安全问题威胁着所有Web应用程序和网站,其中XSS(跨站脚本攻击)、SQL注入最为常见。开发者一旦忽视了这一方面,有可能会造成严重的后果。
开发者可通过Punkspider来检测自己的Web应用程序(网站)中是否存在安全隐患。Punkspider是一个全球性的Web应用程序漏洞扫描引擎,可以告知开发者某个Web应用或网站中存在的安全漏洞。该引擎的原理是,利用一个可扩展的Hadoop集群,使用许多并行蜘蛛脚本来扫描互联网中数百万的网站,然后根据输入的URL来显示结果。
研究人员在一个测试中,扫描了50000个域名后缀为“.de”的网站,其中发现XSS漏洞大约50个,SQL注入漏洞16个,SQL盲注(Blind SQL Injection)漏洞大约120个。在对32,290个域名后缀为“.co.uk”的网站扫描中,共检测出30个XSS漏洞,2个SQL注入漏洞,60个SQL盲注漏洞。当然,不排除有些是误报。
Punkspider尽管可以帮助开发者扫描安全漏洞,但其公开结果的方式可能会导致更大的安全威胁——一些居心叵测的人可以找到大量的有用的网站漏洞信息,也引起了Web开发者的强烈不满。Punkspider集中了大量网站的安全漏洞数据,而这些漏洞信息都是未经网站所有者同意的情况下扫描的,是否存在法律问题还不得而知。
在扫描一些网站时,可能会显示“没有结果”,但不排除Punkspider未来会将这些网站加入扫描目标列表中。Web开发者还无法从Punkspider的数据库中删除相关漏洞信息,只有修复这些安全漏洞。
对此,Punkspider项目CTO Alejandro Caceres称,该引擎还是会遵循Web应用程序中robots.txt中的相关说明。他同时表示,该项目还是利大于弊的,项目的目标是提醒企业web应用中存在这样的漏洞,而且这是免费的,企业应该要求自己的开发者来修复它们。