Acunetix. Τι είναι το χαρακτηριστικό «target knowledge base»;
Με την τελευταία ενημέρωση του Acunetix, η εταιρεία εισήγαγε ένα νέο χαρακτηριστικό που ονομάζει «target knowledge base». Κάθε φορά λοιπόν που σαρώνετε έναν στόχο, το Acunetix συλλέγει και αποθηκεύει σχετικές με αυτόν πληροφορίες. Οι πληροφορίες περιλαμβάνουν paths που απαρτίζουν τη δομή της ιστοσελίδας, τη θέση των φορμών και τα inputs τους, παραμέτρους που χρησιμοποιούνται από τη διαδικτυακή εφαρμογή, τυχόν APIs που χρησιμοποιούνται και τις ευπάθειες που έχουν ανιχνευθεί.
Καλύτερη με το πέρασμα του χρόνου
Η ιδέα πίσω από το «target knowledge base» είναι για να είναι το προϊόν σε θέση να επαναχρησιμοποιήσει όσο το δυνατόν περισσότερες από αυτές τις πληροφορίες στις επόμενες σαρώσεις για να ενδυναμώσει τον crawler της Acunetix. Μπορείτε να σκεφτείτε τον crawler ως έναν τυχοδιώκτη που εισέρχεται σε έναν λαβύρινθο και πρέπει να ελέγξει όλες τις διαθέσιμες διαδρομές για να βρει αξιόπιστα τον δρόμο του προς την έξοδο. Δεν θα ήταν περισσότερο αποτελεσματικός ο τυχοδιώκτης στην ολοκλήρωση της αποστολής του αν είχε στη διάθεση του τον πλέον ενημερωμένο χάρτη του λαβυρίνθου; Με παρόμοιο τρόπο λοιπόν και ο crawler (το πρόγραμμα ανίχνευσης) γίνεται περισσότερο διεξοδικός στην δημιουργία της δομής μίας ιστοσελίδας όταν έχει στη διάθεση του την γνωσιακή βάση στόχου.
Με τη γνωσιακή βάση στόχων, ο σαρωτής δεν είναι απαραίτητο να ξεκινήσει κάθε σάρωση από το μηδέν. Αντ’ αυτού, ξεκινάει χρησιμοποιώντας τη λίστα διευθύνσεων URL από τη γνωσιακή βάση. Το παραπάνω μοιάζει σαν να εισάγεται στον σαρωτή ένα αρχείο (import file) που περιέχει μια λίστα με διευθύνσεις URL για τη συμπλήρωση της δομής της ιστοσελίδας πριν ξεκινήσει τη δουλειά του ο crawler.
Μην αφήνετε κανένα σημείο
Κατά τις δοκιμές στον στόχο, το Acunetix ξεκινάει την διερεύνηση του υποβάλλοντας διάφορες τιμές δεδομένων για το φορτίο, διαμορφωμένες με τρόπο που έχει σχεδιαστεί για να εντοπίζει ευπάθειες. Ο τρόπος με τον οποίο ανταποκρίνεται η διαδικτυακή εφαρμογή στα αιτήματα του Acunetix ενδέχεται να επηρεάσει τη διεξοδικότητα κάθε σάρωσης. Ορισμένες σαρώσεις ενδέχεται να εκθέσουν συγκεκριμένες διευθύνσεις URL ενώ άλλες σαρώσεις ενδέχεται να μην το κάνουν ανάλογα τις περιστάσεις.
Με τη γνωσιακή βάση στόχων, κάθε σάρωση που ακολουθεί πηγαίνει παραπέρα από αυτά που ανακαλύπτει ο crawler κατά τη διάρκεια της σάρωσης – χρησιμοποιεί paths και τοποθεσίες, η συλλογή των οποίων πραγματοποιήθηκε κατά τη διάρκεια προηγούμενων σαρώσεων του ίδιου στόχου. Το παραπάνω διασφαλίζει ότι είστε σε θέση να προχωρήσετε στη σάρωση διευθύνσεων URL που δεν μπορείτε να φτάσετε με προβλέψιμο τρόπο ή με συνέπεια χρησιμοποιώντας τη συνήθη λειτουργία ανίχνευσης.
