HARD CORE SECURITY LAB

Firma Mavituna Security opublikowała niedawno darmowe narzędzie do przeprowadzania w pełni zautomatyzowanych, ofensywnych testów bezpieczeństwa aplikacji internetowych. WebRaider pozwala w sprzyjających warunkach na przejęcie całkowitej kontroli nad docelowym systemem przy pomocy jednego kliknięcia myszką. Tym razem jednak Mavituna przygotowała jeszcze większą niespodziankę. Otóż brytyjska firma udostępniła darmową wersję swego sztandarowego i bardzo kosztownego oprogramowania Netsparker (Next Generation Web Application Security Scanner).

Netsparker jest przez firmę Mavituna Security określany mianem Next Generation Web Application Security Scanner i trzeba przyznać, że slogan ten nie jest wyłącznie zabiegiem marketingowym. Program jest zaawansowanym środowiskiem do automatycznego wykrywania błędów w zabezpieczeniach serwisów internetowych, niezależnie od zastosowanych w ich ramach technologii. Bez problemu obsługiwane są technologie AJAX oraz JavaScript.

Netsparker jest w stanie wykryć całą gamę luk bezpieczeństwa, takich jak podatności na:

• SQL Injection,
• Cross-site Scripting,
• Cross-site Scripting via Remote File Injection,
• Local/Remote File Inclusions,
• Remote Code Injection,
• OS Level Command Injection oraz wiele innych.

W taki oto sposób Ferruh Mavituna z firmy Mavituna Security zaprezentował nam możliwość uzyskania dostępu do systemowej konsoli serwera za pomocą automatycznego wykorzystania podatności typu SQL Injection:



Wskaźnik wykryć fałszywych (false-positive) jest niezwykle niski (producent twierdzi wręcz, że takie zjawisko w przypadku Netsparkera w ogóle nie występuje), ze względu na to, że program potwierdza istnienie odkrytych przez siebie luk za pomocą prawdziwych ataków testowych (Integrated Exploitation Engine).

Możliwości oprogramowania są więc naprawdę imponujące, niestety cena Netsparkera mogła skutecznie ostudzić nasz entuzjazm, gdyż roczna subskrypcja wersji Professional to koszt 3000 USD. Firma Mavituna Security zdecydowała się jednak na opublikowanie darmowej wersji Community Edition, dzięki której każdy może zapoznać się z możliwościami Netsparkera. Oto jak darmowa wersja Netsparkera sprawuje się w działaniu:
Z moich pierwszych testów praktycznych wynika, że możliwości darmowego Netsparkera w zakresie wykrywania luk nie zostały w jakiś sposób ograniczone w stosunku do wersji płatnych. Dokładne porównanie funkcji poszczególnych wersji znajdziemy pod tym adresem. Testy potwierdziły również, że możliwości detekcyjne Netsparkera znacznie przewyższają możliwości innych tego typu zautomatyzowanych skanerów (w szczególności tych darmowych). Interfejs jest bardzo przejrzysty, a obsługa programu banalnie prosta. Pozostaje nam więc tylko przetestować za pomocą tego świetnego programu bezpieczeństwo własnych serwisów internetowych, a następnie załatać wszystkie odnalezione luki (raporty generowane przez Netsparkera są bardzo precyzyjne, co na pewno ułatwi nam całe zadanie).

Na koniec wypada jeszcze tylko wspomnieć, że używanie Netsparkera w stosunku do cudzych serwisów internetowych (bez wyraźnej zgody właściciela/administratora) będzie najprawdopodobniej stanowić złamanie prawa. Jest tak, ponieważ skanowanie wykonywane przez Netsparkera w dużej mierze składa się z prawdziwych ataków (testowych). Pomijając już znaczną ilość generowanych zapytań, które mogą spowodować efekt podobny do ataku typu DoS, takie ataki testowe mogą również w jakiś sposób zaburzyć działanie docelowego serwisu. Warto więc również zachować ostrożność w trakcie testowania serwisów działających produkcyjnie.