程序，以降低用户的在线安全威胁。和 Nikto 和 Nessus 等其他开源扫描工具有相似的功能。

Exploit-Me

Exploit-Me 是一套 Firefox 的 Web 应用程序安全测试工具，轻量，易于使用。

OWASP WebScarab Project

WebScarab 一个用来分析使用HTTP和HTTPS协议的应用程序框架，通过记录它检测到的会话内容（请求和应答）来帮助安全专家发现潜在的程序漏洞。

X5s

x5s 是一款 Fiddler 插件，用于辅助渗透测试人员发现跨站点脚本（XSS）漏洞。

簡易的 Url Rewriting 隱藏 Querystring

常常有些人會問如何隱藏 Querystring，原因是 Querystring 裡面包含一些參數不想被使用者知道。以下文章就介紹如何使用 UrlRewriter.NET  套件，來幫助我們實現 Url Rewriting 將 Querystring  隱藏起來。

• 首先至 Open Source URL Rewriter for .NET / IIS / ASP.NET 下載 UrlRewriter.NET 套件

【重要提醒】請全面檢視並修改web.config customErrors!

兩天前微軟公佈了Microsoft Security Advisory (2416728) - Vulnerability in ASP.NET Could Allow Information Disclosure安全漏洞，ScottGu也在部落格文章: Important: ASP.NET Security Vulnerability，警告此一弱點的嚴重性。關於此弱點的細節，保哥在這篇網誌提供了詳細的說明。

這個弱點具有極高威脅性，由於目前還沒有修補程式，因此可能引發零時差攻擊。建議大家即刻全面體檢所有上線ASP.NET網站，馬上啟用customErrors以防範惡意攻擊(上線的正式網站本來就不該停用，這也算是資安常識)。依目前資訊，在微軟還沒釋出修正前(我想像已有一堆師程工體軟正在爆肝寫解藥)，要防範入侵，需將customErrors="On"，設定defaultRedirect將全部錯誤導向同一個特定自訂錯誤網頁(ASP.NET 3.5SP1+還要多指定redirectMode=”ResponseRewrite”)，且會有點小困擾的是不能依不同錯誤碼傳回不同錯誤頁(例如: 404、500各傳回不同錯誤頁)。

由於此弱點涉及不少深澀名詞(Padding Oracle, AES, Machine Key)及原理，如何讓對ASP.NET機制不熟悉的長官/同仁了解問題嚴重性，以取得授權、爭取資源進行緊急修補，也是當前重要課題。在此我試著用較淺顯的文字解釋此一資安漏洞對ASP.NET網站的威脅，及目前的應變做法，希望大家都儘快正視此一問題: (如有謬誤之處，請不吝指正)

專業級免費網頁安全檢測服務

馬上幫自己的網站做一下檢測吧！

專業級免費網頁安全檢測服務-Norton

URLVoid 網頁安全檢測服務（線上版）

URLVoid 提供線上網站安全檢查服務，透過20種檢測引擎來對某個網址進行檢查，以確保該網站安全無虞。使用上相當簡單，只要輸入要檢測的網址即可，同時還會顯示出網域名稱、IP 位址、國家等資訊，並結合 NoVirusThanks, Robtex 和 Alexa 等第三方服務，方便使用者查詢。

使用教學

步驟一：進入 URLVoid 後，直接在 “Scan Websites for Viruses” 欄位輸入要檢測的網址，例如www.freegroup.org，接著按下”Scan Now”。

步驟二：稍等片刻，就會出現偵測結果頁面，並提示使用者是否檢測到惡意程式。一般來說正常健康的網站都是出現綠色的 CLEAN，如果有黃色或紅色的警訊就要注意囉！

如果你還是不放心，將網頁拉到最下方，使用 NoVirusThanks 服務來檢測一下吧！NoVirusThanks 會使用19種掃毒引擎來檢測網頁是否安全（它還可以掃描上傳的檔案）。

網址：URLVoid （http://www.urlvoid.com/）