Επιπλέον, πολλοί στόχοι αλλάζουν και εξελίσσονται με την πάροδο του χρόνου καθώς οι προγραμματιστές προσθέτουν νέες δυνατότητες, αλλάζουν δυνατότητες που υφίστανται ή καταργούν λειτουργίες. Αυτό σημαίνει, ότι αν για παράδειγμα, μια λειτουργία που έχει αφαιρεθεί δεν είναι πλέον προσβάσιμη από οποιονδήποτε σύνδεσμο ή ιστοσελίδα εντός του στόχου, μπορεί να βρίσκεται στον web server με τη μορφή ενός ορφανού URL. Χάρη στη γνωσιακή βάση στόχων, το Acunetix μπορεί να σαρώσει ακόμη και αυτές τις ορφανές λειτουργίες.
Αξιόπιστη επαλήθευση ευπάθειας και self-healing
Το Acunetix αποθηκεύει επίσης πληροφορίες σχετικά με όλες τις ευπάθειες που εντοπίστηκαν κατά τις προηγούμενες σαρώσεις του στόχου και χρησιμοποιεί αυτές τις πληροφορίες σε επόμενες σαρώσεις του ίδιου στόχο. Επομένως, όταν θέλετε να προχωρήσετε σε επανέλεγχο για να διαπιστώσετε αν οι ευπάθειες εξακολουθούν να υφίστανται, δεν είναι απαραίτητο για τον crawler να προχωρήσει ξανά στην ανίχνευση τους, επειδή ο σαρωτής έχει γνώση της πιθανής ύπαρξης τους.
Ένα άλλο ωραίο χαρακτηριστικό είναι ότι η γνωσιακή βάση στόχων είναι αυτοθεραπευόμενη. Αν για παράδειγμα αλλάξετε ένα τμήμα της δομής της ιστοσελίδας και πάψουν να υπάρχουν ορισμένες από τις διευθύνσεις URL, ο crawler θα επιχειρήσει αρχικά να προσεγγίσει όλα τα αποθηκευμένα URLs και ακολούθως θα αφαιρέσει τα «ξεπερασμένα» από τη γνωσιακή βάση. Αυτό σημαίνει ότι ακόμα και αν προχωρήσετε στην επανασχεδίαση της διαδικτυακής εφαρμογής και γνωρίζετε ότι η προηγούμενη δομή δεν είναι πλέον έγκυρη λόγω του επανασχεδιασμού, κατά την επόμενη σάρωση θα πραγματοποιηθεί καθαρισμός και επιδιόρθωση των δεδομένων της γνωσιακής βάσης.
Διαμόρφωση γνωσιακής βάσης στόχων
Αν για οποιονδήποτε λόγο επιθυμείτε να εκτελέσετε μία ή περισσότερες σαρώσεις προσωρινά χωρίς να χρησιμοποιήσετε τη γνωσιακή βάση στόχων, μπορείτε να αλλάξετε τις ρυθμίσεις για τον στόχο και να απενεργοποιήσετε τη χρήση της γνωσιακής βάσης για τις νέες σαρώσεις που θα εκτελέσετε. Στη συνέχεια, μπορείτε να ενεργοποιήσετε ξανά τη χρήση της γνωσιακής βάσης για να σαρώσετε την κανονική έκδοση του στόχου.
Μπορείτε επίσης να διαγράψετε οριστικά τα περιεχόμενα της γνωσιακής βάσης και να αρχίσετε να συλλέγετε νέα δεδομένα για τον στόχο. Για να κάνετε κάτι τέτοιο, απλώς επεκτείνετε την ενότητα «Advanced» στη σελίδα «Target Settings» και κάντε κλικ στο κουμπί «Delete knowledge base» στο πάνελ «Knowledge Base».
Πηγή: Acunetix