SpareNet Servers Advertising & Link Exchange IranHack Telegram

اطلاعیه

بستن
هیچ اطلاعیه ای هنوز ایجاد نشده است .

معرفی و آموزش اسکنر Netsparker

بستن
X
  • فیلتر
  • زمان
  • نمایش
پاک کردن همه
نوشته‌های جدید

  • معرفی و آموزش اسکنر Netsparker

    معرفی اسکنر Netsparker
    Netsparker یک اسکنر آسیب پذیری وب اپلیکیشن است که متعلق به شرکتی با همین نام می­باشد. آخرین نسخه آن را از این لینک می­توانید دانلود کنید و به مدت 30 روز از نسخه رایگان آن استفاده نماید. این اسکنر علاوه بر نسخه ویندوزی دارای اسکنر تحت وب نیز می­باشد که از اینجا قابل دسترسی است.
    برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: n.jpg
مشاهده: 135
حجم: 19.8 کیلو بایت


    طبق مطالب درج شده در سایت این ابزار، مهمترین مقوله برای سازندگان آن تلاش در جهت راحتی هرچه بیشتر استفاده کنندگان می­باشد به شکلی که پس از نصب بدون هیچگونه تنظیمات خاصی می­توان اقدام به اسکن نمود.

    در پشت رابط کاربری ساده این اسکنر امکانات قدرتمندی برای بررسی امنیتی سایت­ها و سامانه های تحت وب تعبیه شده است که مدیران وب سایت­ها، توسعه دهندگان و ... می­توانند برای کشف و رفع نواقص محصولات خود از آن­ها استفاده کنند.

    یکی از مهمترین شاخصه­ های netsparker قدرت این ابزار در نمایش اثبات بهره برداری(POC) آسیب پذیری های کشف شده است، به این دلیل که در صورت ارائه POC مناسب، تایید وجود آسیب پذیری برای اثبات و رفع آن بسیار راحت­تر خواهد بود. این ابزار از بروزترین تکنولوژی های وب مانند HTML5 نیز پشتیبانی می­کند.


    انعطاف پذیری، بهره­‌وری، قابلیت ادغام با دیگر ابزار­ها، سیستم گزارش دهی قوی، قابلیت تست دستی و غیره از دیگر مشخصات این اسکنر است که در ادامه بررسی خواهد شد.


