【51CTO.com 獨家譯稿】如果你以一位安全問題分析師的角度，已經花費了不少時間來尋求網頁應用程序的安全保障方案，或者是以開發者的身份來探討SDLC的實踐應用，那么你很可能會對OWASP的十大工具感興趣，進而在今后面對問題的時候用到它們的功能。首先十大工具存在的目的是作為一種應對機制，其內容涵蓋了由一個應用程序方面的眾多安全專家所組成的全球性聯盟所達成的共識性目標，即處理最關鍵的網頁應用程序安全漏洞。我們即將介紹的這十大OWASP安全管理工具，除了能夠為用戶的應用程序進行風險項目管理及相關的實用培訓之外，還包含了有關應用程序測試及相關問題修復的內容。目前對于應用程序安全管理的從業者及開發者來說，在管理這一類軟件的使用風險中，具備合適的工具包是非常有必要的。

正因為WhiteHat Security對這十大安全工具的卓越貢獻，我順理成章地從他們推出的第十一版網頁安全現狀統計報告中援引了一些關鍵性的內容。

首先，"資料外泄"在安全問題的成因中所占的比例高達四分之一甚至三分之一。在該報告中，資料外泄的概念被定義為"內容涵蓋廣泛，用以描述在某個網站上經由安全漏洞而導致的敏感數據暴露，例如頁面應用程序的技術細節、運行環境或是用戶的個人信息。"你將會看到在對OWASP十大安全工具進行考量時，如何在實例中通過資料外泄現象將軟件漏洞的所在定位出來。

其次，WhiteHat安全報告所涉及的各項經驗教訓值得被一提再提，加以重視，因為它們完全符合我們在本文中要討論的議題。

第一課：

軟件總會有編碼錯誤，而該錯誤被利用之后就產生了安全漏洞。因此，考慮到一套既具備時效性又必須安全可靠的軟件的開發周期（簡稱SDLC）不能太長，我們的應對態度應該是盡量減少安全漏洞的數量及降低不進行修復所導致的后果的嚴重程度，而不一定要徹底將其消除。

第二課：

僅僅一個單獨的網站安全漏洞被惡意利用，就足以對整個正常的網上業務造成極大的干擾，例如導致數據丟失、動搖網站用戶的使用信心等等。因此，這些漏洞被發現的越早，惡意攻擊者可資利用的時間就越短，其攻擊成功的機率自然也就大大降低了。

如此一來，結論其實非常簡單：盡量減少并及時修復網頁應用程序的漏洞將大大降低網站被攻擊的次數，并改善安全狀況。我們應該立即著手實施，對不對？答案是否定的，這種結論已經過時，"安全保障處理方案"現在可以說只是種古董級的陳詞濫調。如果每個人都致力于達成前面所提到的"降低風險及修復漏洞"工作，我們可能已經沒必要再討論什么十大熱門安全工具或者是研究第十二版的網頁安全狀況統計報告（比目前最新的再新一版）。但是注意，我們還是得做點富有實效的獨特工作，沒錯吧？

Gifford Pinchot曾經說過："不要對一場比賽的結果進行下注，除非你親身參與到這場比賽中去。"

因為提出解決方案永遠比不住地抱怨更有效，讓我們將目光轉向評測，深入探討今天文章的主角--十大熱門安全工具--是如何評選得出，以及怎樣在實際應用中利用其功能幫助我們解決問題。首先請看下列概述。

OWASP十大頁面應用程序安全風險（所有信息根據2010年的應用情況歸納得出）如下：

第一位: 注入式攻擊 注入類漏洞

例如SQL，OS以及LDAP注入，發生在不受信任的數據作為一條指令或是查詢要求的一部分被發往解釋程序之時。攻擊者所植入的惡意數據可以騙過解釋程序，導致該指令或查詢要求在無意中被執行。

第二位: 跨站點腳本(簡稱XSS)

每當一個應用程序攜帶了不受信任的數據并將其發送至頁面瀏覽器，而又未經過相關驗證及轉換解析時，XSS類漏洞就會蠢蠢欲動。XSS允許攻擊者在受害者的瀏覽器中執行腳本，這會導致用戶的會話遭受劫持、網站受到破壞或者是將用戶的訪問目標重新定向至某些惡意網站。

