Phần mềm Acunetix WVS (Web Vulnerability Scanner) là gì? Sử dụng phần mềm này như thế nào? Để giải đáp những câu hỏi trên, bài viết này Blog Thao Phạm sẽ cùng các bạn tìm hiểu về công cụ này.
1. Giới thiệu về Acunetix
Acunetix Web Vulnerbility Scanner là chương trình giúp tự động kiểm tra các ứng dụng Web để tìm kiếm lỗ hổng bảo mật như SQL Injection, hay Cross-Site Scripting (XSS),... Và tìm kiếm những chính sách đối với mật khẩu đăng nhập cũng như các phương thức xác thực Website.
Đây là công cụ quét lỗi cho ứng dụng Web dựa trên một cơ sở dữ liệu rộng lớn, được cập nhật thường xuyên. Acunetix có thể tự động kiểm tra các mỗi nguy hiểm nhạy cảm khác của những website có thể truy cập bằng trình duyệt hay những ứng dụng được xây dựng trên các kỹ thuật tiên tiến như AJAX.
Công cụ Acunetix WVS có thể kiểm tra được các lỗ hổng như:
- Code Excution
- Directory traversal
- File inclusion
- Script source code disclosure
- Cross Framw Scriptin - XFS
- XPath Injection
- Full Path Injection
- LDAP Injection
- ...
2. Cách thức hoạt động của Acunetix WVS
- Crawling toàn bộ website gồm tất cả các liên kết trên site và cả trong tập tin robots.txt sau đó hiển thị toàn bộ cấu trúc này một cách chi tiết.
- Sau khi tiến hành warling và khám phá tình tạng của ứng dụng web, Acunetix Web Vulnerability Scanner tự động phát động các đợt tấn công đã được lập trình sẵn dựa trên các lỗ hổng giống như khi website bị 1 hacker tấn công thực sự, phân tích các trang và những vị trí có thể nhập liệu cùng với các sự kết hợp khác nhau của dữ liệu đầu vào có thể làm cho website hiển thị những thông tin nhạy cảm.
- Sau khi tìm ra các lỗi hổng, Acunetix WVS thông báo trên các "Alert Node", mỗi alert gồm các thông tin về lỗi cũng như các mối nguy hiểm có thể gặp phải và kèm theo các khuyến nghị về cách thức khắc phục.
- Sau khi tiến hành hoàn tất, Acunetix sẽ lưu thành request, với mức độ bảo mật website.
Trên đây là giới thiệu về phần mềm Acunetix Web Vulnerability Scanner giúp người quản trị website có thể phát hiện các lỗ hổng, phòng tránh các cuộc tấn công từ hacker. Mong rằng bài viết sẽ cung cấp tới các bạn những thông tin hữu ích. Xin cảm ơn!
Bài viết được tham khảo từ tài liệu An toàn ứng dụng và cơ sở dữ liệu PTIT (tham khảo)
0 Comments