【检测Web应用漏洞需新工具】 xss漏洞检测工具
Web应用面临许多漏洞威胁,本文教你如何用专业的工具堵住Web应用漏洞。 过去很长时间,企业保护网站的方法是用Web防火墙来守护网络边界。但人们越来越认识到: 真正的威胁在Web应用本身,它们往往含有很容易被人利用的安全漏洞。咨询公司Gartner声称,从公司外部访问网络的应用90%以上是Web应用,其中2/3存在可被利用的漏洞。
这样,新的Web应用渗透测试工具和服务应运而生,它们可对Web应用自动进行扫描,并使用威胁模型和误用案例等方法,查出常见漏洞。不久前,包括开发人员在内的许多人均不熟悉开放Web应用安全项目(OWASP)定义的前十大漏洞,其中包括SQL注射、跨站脚本及错误处理等,但这些测试工具为解决这些问题提出了建议。
伯顿集团的副总裁兼服务主管Diana Kelley表示,如今,Web渗透测试被认为是确保应用安全的一个重要组成部分,而应用安全已成了企业风险管理中的一个必要环节。用Gartner的分析师Joseph Fieman的话来说: “归根到底,这是企业与黑客之间的新较量――不是你主动使用渗透测试工具,就是黑客替你使用渗透测试。”
据Gartner声称,考虑使用这些工具和服务的用户还应考虑到市场将会出现的大规模合并浪潮。合并案可能会出现在各大软件开发生命周期平台(SDLC)提供商和安全厂商中。惠普和IBM这两大巨头各自的质量保证部门已进入了这个市场,分别收购了SPI Dynamics和Watchfire公司。
以下是首席信息安全官(CISO)和分析师们给出的忠告,教你如何评估及使用这些工具和服务。
需要决策
的关键问题
一、 工具将由谁来使用?
分清保护Web应用安全的责任并不是件容易的事情,这对应用开发部门和质量保证部门来说都是个新问题,而安全部门比较习惯处理的是网络问题而不是应用问题。那么谁应该为此负责呢?Fieman认为,让安全专家扫描应用、把扫描结果交给应用开发者并不合适,但许多用户正是这么做。
比如,美国国际开发署(USAID)的首席信息安全官Phil Heneghan承担了确保Web应用安全的重任,他认为最终任务是保护企业的安全,比较明智的做法是让应用开发人员之外的人评估应用的漏洞。他说: “如果开发人员说‘别担心。我检查过了,应用没问题’,人们可能会盲目地觉得情况很乐观。”
同样,NAV加拿大公司的首席安全官Andre Hiotis在一年多前购买了惠普/SPI Dynamics公司的应用漏洞扫描产品WebInspect,但只有开发人员提出要求后才会部署到桌面上。他说,要是一开始把该工具提供给开发人员使用,他们准会被工具生成的大量信息搞得不知所措。实际上,他的团队花时间学习使用该工具,现在让开发人员使用该工具时,就能为他们提供帮助。安全人员也更能够优先处理及编辑这款工具生成的大量报告。Hiotis说: “如果开发人员看到有100处地方需要修复,一般无法判断哪些具有高风险、中等风险或者低风险。”
二、使用服务还是工具,或者两者都用?
你可以买来工具、专门投入人力资源来对Web应用进行漏洞测试; 也可以让厂商远程扫描自己的Web应用,验证扫描结果,并得出有针对性的报告。大多数厂商现在都提供这两种选择,唯独WhiteHat只提供基于服务的方案。Kelley说: “出于控制、管理及隐私等方面的考虑,许多公司希望在公司内部自个进行测试; 不过扫描服务的市场也在不断发展壮大。”
而有些公司决定两者都用。比如,一家大型医疗组织不愿透露姓名的信息安全经理发现缺少人手来管理生成的大量数据后,暂时停止了自己使用WebInspect。他说: “你需要有人来判断扫描的结果,消除误报,并且全面分析漏洞位于何处。”于是他求助于WhiteHat公司帮助解读结果、与开发人员一起修复问题。
几年下来,他已熟悉了这项服务,如今正在扩大这款工具的使用范围,并且打算采取三层方案: 先由开发人员使用WebInspect来动态测试编码; 然后,安全人员使用该工具执行第二次扫描; 第三次扫描后,他们把应用发布到网上,再让WhiteHat进行扫描测试。
三、你将如何集成?