第三位:無效的認證及會話管理功能

應用程序的相關認證及會話管理功能在執行過程中常常發生各種問題，導致攻擊者有可能獲取到密碼、密鑰、會話授權或是通過利用其它執行性漏洞來盜取用戶身份。

第四位: 對不安全對象的直接引用

當一位開發者公開了某種對內部執行對象的引用，例如一個文檔、索引系統或是數據庫關鍵信息時，這種不利情況就有可能發生。由于缺乏訪問控制檢查或其它安全保護措施，攻擊者們能夠利用這些引用信息對那些未獲授權的數據進行訪問。

第五位: 偽造的跨站點請求 (簡稱CSRF)

CSRF類攻擊的特點是，強迫受害者的某個已進行登錄操作的瀏覽器向安全保護薄弱的頁面應用程序發送一條偽造的HTTP請求，包括受害者會話緩存內容及其它任何自動產生的包含認證信息的內容。這就導致了攻擊者可以通過強制受害者瀏覽器向具有漏洞的應用程序傳遞請求的方式，使相關的應用程序認定該請求是受害者本人所發出的合理請求。

第六位: 安全設置錯誤

好的安全保障體系需要一套經過精心定義及部署的設置方案，其對象包括應用程序、系統框架、應用程序服務、頁面服務、數據庫服務以及運行平臺等。上述這些設定應該被精確地定義、執行和保存，然而事實上大多數情況下，用戶會直接使用安全保障系統的默認設置，而其中有許多項目并未被正確配置，包括全部軟件的及時更新以及應用程序所要調用的全部代碼庫。

第七位: 加密存儲方面的不安全因素

許多頁面應用程序并未利用適當的加密或散列手段來妥善保護好那些敏感內容，例如信用卡信息、社?？ㄐ畔⒁约吧矸蒡炞C信息等。攻擊者們可以竊取或修改這些保護不力的數據以對受害者進行身份盜用、信用卡詐騙或其它犯罪行為。

第八位: 不限制訪問者的URL

許多頁面應用程序在轉向那些受保護的鏈接及按鈕之前，都會對訪問者的URL進行檢查。然而，應用程序其實需要在每一次接收到頁面訪問請求時，都進行一次這樣的檢查，否則攻擊者們將可以通過偽造URL的方式隨意訪問這類隱藏的頁面。

第九位: 傳輸層面的保護力度不足

應用程序常常無法實現驗證、加密以及保護機密及敏感的網絡通信內容的完整性等功能。當這種情況發生時，應用程序有時會選擇支持那些低強度的加密算法、使用過期的或者無效的驗證信息，或者是無法正確應用這些安全保障功能。

第十位: 未經驗證的重新指向及轉發

頁面應用程序經常將使用者的訪問請求重新指向或轉發至其它網頁和網站上，并使用不受信任的數據來定位目標頁面。如果沒有正確的驗證機制在此過程中加以制約，攻擊者完全可以將受害者的訪問請求重新指向到釣魚類或其它惡意軟件網站上，或者將訪問轉發至未經授權的頁面。

對于OWASP十大頁面應用程序安全風險中的九個，我都將通過推薦對應管理工具的方式幫助大家識別，并降低這類風險對大家公司及個人在網站運營及服務提供方面的危害。而且我要做的，是努力為每一類風險提供多種不同的解決方案以供大家選擇，從而避免同一安全保障軟件被重復使用。從其中選擇最適合自己的獨特工具吧。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關工具

#p#

以下是一個關于安全風險及其應對工具的表格：

安全風險	應對工具
第一位: 注入式風險	SQL Inject Me
第二位: 跨站點腳本 (簡稱XSS)	ZAP
第三位: 無效的認證及會話管理功能	HackBar
第四位: 對不安全對象的直接引用	Burp
第五位: 偽造的跨站點請求(簡稱CSRF)	Tamper Data
第六位: 安全配置錯誤	Watobo
第七位: 加密存儲方面的不安全因素	N/A
第八位: 不限制訪問者的URL	Nikto/Wikto
第九位: 傳輸層面的保護力度不足	Calomel
第十位: 未經驗證的重新指向及轉發	Watcher

