1、WEB漏洞檢測(cè)與評(píng)估系統(tǒng)實(shí)施方案一、背景WEB是互聯(lián)網(wǎng)上最為豐富的資源呈現(xiàn)形式，由于其訪問簡(jiǎn)單、拓 展性好等優(yōu)點(diǎn)，目前在資訊、電子政務(wù)、電子商務(wù)和企業(yè)管理等諸多 領(lǐng)域得到了廣泛的應(yīng)用。與此同時(shí)，WEB也面臨著數(shù)量龐大、種類繁 多的安全威脅，操作系統(tǒng)、通信協(xié)議、服務(wù)發(fā)布程序和編程語言等無 不存在大量安全漏洞。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心最新監(jiān)測(cè)分析報(bào)告的 發(fā)布，一個(gè)令人觸目驚心的數(shù)據(jù)引發(fā)各方關(guān)注：“1月4日至10日， 境被篡改政府?dāng)?shù)量為178個(gè)，與前一周相比大幅增長409%，其占境 被篡改總數(shù)的比例也大幅增長為31%。”不僅政府，近年來各種Web 攻擊事件也是頻頻發(fā)生，SQL注入，網(wǎng)頁被篡改、信息失竊

2、、甚至被 利用成傳播木馬的載體一-Web安全威脅形勢(shì)日益嚴(yán)峻。Web的安全事件頻頻發(fā)生，究其根源，關(guān)鍵原因有二：一是Web 自身存在技術(shù)上的安全漏洞和安全隱患；二是相關(guān)的防護(hù)設(shè)備和防護(hù) 手段欠缺Web的體系架構(gòu)一般分為三層，底層是操作系統(tǒng)，中間層 是Web服務(wù)程序、數(shù)據(jù)庫服務(wù)等通用組件，上層是容和業(yè)務(wù)相關(guān)的網(wǎng) 頁程序。這三層架構(gòu)中任何一層出現(xiàn)了安全問題都會(huì)導(dǎo)致整個(gè)Web受 到威脅，而這三層架構(gòu)中任何一層都不可避免地存在安全漏洞，底層 的操作系統(tǒng)（不管是Windows還是Linux）都不時(shí)會(huì)有黑客可以遠(yuǎn)程 利用的安全漏洞被發(fā)現(xiàn)和公布；中間層的Web服務(wù)器（IIS或Apache 等）、ASP、PH

3、P等也常會(huì)有漏洞爆出；上層的網(wǎng)頁程序有SQL注入漏 洞、跨站腳本漏洞等Web相關(guān)的漏洞。另一方面，目前很多Web的防 護(hù)設(shè)備和防護(hù)手段不夠完善，雖然大部分都部署了防火墻，但針對(duì) Web漏洞的攻擊都是應(yīng)用層的攻擊，都可以通過80端口完成，所以 防火墻對(duì)這類攻擊也是無能為力，另外，有些除了部署防火墻外還部 署了 IDS/IPS，但同樣都存在有大量誤報(bào)情況，導(dǎo)致檢測(cè)精度有限， 為此，攻擊性測(cè)試成為發(fā)現(xiàn)和解決WEB安全問題最有效和最直接的手 段。WEB漏洞檢測(cè)與評(píng)估是通過模擬惡意黑客的攻擊方法，來評(píng)估計(jì) 算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種方法。這個(gè)過程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技 術(shù)缺陷或漏洞的主動(dòng)分析，這個(gè)分析是從

