網頁應用軟體安全性測試工具整理

作者: Fred Wang 2012/1/6

Web應用軟體安全性測試工具可以區分黑箱測試與白箱測試兩種。

黑箱測試(Blackbox Testing)又稱動態分析

. 在受測目標資訊不足的情況下進行測試，例如主機資訊、系統設定、原始碼等等
. 由於測試重複性高，多採用自動化工具協助，如：弱點掃描、滲透測試工具

滲透測試，就是測試團隊的成員，以入侵者的思維方式與入侵者可能利用的途徑，對目標進行檢測。測試過程，就如同網路入侵事件的實際演練。主要目標是評估具同等能力的入侵者大約可以在多久的時間入侵成功, 評估遭到入侵可能的影響,強化系統及網路的安全,減低遭到入侵後的損失等。目前滲透測試的分類可以區分網路滲透測試(Network Penetration Test)與應用程式滲透測試(Application Penetration Test)兩種，前者目標為網路上的主機或其他網路設備，後者則目標為自行或外包開發的應用程式(如jsp, asp, php等程式)

網路滲透測試或稱網路弱點掃描是透過黑箱測試的工具，模擬各種駭客的攻擊手法，以非侵入式的方式檢測運作中的網頁伺服器，並根據系統回應判斷是否存在安全性的弱點。利用網站弱點掃描，可以檢測「部分」網站系統的設定問題，找出缺失並修補。，Web應用程式仍無法有效的檢測，因此需採用應用程式滲透測試服務或使用程式檢核工具（code review）。

網路弱點掃描工具 : Nessus(Free), Nmap(Free), HP WebInspect(Pay)

應用程式滲透測試或稱應用程式弱點掃瞄是針對自行或外包開發的應用程式，因此沒有特定的工具，通常需自行撰寫。而市面有網頁掃瞄工具，具備類似功能。

網頁弱點掃描 : Burp Suite(Free), OWASP WebScarab(Free), Pros Proxy(Free) ,IBM Rational AppScan(Pay)

其他動態分析工具還有Metasploit, Free : WebFuzz(網站模糊測試工具), Nikto (Open Source), Wapiti(Open Source), Ratproxy(Free)

白箱測試(Whitebox Testing)又稱靜態分析

. 在取得受測目標資訊的情況下進行測試
. 由於資訊充足，常以檢查及驗證為主
. 已有成熟工具可協助， 如：程式碼審核工具(Code Review Tool)

程式碼審查(Code Review)工具就是透過程式審查軟體協助開發人員找出大量程式撰寫問題，比滲透測試更能找出所有的問題。

相關工具有
Open Source : RATS(Rough Auditing Tool for Security), Swift, Pixy, STRANGER, LAPSE, w3af
Free : Microsoft Source Code Analyzer for SQL Injection, Microsoft Code Analysis Tool .NET(CAT.NET)
付費軟體 : Fortify SCA, 阿碼CodeSecure, HP DevInspect


參考文章
1.itHome技術對談─深入了解滲透測試的實際執行方式
2.itHome,”靜態程式碼安全性檢測採購大特輯”
3.阿瑪科技，”網站安全防禦術”
4.鈺松國際, “滲透測試簡介”