除此之外還有很多針對這類工作的工具；這份簡單的名單所列出的只是那些我曾經親自使用過的，處理各種協議、研究及日常工作的工具。我向你保證，如果你有針對性地對這些工具軟件加以自定義及設定，那么這個工具軟件集合在對安全薄弱環節進行評估方面絕對會發揮巨大的作用。我還會為大家推介一些非常實用的相關資源。Samurai Web Testing Framework (WTF) 就是一款非常優秀的，基于Linux的LiveCD所發行的工具，它由Secure Ideas的Kevin Johnson以及InGuardians的Justin Searle共同開發完成。這款工具的兩位制作者將其定義為最好的開源且免費的工具，用來應付那些有關網頁檢測及頁面攻擊的問題，而其功能性方面的選擇方案則是由兩位制作者由自身日常工作中遇到的情況而斟酌得出。作為武士系列工具的一部分，同樣還存在著武士WTF火狐附加組件工具集，其中包含為你的火狐瀏覽器量身訂做的網頁應用程序滲透測試及安全分析附加組件。

我最喜愛的測試工具及方案的平臺是OWASP的 WebGoat，這是一款"主動暴露安全隱患的J2EE網頁應用程序，其設計目的是為大家提供網頁應用程序安全經驗"。我推薦WebGoat5.3 RC1標準發布版作為教學工具，因為它的功能性更接近于一個實驗平臺。詳情請參閱包含WebGoat實驗平臺使用指南的下載站點。

最后，別忘了FoxyProxy這款火狐專用的代理類附加組件，它同樣是我們上面提到的工具軟件集的"必備一員"，因為代理功能在我們的測試中是經常會被用到的。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關工具

#p#

第一位: SQL注入攻擊 - SQL Inject Me

大多數人都對SQL注入攻擊有所了解，因為它既普遍存在，又影響巨大?；鸷鼮g覽器的附加組件SQL Inject Me，作為武士WTF插件集合中的一部分，在檢測你正在瀏覽中的應用程序方面非常實用。通過它你可以檢測全部架構或選中的參數所能受到的各種攻擊方式，或者是檢測該工具中預設的九種常見攻擊類型。當在工具中選定攻擊方式后，再執行SQL Inject Me，則該工具的運行狀況即會如圖一所示，包括通過在選項中添加或刪除字符串的方式進行攻擊。

圖一 - SQL Inject Me>

檢測結果會在整個測試過程結束后，以報告的形式生成在一個獨立的火狐瀏覽器選項卡中。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關工具

更多安全工具>>進入專題

更多網管軟件>>進入專題

#p#

第二位: 跨站點腳本 (簡稱XSS) - ZAP

Zed攻擊代理（簡稱ZAP），同樣是OWASP項目的一部分，這是一款"易于使用的，幫助用戶從網頁應用程序中尋找漏洞的綜合類滲透測試工具"。它同時還是Paro Proxy項目的一款分支軟件（目前相關的支持功能已取消）。ZAP公司擁有對其所發布工具的長效及對未來版本的明確發展路線；在后續產品中，功能性無疑將得到進一步加強。該工具的1.2.0版本包含了攔截代理、自動處理、被動處理、暴力破解以及端口掃描等功能，除此之外，蜘蛛搜索功能也被加入了進去。正是因為ZAP具備對網頁應用程序的各種安全問題進行檢測的能力，在這里我們將在它的幫助下對跨站點腳本（簡稱XSS）項目進行測試。

首先要確認將ZAP加入你的FoxyProxy代理工具中，安裝后啟動，讓你的火狐瀏覽器通過FoxyProxy對其網絡數據交換進行管理，之后再做一些相關測試。

我將ZAP定位于自己的Newscoop3.5版本實驗平臺上，因為目前Newscoop的3.5.1版本被開發商披露與本工具不兼容。

在查看某個應用程序之后，ZAP的用戶界面將自動被添加進訪問過的網頁中去。這時右擊newscoop，然后選擇"蜘蛛"選項。這一操作將會根據我們當前訪問的權限抓取所有網頁。我一般會通過分析來調整自己的掃描策略，以避免不必要的檢查，然后再選擇開始掃描來對那些選定的應用程序進行評估。圖二展示了Newscoop所發現的XSS錯誤。

