以w3af达成自动化渗透测试LiveDVDLiveUSB设计与实现.pdf

以以w3af 達成達成自動自動化化滲透測試滲透測試 Live DVD /Live USB 以以 達成達成自自動動 化化 滲透測試滲透測試 設計與實現設計與實現 設計與實現設計與實現 柯鈞凱 國立高雄師範大學資訊教育研究所 研究生 jacky10521@ 楊中皇 國立高雄師範大學資訊教育研究所 教授 chyang@ 摘要摘要 摘要摘要 由於網際網路發展日漸蓬勃 ，而讓許多服務都需靠著網路作為媒介，也因此 網路 安全的議題日漸受到重視 ，個人的隱私和資料的保密也需要做更多的加強保 護，因此了解系統弱點 、漏洞更是刻不容緩的 系統防護任務 ，所以要能夠快速的 評估網路安全 ，及快速的解決漏洞及弱點的補強，已是現今網路使用者最在意的 議題 之一。 本研究是利用開放原始碼的滲透測試工具進行自動化的 執行工作 ，不需要輸 入複雜、繁複的指令，只要簡單的輸入目標之 URL即可自動完成滲透測試 ，並 製作一個 Live DVD/Live USB 環境 ，不限定任何作業系統環境 ，使用者只須要 將光碟片放入光碟機 ，且不需安裝於硬碟上，即可快速進行滲透測試工作，也不 會更動到原有系統及設定 ，對於初學使用者的門檻也大大降低，減少學習摸索的 時間 ，加速使用者對滲透測試熟悉的程度 ，對於資安人員也可以減少檢測的時 間，更於專心分析工作 ，利用此環境做到快速使用 安全工具來保護系統 。 關鍵關鍵詞：詞 ：網路安全、開放原始碼、滲透測試、Live DVD/ Live USB 、安全工具 關鍵關鍵詞詞 ：： 壹﹒壹 ﹒前言前言 壹壹 ﹒﹒前言前言 在現今網際網路蓬勃發展的世代 ，許多的服務都需要藉著網路來幫我們達 成，因此網路安全的議題也受到大家的重視 。但是木馬、病毒攻擊層出不窮，而 網路的發達也讓普羅大眾可以隨意的得到入侵工具 ，並藉由入侵工具進行網路攻 擊，造成在網路上可能隨時都有被攻擊 、入侵的危險[3] 。另外，假網站的釣魚 行為也常讓大眾落入陷阱當中 ，所以具備相關的網路安全知識外還需要有強烈的 危機意識 。 在網路上沒有絕對的安全 ，與一切都存在限制一樣，要能夠找到一種平衡， 不可能害怕遭受攻擊而不連接網路 ，這樣子的實用性會大大下降 。此外，另一個 極端的做法 ，不安裝防毒軟體、防火牆及安全更新，此時系統雖然具有高度的可 用性 ，但極其脆弱，相當容易受到網路上四面八方的攻擊，在美國網站安全聯盟 (Web Application Security Consortium, WASC) 2008 年 9 月指出每個網站平均有 13.11 個漏洞 包括( 8.91 個嚴重漏洞 )[10] ，因此我們可以透過滲透測試 來了解系 統上的弱點 、漏洞，藉此對該漏洞進行修補的動作。 滲透測試 [6, 11, 16]可以作為系統上的檢測 ，滲透測試會以入侵者的思維 方式 ，搭配其它安全工具，攻擊程式及技術等輔助，對目標進行檢測，測試過程， 就如同網路入侵事件的實際演練 ，測試結果可以提出改善的方法，以及對漏洞提 出對策 ，加強系統的安全性。 市面上有許多資安公司皆有提供滲透測試之服務 ，但需要花費龐大金額，所 以造成許多單位並無及時對系統的漏洞 、弱點來做補救，而讓有心人士有機可 趁，造成龐大的損失及災害 。目前所使用的滲透測試工具 ，大多需要測試人員手 動操作 ，不但需要花費時間，還需要記住許多繁複的指令 ，造成了許多的不便， 也提高了使用者的學習門檻 。為了解決這個不便，所以本研究針對 Web的滲透 測試工具自動化 ，只須要輸入目標之 URL ，並藉著 Live DVD/