สแกนเว็บไซต์หาช่องโหว่ ด้วย Acunetix (อเคอเนติก)
สแกนเว็บไซต์
* ไม่สมารถสแกนเว็บไซต์โดยการอนุมัติที่เหมาะสม!
ขั้นตอนการสแกนเว็บไซต์
ขั้นตอนที่ 1: เลือก target หรือเป้าหมาย ที่จะสแกน
1.1 คลิก New > New Website Scan to start the Scan Wizard หรือ New Scan
เลือก target ที่จะสแกน
เลือกประเภทการสแกน
1.2 ตัวเลือกในการสแกน
- Scan single WebSite สแกนโดยใช้ URL ของเว็บไซต์
- Scan using saved crawling results สแกนด้วยไฟล์ที่จัดเก็บไว้ก่อนหน้านี้
1.3 กด Next
* โปรแกรม Acunetix สามารถที่จะแกนโดยกำหนดช่วงเวลาและการกำหนดค่าการสแกนที่เกิดขึ้น
ขั้นตอนที่ 2: ระบุรายละเอียดการสแกน ตั้งค่าการสแกน
ระบุรายละเอียดที่จะสแกน
สแกนข้อมูลส่วนตัวและตั้งค่าการสแกนแม่แบบ
- Scanning Profile สแกนข้อมูลเว็บไซต์ ว่าจะทดสอบอะไร เช่นทดสอบ SQL injection ก็เลือกที่ข้อมูล sql_injection
- Scan Settings template เป็นการสแกนโดยใช้แม่แบบ หรือสร้างแม่แบบใหม่
- Advanced Crawling Options เมื่อ ติ๊กถูกจะแสดงตัวเลือกระดับสูงตัวช่วยในการสแกน นอกจากนี้ยังสามารถกำหนดค่า Acunetix เพื่อแสดงรายชื่อไฟล์ที่ระบุไว้ได้
ขั้นตอนที่ 3: ยืนยันการเลือกตัวที่จะสแกนเพื่อหา Targets ที่ต้องการลดระยะเวลาในกาน สแกน
ขั้นตอนที่ 4: กำหนดการเข้าสู่ระบบ การป้องกันด้วยรหัสผ่าน จะมี 2 ส่วน
- HTTP Authentication ตรวจสอบสิทธิ์ HTTP คือการรับรองโดยเว็บเซิฟเวอร์
- Forms Authentication ตรวจสอบเนื้อหาโดยใช้ แบบฟอร์มเว็บ
*ซึ่งก่อนการสแกน ระบบจำเป็นต้องตรวจสอบอย่างระเอียดเพื่อความปลอดภัย
ขั้นตอนที่ 5: เมื่อเลือกสิ่งที่จะสแกนเสร็จ
ขั้นตอนที่ 6: กด Finish โปรแกรมจะทำการสแกนสิ่งที่เราเลือกไว้ ขึ้นอยู่กับขนาดของเว็บไซต์รายละเอียดการสแกนที่เลือกและการตอบสนองของเซิร์ฟเวอร์ เวลาสแกนอาจใช้เวลาหลายชั่วโมง
การวิเคราะห์การแสดง
ช่องโหว่ที่พบในระหว่างการสแกนของเว็บไซต์จะแสดงในเรียลไทม์ใน โหนดการแจ้งเตือนใน ผลการสแกนหน้าต่าง โหนด Site Structure ยังแสดงให้เห็นรายชื่อไฟล์และโฟลเดอร์ที่ค้นพบ
การแจ้งเตือนเว็บ
โหนดการแจ้งเตือนเว็บ แสดงช่องโหว่ทั้งหมดที่สแกนพบในเ็บไซต์เป้าหมาย จะแบ่งการแจ้งเตือนเป็น 4 ระดับ
ระดับที่ 1
ระดับ High Risk Alert Level 3
ช่องโหว่แบ่งออกเป็นอันตรายมากที่สุดซึ่งทำให้สถานที่ ที่มีความเสี่ยงสูงสุดสำหรับการเจาะและการโจรกรรมข้อมูล
ระดับ Level 3
ระดับที่ 2
ระดับ Medium Risk Alert Level 2
ช่องโหว่ที่เกิดจากการกำหนดค่าเซิร์ฟเวอร์และ sitecoding ข้อบกพร่องที่อำนวยความสะดวกการหยุดชะงักของเซิร์ฟเวอร์และการบุกรุก
ระดับ Level 2
ระดับที่ 3
ระดับ Low Risk Alert Level 1
ช่องโหว่ที่ได้มาจากการขาดการเข้ารหัสของการเข้าชมข้อมูลหรือ การเปิดเผยข้อมูลเส้นทางไดเรกทอรี
ระดับ Level 1
ระดับสุดท้าย
ระดับ Informational Alert
เป็นข้อมูลที่ค้นพบในระหว่างการสแกน และถือว่าเป็นที่หน้าสนใจเช่นเป็นไปได้สำหรับการเปิดเผยข้อมูล IP address หรือ Email address
ระดับ InformationalAlert
References : Acunetix. “Acunetix”. [ออนไลน์]. เข้าถึงได้จาก:https://www.acunetix.com/. [24 ก.ย. 2016].
ภาพประกอบจาก :http://www.acunetix.com/