圖二 - ZAP>

我非常欣賞ZAP在進行掃描操作時所表現出來的抓取能力，因此它占據了我最喜愛的代理工具中的第二位，僅次于Burp。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關工具

#p#

第三位: 無效的認證及會話管理功能

無效的認證及會話管理功能會導致一種通病，即在會話ID保護方面的薄弱。它們一般來說既不具備SSL/TLS的保護，存儲方式簡陋低劣（未進行加密），又暴露在來自URL的改寫風險之下。我的確遇到過有些應用程序的會話ID是被用戶以一段MD5碼或是SHA1散列形式的密碼所保護起來的。如果攻擊者發動的是中間人攻擊或是通過XSS漏洞獲取到會話ID，那么在假設這一過程不可逆的前提下，我們將可以使用火狐的插件HackBar加以應對。HackBar插件在安裝之后，可以通過按下功能鍵F9的方式調出，然后選擇加密，接下來是選擇MD5加密或SHA1加密，最后將攻擊檢測結果發出（如果有結果可顯示的話）。

圖三 - HackBar>

除了XSS及SQLi檢查，HackBar在對Base64，各種URL以及HEX的編碼及解碼方面也非常實用。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關工具

#p#

第四位: 對不安全對象的直接引用-Burp Suite

我始終堅信文件路徑及目錄瀏覽過程中檢查步驟的缺乏，正是對不安全對象的直接引用這類現象產生的最大根源。借助這一薄弱環節，攻擊者們將能夠獲取到/etc/passwd目錄下的內容。

雖然我將Burp作為自己的首要網頁應用程序安全漏洞分析工具--使用的是特殊的商用版本，其實你也可以使用這款工具的免費版（不具備掃描功能）來對路徑及目錄瀏覽過程進行監測。

Burp同樣可以作為一款代理軟件來使用；跟ZAP類似，只要在FoxyProxy上進行相應設置即可。啟動Burp（你會需要安裝Java），然后將你的瀏覽器指向要訪問的目標地址。通過WebGoat，我們能夠得到關于被稱為訪問控制漏洞--規避路徑訪問控制計劃的寶貴經驗。右擊目標地址的URL(http://localhost/WebGoat/attack?Screen=17&menu=200)，將其添加到Burp左側的信息格中并選擇將其發送至中繼器中?，F在轉至中繼器選項卡并修改Backdoors.html條目以使其將文件參數提交至BackDoors.html..\..\..\..\..\..\..\..\..\..\windows\win.ini。然后點擊go按鈕。

圖四清楚地表明，我們已經可以對主機系統中的win.ini文件進行直接訪問。

圖四 - Burp>

如果大家使用的是基于Windows系統的網頁服務器，攻擊者顯然會使用一種危害性更強的字符串（例如SAM）進行攻擊。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關工具

#p#

第五位: 偽造的跨站點請求 (簡稱CSRF) - Tamper Data

有這么一款工具，我對它在偽造的跨站點請求 （簡稱CSRF）的測試表現方面極為贊賞，它就是：Tamper Data。同樣作為武士WTF附加組件集合中的一部分，Tamper Data使網頁內容的交互變得難以置信的簡單。

在檢測一款可能會被任意更改指向的應用程序（簡稱GalleryApp）時，我使用Tamper Data來測定該GalleryApp是否在將所有參數提交給admin.php腳本時會容易受到CSRF攻擊。.攻擊者很可能會通過欺騙手段冒充管理員以獲取創建或刪除賬戶的權限，而這類CSRF漏洞在這種情況下則很可能會被他們利用來訪問某個惡意的網站。

在Tamper Data運行的同時（在火狐中：點選工具項，再選擇Tamper Data），我進行了自己的GalleryApp測試實踐。為了驗證CSRF的漏洞，我首先創建了一個額外的用戶，并在Tamper Data中選擇開始篡改，最后選擇點擊刪除來分析該過程中被傳輸及提交的參數。

