สแกนเว็บไซต์หาช่องโหว่ ด้วย Acunetix (อเคอเนติก)

 

สแกนเว็บไซต์ 

* ไม่สมารถสแกนเว็บไซต์โดยการอนุมัติที่เหมาะสม!

 

ขั้นตอนการสแกนเว็บไซต์

ขั้นตอนที่ 1: เลือก target หรือเป้าหมาย ที่จะสแกน

 

1.1 คลิก New > New Website Scan to start the Scan Wizard หรือ New Scan

 

เลือก target ที่จะสแกน

เลือกประเภทการสแกน

1.2 ตัวเลือกในการสแกน

- Scan single WebSite สแกนโดยใช้ URL ของเว็บไซต์

- Scan using saved crawling results สแกนด้วยไฟล์ที่จัดเก็บไว้ก่อนหน้านี้

 

1.3 กด Next

 

* โปรแกรม Acunetix สามารถที่จะแกนโดยกำหนดช่วงเวลาและการกำหนดค่าการสแกนที่เกิดขึ้น

 

ขั้นตอนที่ 2: ระบุรายละเอียดการสแกน ตั้งค่าการสแกน

ระบุรายละเอียดที่จะสแกน

 

สแกนข้อมูลส่วนตัวและตั้งค่าการสแกนแม่แบบ

- Scanning Profile สแกนข้อมูลเว็บไซต์ ว่าจะทดสอบอะไร เช่นทดสอบ SQL injection ก็เลือกที่ข้อมูล sql_injection

- Scan Settings template เป็นการสแกนโดยใช้แม่แบบ หรือสร้างแม่แบบใหม่

- Advanced Crawling Options เมื่อ ติ๊กถูกจะแสดงตัวเลือกระดับสูงตัวช่วยในการสแกน นอกจากนี้ยังสามารถกำหนดค่า Acunetix เพื่อแสดงรายชื่อไฟล์ที่ระบุไว้ได้

 

ขั้นตอนที่ 3: ยืนยันการเลือกตัวที่จะสแกนเพื่อหา Targets ที่ต้องการลดระยะเวลาในกาน สแกน

 

ขั้นตอนที่ 4: กำหนดการเข้าสู่ระบบ การป้องกันด้วยรหัสผ่าน จะมี 2 ส่วน

- HTTP Authentication ตรวจสอบสิทธิ์ HTTP คือการรับรองโดยเว็บเซิฟเวอร์

- Forms Authentication ตรวจสอบเนื้อหาโดยใช้ แบบฟอร์มเว็บ

*ซึ่งก่อนการสแกน ระบบจำเป็นต้องตรวจสอบอย่างระเอียดเพื่อความปลอดภัย

 

ขั้นตอนที่ 5: เมื่อเลือกสิ่งที่จะสแกนเสร็จ

 

 

ขั้นตอนที่ 6: กด Finish โปรแกรมจะทำการสแกนสิ่งที่เราเลือกไว้ ขึ้นอยู่กับขนาดของเว็บไซต์รายละเอียดการสแกนที่เลือกและการตอบสนองของเซิร์ฟเวอร์ เวลาสแกนอาจใช้เวลาหลายชั่วโมง

 

การวิเคราะห์การแสดง 

ช่องโหว่ที่พบในระหว่างการสแกนของเว็บไซต์จะแสดงในเรียลไทม์ใน โหนดการแจ้งเตือนใน ผลการสแกนหน้าต่าง โหนด Site Structure ยังแสดงให้เห็นรายชื่อไฟล์และโฟลเดอร์ที่ค้นพบ

การแจ้งเตือนเว็บ

โหนดการแจ้งเตือนเว็บ แสดงช่องโหว่ทั้งหมดที่สแกนพบในเ็บไซต์เป้าหมาย จะแบ่งการแจ้งเตือนเป็น 4 ระดับ

 

ระดับที่ 1 

ระดับ High Risk Alert Level 3 

ช่องโหว่แบ่งออกเป็นอันตรายมากที่สุดซึ่งทำให้สถานที่ ที่มีความเสี่ยงสูงสุดสำหรับการเจาะและการโจรกรรมข้อมูล

ระดับ Level 3

 

ระดับที่ 2 

ระดับ Medium Risk Alert Level 2

ช่องโหว่ที่เกิดจากการกำหนดค่าเซิร์ฟเวอร์และ sitecoding ข้อบกพร่องที่อำนวยความสะดวกการหยุดชะงักของเซิร์ฟเวอร์และการบุกรุก

ระดับ Level 2

 

ระดับที่ 3 

ระดับ Low Risk Alert Level 1

ช่องโหว่ที่ได้มาจากการขาดการเข้ารหัสของการเข้าชมข้อมูลหรือ การเปิดเผยข้อมูลเส้นทางไดเรกทอรี

ระดับ Level 1

 

ระดับสุดท้าย

ระดับ Informational Alert 

เป็นข้อมูลที่ค้นพบในระหว่างการสแกน และถือว่าเป็นที่หน้าสนใจเช่นเป็นไปได้สำหรับการเปิดเผยข้อมูล IP address หรือ Email address

ระดับ InformationalAlert

 

 

References : Acunetix.  “Acunetix”.  [ออนไลน์].  เข้าถึงได้จาก:https://www.acunetix.com/.  [24 ก.ย. 2016].

ภาพประกอบจาก :http://www.acunetix.com/