Первая версия Acunetix вышла ещё в 2005 году. Тогда продукт имитировал поведение хакеров, чтобы обнаружить уязвимости в системе до того, как это сделают они. Сегодня среди клиентов Acunetix числятся правительственные, военные и банковские организации, а Microsoft и AWS стали его технологическими партнёрами.

С выходом 12-ой версии Acunetix изменил политику лицензирования. Теперь лицензируются таргеты, т.е. цели сканирования. Таковыми могут быть веб-сайт, веб-приложение, сервер или сетевое устройство. Кроме того, Acunetix отказался от бессрочных лицензий и перешёл на подписку.

Установка и использование Acunetix 12 Enterprise

Acunetix Enterprise может быть развёрнут локально или в облаке. В любом случае, настройка занимает несколько минут и состоит из трёх шагов:

  1. Создание учётной записи администратора.
  2. Ввод лицензионного ключа.
  3. Выбора порта.

Здесь и далее в качестве примера использована локальная версия Acunetix Enterprise.

Чем отличаются лицензии Acunetix Standard и Acunetix Enterprise?

Acunetix Enterprise позволяет сканировать 5, 10, 15, 20 и больше таргетов одновременно, не ограничивая при этом количество пользователей. Каждому из них может быть присвоена своя роль – Tech Admin, Tester, Auditor – с соответствующими правами.

Чтобы добавить пользователя, необходимо перейти в Настройки (Settings), ввести e-mail, имя и пароль и выбрать роль. После этого администратор может решить, предоставлять ли права доступа ко всем целям или только к конкретной группе.

Получить триальную версию Acunetix

Сканирование веб-приложений и сайтов с помощью Acunetix 12 Enterprise

После установки веб-портал Acunetix открывается в браузере по умолчанию. На главной странице находится панель управления, которая показывает количество выявленных уязвимостей, просканированных веб-сайтов и наиболее распространённые уязвимости.

При выборе High, Medium или Low открывается Vulnerabilities Section с детальным описанием выбранной уязвимости. Пользователь может просматривать конкретные сайты, типы уязвимостей, запущенные и запланированные сканирования.

В правом нижнем углу находится кнопка Show Trends. Здесь собрана подробная статистика. Например, количество найденных уязвимостей за последние 12 месяцев в разбивке по типам или среднее количество дней, потраченных на их устранение.

Основной функционал Acunetix настраивается во вкладке Targets. Чтобы добавить цель, необходимо нажать на Add Target, ввести имя цели и её URL-адрес.

После добавления цели появляется ряд дополнительных опций, собранных во вкладках General, Crawl, HTTP, Advanced.

General

Здесь можно присвоить цели категорию (Business Criticality), которая определяет приоритет обнаруженных уязвимостей. Тут же настраивается скорость сканирования и (при необходимости) его непрерывность.

Advanced

Выбор языков для сканирования, добавление пользовательских заголовков и cookie-файлов, настройка разрешённых хостов. Предусмотрен импорт файлов для поискового модуля (crawler), например, список URL-адресов и Fiddler Proxy Export. Для поиска недавно выявленных уязвимостей можно настроить собственный тип сканирования.

После анализа ряда тестовых сайтов было выявлено множество проблем: межсайтовый скриптинг, Expression Language Injection, DOM-based XSS, уязвимые библиотеки Javascript etc.

Сканирование больших сайтов с достаточно медленным подключением заняло около 15 минут.

По завершению сканирования появляется список всех обнаруженных уязвимостей. Приведены детали атаки, HTTP-запросы и полученный ущерб. Acunetix предлагает решение проблемы, даёт ссылки на CWE (Common Weakness Enumeration) и CVSS (Common Vulnerability Scoring System). После проверки пользователь может пометить уязвимости как исправленные, проигнорированные или ложные.

AcuSensor: 100% обнаружение серьёзных уязвимостей

Агент AcuSensor разворачивается на веб-сайтах, написанных на PHP, .NET и Java. Он повышает точность сканирования, снижает количество ложных срабатываний и обладает улучшенным движком поиска и обнаружения. Acunetix утверждает, что AcuSensor способен выявить широкий спектр SQL-инъекций и вплоть до 100% уязвимостей.

Сканируя PHP-приложения, AcuSensor предоставляет информацию по каждой строке программы. В случае с ASP.NET и Java позволяет отслеживать стек и предоставляет образцы SQL-инъекций.

С помощью плагина Jenkins Acunetix Enterprise может быть развёрнут в условиях постоянной интеграции. Jenkins будет автоматически запускать сканирование и генерировать отчёты (Acunetix PDF и Jenkins HTML) при появлении новой сборки. Если количество уязвимостей превышает допустимый порог, она будет заблокирована.

Отчёты, экспорт и трекер ошибок

Сильной стороной Acunetix является поддержка ряда WAF-приложений – F5, Imperva, Fortinet – и экспорта данных в них. Для всех остальных WAF предусмотрена возможность XML-экспорта, но это касается только результатов полного сканирования. Если нужно экспортировать отчёт по конкретной уязвимости или их набору, придётся воспользоваться другим фоматом.

После обнаружения уязвимости её можно отправить в трекер ошибок (issue tracker), который настраивается отдельно. Для этого нужно добавить учёные данные GitHub и выбрать соответствующий проект. Можно настроить тип ошибки и проверку соединения перед выходом.

После этого следует отдельно подвязать трекер к каждому сайту, вернувшись в меню Targets – Advanced. Подход не самый изящный, но действенный.

В тестировании Firewall.cx все ошибки, отправленные в GitHub, сопровождались подробной информацией: URL-адрес цели, степень серьёзности уязвимости, подробности атаки, HTTP-запросы, влияние уязвимости на систему, советы по устранению. Всё это серьёзно ускоряет рабочий процесс.

Аналогичный функционал существует для JIRA и Microsoft TS, хотя JIRA ограничивает количество отслеживаемых ошибок до 20-ти.

Трекер ошибок – весьма полезная вещь, но она не мешает вашей организации пользоваться инструментами традиционной отчётности. Acunetix предлагает как набор стандартных шаблонов, так и десятки шаблонов соответствия стандартам.

Отчёты можно экспортировать в формате PDF или HTML для CWE 2011, HIPAA, ISO 27001, OWASP etc. Каждый содержит вводную часть и разбивку по категориям с указанием количества предупреждений и информацией о каждом из них.

Настроить эти отчёты «под себя» не получится, но особой необходимости в этом и нет. Отчёты генерируются в фоновом режиме, достаточно быстро и могут охватывать результаты одного сканирования / одну цель или группу целей / сканирований.

Отдел продаж: buy@corewin.com.ua

Телефон: +38 096 985 29 52