WebInspect网页程序扫描器

一、 简介

WebInspect：强大的网页程序扫描器

WebInspect对于专业人员不必多说，在黑客工具排名前100中能找到它的身影。

 SPI Dynamics' WebInspect应用程序安全评估工具帮您识别已知和未知的网页层漏洞。它还能检测到Web服务器的配置属性，以及进行常见的网页攻击，例如参数注入、跨网站脚本、目录游走等等。

发现Ajax安全缺陷的一个方法是借助于安全测试应用软件。这一方面，Cenzic的Hailstorm可以针对基于Ajax的Web应用程序进行精确动作分析。Hailstorm可以自动模拟某些最复杂的基于流的攻击，让开发者看到真实世界的黑客是如何攻入他们的Web应用程序并窃取安全数据的。
Hailstorm使开发者可以实时检查所有安全缺陷，以了解某些注入攻击代码如何被执行以及被攻击的目标Web应用如何响应。Hailstorm还从不同的技术角度来提供建议来修正代码。不过由于Web应用技术如此不同，Hailstorm只是给出了通用的修补建议，而不提供具体的修正代码。
根据Cenzic，当Ajax应用程序发出服务器请求时出现的两个主要安全弱点是：输入确认（诸如SQL和脚本注入）和授权。对开发者的关键挑战是要防止来自注入攻击的反馈信息。 
例如，当发出HTTP请求后，提交的参数被连接符号&分开，这使得黑客可以根据参数来查看服务器的响应。黑客可以创建定制的HTTP头，通过插入调用函数，服务器端就会运行恶意脚本。通过Hailstorm，开发者能够识别存在于HTTP头内的注入代码的安全缺陷。
Hailstorm还可以检查任何基于提交数据的注入攻击。对于有安全弱点的HTTP头，Hailstorm可以产生跨站点脚步攻击和SQL注入攻击来测试服务器请求和脚本执行。Hailstorm可以在HTTP头中插入空函数来看页面结构是否能被恶意函数改变。为了得到XML节点的信息和被调用的函数，黑客们通常喜欢使用空函数来接收来自服务器的信息。 由于Ajax请求通常是基于XMLHTTP协议的，开发者可以动态的改变提交数据的架构，以提供从Web应用到客户端浏览器的即时Ajax数据结果。但是这个功能也可以被利用。例如假如黑客可以改变任何函数的话，他们可以在页面上放一个类似弹出窗口类的垃圾信息。
观察攻击Ajax请求的最佳时间也是非常重要的，因为不是所有的Ajax方法调用都是有用的。在页面加载的时候，对页面所做的Ajax改变需要按照服务器端模块或内部终端用户的响应来进行，因为Ajax请求是一个中间请求。
内部终端用户的例子是那些需要计算来自银行或其他金融机构的表格的人们。为了测定那些Ajax请求会导致什么情况，Hailstorm在服务器端利用一个浏览器来跟踪内部用户的基于事件的响应，并跟踪那些请求一直到客户浏览器的页面加载。
举例来说，对表格数据执行了Ajax注入后，Hailstorm用户可以分析响应数据大小。假若内部用户点击了一个来自基于Ajax的SQL注入产生的JavaScript弹出窗口后，从Web应用中得来的数据会产生一个安全漏洞，使得黑客可以查看财政数据的表格。Hailstorm输出可以在页面加载的时候测定特定的产生这个漏洞的实例，方法是给每一个交易打上一个水印标识。这个功能可以模仿黑客实际所采取的做法，从而提供一个状态评估来维护Web应用的状态。