隨著應用程序的正常運作，依照邏輯它會為額外的這個用戶分配一套新的2號id。這種邏輯像是一種能夠被攻擊者迅速利用的可預測的權限，具體情況見圖五。再看一次，請注意這里缺乏任何一種令牌或其它形式的訪問限制手段。而這正是常常被用來驗證CSRF 漏洞存在的重要指標。

圖五- Tamper Data>

我的攻擊活動在概念層面上證明了一個HTML架構的頁面中包含具名的內容（刪除ID）以及行動參數，同時還具備一種傳輸過程及其隱藏的輸入信息。為了進一步證明這一結論，我還在頁面中加入了輕微的時間延遲及document.deleteID.submit()腳本，借以完成預定的任務。正如圖五中所看到的，為了完成我的對Tamper Data實際功效的驗證，隱藏的輸入信息內容如下：

<input type="hidden" name="id" value="2″> 
<input type="hidden" name="action" value="user"> 

通過所傳輸的信息，我選定的內容被正確提交，并使我獲得了創建特權用戶的權限，這樣一來我就可以利用此經過身份驗證的用戶身份，對應用程序調用的文件發出修改指令。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關工具

更多安全工具>>進入專題

更多網管軟件>>進入專題

#p#

第六位: 安全配置錯誤 - Watobo

Watobo 使安全專業人員能夠以高效且半自動化的方式對網頁應用程序的安全性進行評估。這是一款相當不錯的工具，在檢測如SQLi及XSS等因某些配置錯誤而導致的安全問題中發揮出色。

我利用它來方便地對自己所搭建的故意保留安全隱患的實驗服務器進行攻擊，當然這僅僅是內部測試。直接將自己的服務器設置為暴露在互聯網環境下這類行為，根據教科書中的定義來衡量無疑是錯誤的，而我所做的這一切只是為了對Watobo的實際應用效果進行"評估"。

Watobo是以代理工具的角度運行的，并且需要調用Ruby中的部分內容，因此你需要在自己的系統中安裝Ruby解釋程序。將FoxyProxy進行設置，以使其將網絡數據流通過8081端口導入Watobo。通過你所選擇的瀏覽器，你將需要定義一個項目，然后定義會話，最后是瀏覽你的目標站點。選擇目標，接著點擊那個大大的綠色箭頭（真是太容易了對吧）。你將需要確定內容范圍；我選擇了配置、雜項以及文件共享。

圖六反映了搜索結果的清單，它們具備同一個普遍的安全配置錯誤。

圖六- Watobo>

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關工具

更多安全工具>>進入專題

更多網管軟件>>進入專題

#p#

（第七位安全威脅目前還沒有相應的工具）

第八位: 不限制訪問者的URL - Nikto/Wikto

能確保你的應用程序對訪問者的URL進行查詢之后才向那些被保護的鏈接及按鈕提交請求當然不錯，但如果應用程序并沒有在每次接到類似的訪問請求時都進行監控，那么攻擊者們將能夠獲取到這些應用程序所調用的隱藏頁面，這已經是人盡皆知（例如WordPress）的情況了。而通過例如Nikto或是Wikto（與Nikto類似，具備Windows圖形用戶界面）即可輕松實現上述操作。

Nikto，cirt.net出品（其口號是：自信源自于懷疑），是一款"網頁服務掃描工具，支持同時就多個項目對網頁服務器進行全方位測試，其中包括檢測超過六千四百種具有潛在危險或版本已過于陳舊的文件或公共網關接口腳本，檢測超過一千種過時的服務器版本，以及二百七十多種針對不同類型服務器的安全隱患。"

Nikto的應用需要Perl解釋程序進行支持。 它基于Linux系統運行，啟動過程非常簡單，只需鍵入：

./nikto.pl -h <target host IP or URL>. 

