• 免費網站資訊安全自動化測試工具 — Vega

    這篇文章主要介紹一個網站資訊安全自動化測試工具  “Vega”

    這是一套 open source,免費而且功能強大、UI 介面容易了解且上手的一套網站資訊安全測試工具。

     

    全自動測試

    這樣的自動化測試工具是否就會完全取代人工測試?

    其實不然,主要原因是這樣的自動化測試還需要許多人為導引的介入才能夠讓測試結果與測試過程更加深入。

    舉例來說,有些頁面需要登入之後才能夠進一步存取或是輸入資料。如果單純靠自動化測試工具,很有可能有些頁面永遠都測不到。

    或是有些商業邏輯的前後關係,還需要人為的進一步確認,才能夠讓該測試結果更為有意義。

     

    Proxy mode

    網站資訊安全測試工具通常會有兩種模式,

    1. 瀏覽器模式:在這種模式底下,該網站資訊安全測試 Vega就像是瀏覽器一般,只是輸入的值多半為該工具所提定義好的測試腳本與個案來作 http request 的執行。

     

    2. Proxy  模式:在這種模式底下,Vega 會當成是 proxy,瀏覽器的 proxy 也會設定到 Veta,透過 Vega 來上網。這樣的模式也會模擬出讓 Vega 變成 Man In the middle。

    優點是:通常可以讓使用者正常利用瀏覽器瀏覽所有的網頁。瀏覽網頁的歷史紀錄會被記錄在 proxy 中。這些網頁瀏覽歷史紀錄,可以之後讓 Vega 利用資訊安全測試個案 replay 或是進一步修改輸入資料內容測試。

    通常來說網站的資訊安全測試,都會利用這樣的模式測試。也就是先透過人工的網站瀏覽,導引至相對的網頁資訊之後,讓Vega 累積一些網站的資訊之後,再進一步針對相關的網頁進行自動化測試個案的測試。

     

    如下圖所示: 透過 proxy來連上網路。Vega 扮演的就是proxy的角色。

     

    瀏覽器所瀏覽過的網頁歷史紀錄都會被記錄在 Proxy 的 Http Requests,如下圖所示。

    因此,可以針對每一個 http request 內容與輸入,套用資訊安全測試個案與測試腳本,重新送出相關的資訊安全測試 http request。

    The Vega proxy

    何處下載Vega

    https://subgraph.com/vega/index.en.html

     

    Vega 可以做哪些測試呢?

    支援的模組與測試案例包含:Directory listing, URL/XML/XSS injection, SQL injection, Remote File injection 等..

    Scanner modules

     

    Vega 測試報告

    針對網站測試結果,Veta 也提供一個簡潔的測試報告結果。

    其中最重要的是討論進一步如何修改或是避免這個資訊安全風險。 “Remediation”

    Alert generated by a Vega module during an automated scan.

     

     

    Posted by Tony @ 10:59 pm

    Tags: ,

  • Leave a Reply

    Your email address will not be published.