  • #2
    قابلیت­ها ابزار netsparker
    1. اسکن پیشرفته : netsparker دارای سیستم اسکن پیشرفته است که تعدادی از امکانات نوین آن به شرح زیر می­باشد.
      • پشتیبانی از انواع سیستم­های احراز هویت مانند Basic،Form، NTLM و ...
      • پشتیبانی از AJAX و Java Script
      • پشتیبانی از کلید­های ضد حملات CSRF
      • تشخصی خودکار صفات 404
      • ابتکار در یافتن بازنویسی آدرس­ها (URL Rewrit)
    2. پشتیبانی از HTML5 : امکانات جدید تعبیه شده در HTML5 به استفاده کنندگان اجازه می­دهد تا برنامه­های وب خود را پویا تر از قبل طراحی کنند. استفاده از برنامه­های وب پیشرفته و پیچیده تر به طبع موجب بروز آسیب­پذیری های جدیدتر می­گردد. Netsparker نیز به منظور کشف آسیب­پذیری های مدرن مانند DOM XSS که در HTML رخ می­دهند به نرم افزار خود قابلیت پشتیبانی از آن­ها را اضافه نموده است.
    3. کشف نسخه­ قدیمی اپلیکیشن­های وب : با توجه به اینکه هر سال نرم افزار­های جدیدی مانند angularJS برای اپلیکیشن­های وب ارائه می­گردد و استفاده از نسخه­های قدیمی می­تواند خطرات زیادی به همراه داشته باشد، توسعه دهندگان netsparker امکان تشخیص نسخه­های قدیمی اپلیکیشن­های وب را به آن اضافه نموده اند.
    4. اسکن وب سرویس­ها : وب سرویس­ها به دلیل تسهیل برقراری رابطه میان ابزار­های تحت وب با شبکه و کاربران بسیار در سازمان­ها و سایت­های بزرگ و کوچک مورد استقبال قرار گرفته اند اما به علت عدم توجه به امنیت­ آن­ها تبدیل به یک تهدید امنیتی بالقوه شده اند. ابزار netsparker قابلیت اسکن امنیتی و شناسایی آسیب پذیری در انواع وب سرویس های WSDL، SOAP و REST API را در خود گنجانده است. این ابزار همچنین دارای سیستم اسکن آفلاین سرویس­ها نیز می­باشد.
    5. اسکن بر اساس POC : فاکتور­های بسیاری مانند قطع و وصل شدن ارتباط در هنگام اسکن و وجود دیوار آتش در شبکه می­توانند نتیجه اسکن را تحت شعاع قرار دهند. به همین دلیل ممکن است گاهی اسکنر در کشف آسیب­پذیری اشتباه کند. به منظور کاهش بروز این خطا ابزار netsparker با قرار دادن POC در اختیار کاربر این امکان را به وی می­دهد تا به صورت دستی آسیب پذیری را بررسی نماید.
    6. ابزار­های ترکیبی داخلی : در هنگام تست نفوذ نرم افزار­های وب ممکن است به ابزار­های ترکیبی مانند Encoder/Decoder، ابزار ViewState، تست کننده دوباره آسیب پذیری و... نیاز داشته باشید، در Netsparker تا سرحد امکان این ابزار­ها برای شما جمع آوری شده است.
    7. انعطاف پذیری: قابلیت تظیم محدوده اسکن، تعیین و تغییر سفارشی سیاست(Policies)ها موجب افزایش انعطاف پذیری بیش از پیش ابزار شده است. این قابلیت­ ها باعث افزایش سرعت و کاهش زمان اسکن می­گردد.
    8. بهره وری : تست نفوذ­ در محیط رسمی نیازمند کار با اتوماسیون، همکاری و یکپارچگی با ابزار­های امنیتی دیگر در چرخه توسعه و حیات سیستم(SDLC) می­باشد. Netsparker شرایط استفاده در این محیط­ها را دارا می­باشد.
    9. ارائه مشخصات دقیق آسیب پذیری : به منظور اطمینان خاطر توسعه دهندگان و درک درست آسیب پذیری نتایج اسکن Netsparker بسیار دقیق بوده و انواع آسیب پذیری ها را تشخیص می­دهد. همچنین این ابزار جرئیات فنی آسیب­پذیری ها، اثبات دقیق آسیب­ پذیری(POC)، درصد ریسک آسیب پذیری را در اختیار کاربر قرار می­دهد و دارای لینک مرجع نیز می­باشد.
    10. گزارش دهی: پس از اسکن و کشف آسیب پذیری ها، ارائه گزارش فنی با اطلاعات کامل مهم ترین قسمت اسکن و تست آسیب­پذیری می­باشد. ارائه گزارش برای اشتراک گذاری با همکاران، توسعه دهندگان و مدیران باید به بهترین نحو ممکن انجام گردد تا نتایج به نتایج مطبوب دست یافت. سیستم گزارش دهی Netsparker این قابلیت را در اختیار مشتریان خود قرار می­دهد تا به طور حرفه­ای گزارش فنی تولید نمایند.
    11. بهره برداری اتوماتیک : سیستم اتوماتیک بهره­برداری از آسیب­پذیری به منظور بررسی دقیق­تر آسیب پذیری­هایی که حتی با POC نیز شک برانگیز هستند طراحی شده است. این سیستم به کاربر اجازه می دهد تا آسیب پذیری های کشف شد را بررسی نماید.