圖七顯示的運行結果，其運作所針對的服務器與圖六中所涉及到的一致。

圖七- Nikto>

Nikto會產生一些明顯的誤報，但你也可以從繁多的檢測結果中得到真正有價值的信息。

請注意圖七底部，該處提示建議限制訪問。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關工具

#p#

第九位: 傳輸層面的保護力度不足- Calomel Add-on

對傳輸層面保護力度不足的原因，我的描述非常簡單。你在自己的實際運作中沒有用到SSL。看看，的確非常簡單吧。許多網頁應用程序安全測試工具都會在你的應用程序無法使用SSL/TLS時（例如切換為管理員權限或進行登錄操作）或你所應用的是一個較舊的版本（SSL v1或v2）時進行提示。另有一個有趣的火狐附加組件，它并不在我們的武士WTF工具集合中，卻能夠在收集認證證書信息方面提供非常好的反饋。舉例說明，Calomel附加組件會很快注意到我為holisticinfosec.org所準備的自簽名證書完全是偽造的（這種情況只針對我的測試，在大家的應用中并不存在），如圖八所示。

圖八 - Calomel>

Calomel將會對SSL連接及安全等級等信息進行驗證，并改變對應工具欄按鈕的顏色，這取決于加密強度的高低，從紅色（強度低）到綠色（強度高）。所有證書的狀態細節都可以在對應的下拉菜單中進行查詢。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關工具

#p#

第十名: 未經驗證的重新指向及轉發- Watcher

Watcher是Chris Weber開發的 Fiddler 附加組件(只支持IE核心)，而且其在被動分析方面的表現好得難以置信。為了打造能夠解決上述問題的健康的信息傳輸層，Watcher還要求你在自己的瀏覽器上同時運行Fiddler。一旦與Fiddler同時被安裝，Watcher的使用就變得如同利用Fiddler來管理IE的網絡數據流那么簡單，這時Watcher已經在Fiddler中開始發揮作用。接下來你在瀏覽器中選取目標網址并進行訪問；Watcher將會以被動狀態提供監視及報警功能，詳見圖九所示。

圖九- Watcher

重新指向如果不加以控制，會給我們帶來許多危害，因為它會使那些利用釣魚網站的罪犯有機可乘，受害者可能通過網址進行判斷，以為正在訪問的是為自己所熟悉的安全站點。 如果你感覺有點無聊，想要看看網址重新指向到底能惹出多大的禍來，試試輸入以下內容：

inurl:"redirect.asp?url=". 

榮譽獎: W3AF, skipfish 以及 Websecurify

這三款工具我都用過，并且也非常喜歡；而在本文中將它們三者排除在外也使我非常為難。Skipfish這款工具之前在我的每月專欄 ISSA Journal中，我已經做過介紹。

而盡管這些工具所利用的檢測方式及接口不盡相同，但其在檢測的綜合性以及提供的功能方面都是很類似的。

Web Application AttackandAudit Framwork，或稱為W3AF，也已經收錄在武士WTF工具合集中，這為大家獲取這份LiveCD的鏡像又提供了一個很好的理由。

而更牛的是，W3AF甚至包含了一個十大OWASP安全問題的配置文件，這樣大家就可以直接就我們前面提到的這些項目進行預先評估。

綜述

我建議大家完整閱讀OWASP的十大安全問題全文之后，再開始對自己的設備進行測試。因為這樣一來，大家就能夠在對漏洞的不良影響、嚴重程序、降低風險及進行修復的具體細節方面得到更多補充。

請記住這條原則性忠告：不要在不屬于你的站點或應用程序上使用這些工具。

最簡單的實踐方法是設置兩個虛擬機，一個用來運行武士WTF，另一個則運行任何能夠支持WebGoat的操作系統。我推薦大家使用具備LAMP功能的虛擬機，以便安裝任意數量的具有漏洞或可能存在漏洞的網頁應用程序。

【51CTO.com獨家譯稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】

原文鏈接：http://resources.infosecinstitute.com/owasp-top-10-tools-and-tactics/

【編輯推薦】

1. 虛擬網絡的安全策略 IDS/IPS的實施
2. 分層安全策略必不可少的環節之內部防御
3. Web應用防火墻會使企業安全策略復雜化嗎？
4. 九個免費的安全工具