这些工具与开发人员和安全人员使用的其他系统进行集成后――通过本地集成或通过应用编程接口(API)来集成,效果最好。这包括质量保证和测试工具、内容管理、项目管理及调度工具等,这样就能像对待其他任何代码缺陷一样,可以跟踪及修复扫描结果。它们还应当能与微软Visual Studio等SDLC平台紧密集成,这样,在理想情况下,开发人员可以使用类似开发工具的接口,从桌面进行扫描。
另外,扫描工具或者服务最好能够把扫描结果直接导出到静态源代码扫描工具中。这是因为,虽然Web应用测试工具能告诉你存在哪一种漏洞,但无法准确查明代码当中存在问题的具体位置。Fieman说: “检测出漏洞只完成了工作的一半,你还得找出问题的根源,然后解决问题。”
确定采用什么
评估标准
据Gartner声称,目前市场上,厂商的扫描技术原理之间几乎没有明显区别。区别主要在于各厂商处理以下任务的能力:
● 与软件开发及生产流程平台紧密集成的程度;
● 如何使用扫描结果;
● 如何进行扩展,适应不同规模的环境;
● 提供扫描之外的功能和服务,比如源代码扫描; 分析遵从《萨班斯-奥克斯利法案》、《健康保险可携性及责任性法案》及其他法规的情况; 自动修补漏洞; 主机托管服务; 培训; 流程设计; 以及为SDLC流程纳入安全性提供咨询服务。
Gartner补充说,还需要考虑下列技术标准:
● 漏洞检测及纠正分析。应当报告漏洞; 提出纠正措施时应采用开发人员易于明白的语言; 扫描器应当能够检测出存在漏洞的相关网页和URL; 误报率必须很低。
● 不断及时更新漏洞数据库。因为新的攻击在不断出现,厂商们必须维持所有已知漏洞的数据库,并及时增加新的漏洞; 元数据存储库将有助于分析漏洞和采取补救方法。
● 报告与分析。工具应当有助于对检测出来的漏洞进行分类,并根据严重性对它们进行评分; 另外,还应该提供各种漏洞的详细解释、建议的解决办法以及指向现有补丁和模式的链接; 报告应满足各层次应用开发人员和安全专业人员的需要。
● 让不是安全专家的人也易于使用。
● 协议支持。大多数扫描器只使用Html和HTTP来探测具有Web功能的应用。要是支持其他协议,如SOAP、SNA、LU 6.2、RPC和RMI等,就会扩大用途。
● 工具应当支持常见的Web服务器平台。如IIS和Apache,并且支持主机托管功能(即ASP、JSP和ASP.NET)
使用时的注意事项
用户在采用这些新工具时,要确保投资不仅用于购买工具,还要用于培训人员,用于制定查找及修复漏洞的流程等。Kelley说: “许多用户觉得自己买来产品后就能立即应用,但测试人员需要时间来学习、配置工具及附件。”
不要期望开发人员会立即喜欢这些工具。许多开发人员不知道Web应用安全的要素; 对这种工具查出的结果,不是觉得难堪、受辱,就是根本没有兴趣。前面那家医疗组织的安全经理说: “最大的困难之一就是让开发人员认识到它的重要性。”他所在的组织花了将近一年半的时间才让开发人员采用这种测试工具。
此外,还要认识到这些工具的局限性。安全咨询公司Cigital的首席技术官Gary McGraw表示,有些人以为,要是工具没有发现问题,就可以高枕无忧了。“但工具只能告诉你,你没有这些具体的问题。如果工具列出过去及将来所有可能的安全问题,那当然是好事,但那是不可能的。”这就是为什么McGraw把这些工具称为是“坏事测量器”――它们只能告诉你什么时候代码有问题,但无法告诉你代码安全得很。McGraw认为,这倒不是说这些工具没有作用,而是常常需要有人来证实问题确实存在。
不要认为一款工具就能找出每个问题。那家医疗组织的经理说: “我们用SPI发现了WhiteHat发现不了的漏洞,也用WhiteHat发现了SPI发现不了的漏洞。”
要认识到安全不是一蹴而就的。伯顿集团的Kelley表示,因为Web应用在不断变化,因而必须不断测试,确保没有新的漏洞。连OWASP也在不断更改其指导方针。Heneghan每个月都要扫描他组织的Web应用。那家医疗组织的安全经理提醒,需要一两天时间才能扫描完所有的应用,然后得出分析结果。(三木编译)