    نظر


    • #3
      شرح امکانات برنامه netsparker
      برای شروع اسکن آسیب پذیری‌­های سایت در منو نرم افزار بر روی Start New Scan کلیک نموده و در قسمت باز شده آدرس سایت یا وب سرویس مورد نظر را وارد میکنیم.
      برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: n2.png
مشاهده: 106
حجم: 104.8 کیلو بایت


      در منو کشویی 5 بخش به شرح زیر وجود دارد که کاربر می­تواند متناسب با نوع نیاز­های خود از آن­ها استفاده کند.
      • Start Scan : با کلیک بر روی این بخش اسکن با تنظیمات پایه خود نرم افزار شروع می­شود
      • Crawl and Wait: با استفاده از این قسمت نرم افزار در مرحله اول عملیات خزش برای کشف URL های سایت را انجام می­دهد سپس منتظر دستور برای شروع اسکن می­ماند.
      • Manual Crawl (Proxy Mode): در این حالت نرم افزار اقدام به راه اندازی یک پروکسی داخلی در شبکه نموده و از طریق آن عملیات خزش را انجام میدهد.
      • Scan imported links only: با استفاده از این قابلیت می­توان به نرم افزار فرمان اسکن تعدادی لینک خاص را داد.
      • Schedule Scan: این بخش به مشتری امکان اجرای اسکن طبق برنامه و زمان مشخص را می­دهد.
      برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: n3.png
مشاهده: 103
حجم: 70.6 کیلو بایت

      بخش Options دارای دو قسمت تنظیمات اسکن و احراز هویت است.
      در تنظیمات اسکن به کاربر مجوز تعیین سیاسیت­های اسکن، نوع گزارش دهی نهایی، تنظیمات خزنده، تعیین محدوده اسکن، تعیین لینک­های خاص برای اسکن و غیره داده شده است.
      در قسمت احراز هویت می­توان انواع مختلفی از جمله Form ، Basic و NTLM را فراخوانی کرد، همچنین در صورت نیاز به نصب گواهینامه امنیتی توسط کاربر قسمتی به نام Client certificate طراحی شده است.
      برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: n4.png
مشاهده: 105
حجم: 81.3 کیلو بایت

      پس از شروع اسکن برنامه ابتدا اقدام به اجرای عملیات خزش برای یافتن URLهای وب سایت می­نماید و به طور همزمان تست کشف آسیب پذیری را نیز انجام می دهد.



      ادامه دارد...

      نظر


      • #4
        با تشکر از شما

        نظر


        • #5
          در تنظیمات اسکن به کاربر مجوز تعیین سیاسیت­های اسکن، نوع گزارش دهی نهایی، تنظیمات خزنده، تعیین محدوده اسکن، تعیین لینک­های خاص برای اسکن و غیره داده شده است.

          در قسمت احراز هویت می­توان انواع مختلفی از جمله Form ، Basic و NTLM را فراخوانی کرد، همچنین در صورت نیاز به نصب گواهینامه امنیتی توسط کاربر قسمتی به نام Client certificate طراحی شده است.
          برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: net1.png
مشاهده: 51
حجم: 81.3 کیلو بایت


          پس از شروع اسکن برنامه ابتدا اقدام به اجرای عملیات خزش برای یافتن URLهای وب سایت می­نماید و به طور همزمان تست کشف آسیب پذیری را نیز انجام می دهد.

          در قسمت Sitemap موجود در سمت چپ نرم­افزار می توان شرح کاملی از اسکن و اطلاعات کشف شده شامل نوع پسوند فایل های سایت، کوکی ها، آدرس فایل های CSS و غیره را مشاهده کرد.
          برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: net2.png
مشاهده: 48
حجم: 13.6 کیلو بایت



          یافته­ها در نرم افزار netsparker در 4 دسته بندی زیر قرار می­گیرند که در بخش میانی نرم افزار قابل مشاهده می­باشند.
          1. Critical (بحرانی)
          2. (پر اهمیت)
          3. (کم اهمیت)
          4. (اطلاعات)
          همچنین کاربر در هنگام اسکن می­تواند تعداد اتصال ها را با استفاده از بخش Current Connections کنترل نماید یا آن­ها را تغییر دهد.
          برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: net3.png
مشاهده: 49
حجم: 111.8 کیلو بایت



          در بخش dashboard اطلاعاتی شامل تعداد درخواست­ها در ثانیه، میانگین سرعت اسکن، تعداد کل درخواست های ارسال شده، تعداد درخواست های ناموفق و غیره در اختیار کاربر قرار گرفته میشود.

          نظر

          صبر کنید ..
          X