一般客戶要求做掃描大多只會要求黑箱與白箱掃描兩種,所謂黑箱指的是不看Source Code,由外部試圖找到弱點,白箱則是直接掃描Source Code(原始碼),那甚麼是弱點掃描和滲透測試?那是最常被使用來偵測系統安全的黑箱掃描方法,以下也會一一介紹。
白箱掃描(原始碼掃描)
白箱會找到Source Code的安全問題,如果你賣的是軟體產品,一般都不會提供產品部份的Source Code,但如果是產品上有做客製化,一般的慣例還是要提供客製化部分的Source Code,這就是一般白箱會有的範圍,掃描的工具上,大家常會聽到的Micro Focus Fortify以及IBM Security AppScan這兩個是最常被使用的商業軟體,雖然功能強大,但價格也非常驚人,一套幾乎都是七位數台幣起跳,因此也有免費且功能不輸給這些軟體的免費方案,最常被使用的大概就是SonarQube,雖然說是免費方案,SonarQube一點也不輸商業軟體,而且免費方案(Community Version)其實僅支援部分程式語言,某些語言還是要買授權才能使用,但免費的PHP/Java/C#幾乎就可以用來處理大部分的白箱掃描了。
弱點掃描
黑箱掃描的話就如前面說的有分成弱點掃描和滲透測試,弱點掃描主要是透過自動工具偵測作業系統與軟體系統的明顯弱點,這些弱點比較容易被發掘,指要注意一些安全相關的電子報或網站就可以很快得知一些有名軟體的弱點,而這些弱點都會在最短時間內被修正,弱點掃描軟體也不少,包括上面提到的Fortify和AppScan其實都有弱點掃描工具,純弱點掃描比較常被用的商業軟體是Nexpose,Nexpose算是比較親民的價格,但也是要六位數台幣,因此免費軟體當然也要介紹一下,我所知道的有ZAP, OpenVAS, Nessus等等,這些都是免費但很好用的免費軟體,其實功能並不會差商業軟體太多。
OWASP Top 10
這時候我們就要提到OWASP Top 10了,這是OWASP組織每幾年就會公布的全球前十大弱點清單,裡面包含黑箱與白箱弱點,但以黑箱為主,這些清單都是弱點掃描的主要標的,OWASP Top 10目前最新的是2017年版。
滲透測試
那滲透測試呢?他與弱點掃描一樣是由外部這個黑盒子去找出問題,但他用的不是工具,而是找到專業的駭客(Hacker)來嘗試攻破你的系統,透過其經驗可以找到許多自動軟體找不到弱點,甚至透過駭客手法破壞你的軟體系統,因此滲透測試可以找到的弱點比弱點掃描找到得更多,當然滲透測試也有所謂自動商業軟體(Fortify,AppScan,Rapid7都還是有商業版本的滲透測試,成效也是看實際狀況),但真正的問題大都還是由人來找出。
以上給大家參考比較。
,那甚麼是弱點掃描和滲透測試?那是最常被使用來偵測系統安全的黑箱掃描方法,本文也會一一介紹。){kind=link}