4、一個(gè)攻擊者可能存在的位置 來進(jìn)行的，并且從這個(gè)位置有條件主動(dòng)利用安全漏洞。WEB漏洞檢測(cè) 與評(píng)估系統(tǒng)是作為WEB檢測(cè)的專用系統(tǒng)，用于發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng) 絡(luò)服務(wù)，并檢查這些網(wǎng)絡(luò)服務(wù)有無漏洞。二、概述WEB漏洞檢測(cè)與評(píng)估系統(tǒng)是集基本信息掃描、操作系統(tǒng)指紋掃描、 開放服務(wù)掃描、OS漏洞掃描、WEB漏洞掃描于一體的專業(yè)自動(dòng)化掃描 系統(tǒng)，并通過掃描插件、知識(shí)庫和檢測(cè)結(jié)果的可拓展對(duì)其檢測(cè)能力進(jìn) 行擴(kuò)充，為實(shí)施攻擊性測(cè)試對(duì)WEB信息系統(tǒng)進(jìn)行全面的、深入的、徹 底的風(fēng)險(xiǎn)評(píng)估和參數(shù)獲取，全面獲得目標(biāo)系統(tǒng)的基本信息、漏洞信息、 服務(wù)信息等。三、系統(tǒng)部署與使用掃描控制中心用戶通過賬戶和密碼登錄到掃描服務(wù)器系統(tǒng)，進(jìn)

5、入掃描任務(wù)，輸 入任務(wù)名稱和掃描目標(biāo)主機(jī)的網(wǎng)址或IP，選擇需要進(jìn)行掃描的模塊 （主要包括基本信息獲取、OS漏洞掃描、WEB漏洞掃描），然后點(diǎn)擊 開始掃描，這時(shí)通過http協(xié)議將新建的掃描任務(wù)提交給掃描控制中 心。掃描控制中心接收到用戶提交的任務(wù)之后，開始調(diào)度掃描模塊， 同時(shí)監(jiān)控掃描進(jìn)度，用戶可以通過掃描進(jìn)度查詢查看掃描情況。掃描 模塊完成任務(wù)之后，將掃描獲取的信息提交給掃描控制中心，掃描控 制中心將獲取的信息在掃面記錄查詢中展示出來。在整個(gè)執(zhí)行過程 中，如果新建的任務(wù)中某個(gè)或多個(gè)掃描模塊超出用戶設(shè)定的時(shí)間，這 時(shí)掃描控制中心將根據(jù)超時(shí)機(jī)制殺死超時(shí)掃描模塊的進(jìn)程，結(jié)束超時(shí) 模塊的掃描。用戶在使用

6、過程中，如果不想繼續(xù)掃描下去或者想切換 掃描目標(biāo)，可以選擇終止掃描，掃描控制中心將獲取的部分信息展現(xiàn) 出來。掃描結(jié)束之后，用戶可以通過查看掃描記錄查詢，查看掃描結(jié)果，同 時(shí)可以選擇導(dǎo)出掃描結(jié)果，系統(tǒng)將根據(jù)掃描結(jié)果生成標(biāo)準(zhǔn)word掃描 結(jié)果文檔，用戶下載到本地可以方便查看詳細(xì)信息。四、產(chǎn)品特點(diǎn)（1）功能集成化本系統(tǒng)首次提出了將多種功能的多個(gè)不同掃描工具進(jìn)行集成的 思想。包括了基本信息掃描、操作系統(tǒng)指紋掃描、開放服務(wù)掃描、OS 漏洞掃描、WEB漏洞掃描等掃描模塊，為對(duì)被測(cè)評(píng)的進(jìn)行安全評(píng)估提 供全面信息支持。對(duì)目標(biāo)系統(tǒng)進(jìn)行全面、細(xì)致、深入的滲透測(cè)試。（2）任務(wù)并行化為了充分利用多核硬件系統(tǒng)提供的硬件

7、支持，提高系統(tǒng)的運(yùn)行性 能，系統(tǒng)可以通過UI構(gòu)建多任務(wù)，系統(tǒng)自動(dòng)對(duì)任務(wù)進(jìn)行排隊(duì)處理。 在掃描引擎底層實(shí)現(xiàn)上，系統(tǒng)使用了并發(fā)處理機(jī)制，使系統(tǒng)更加高效 與方便。（3）結(jié)構(gòu)層次化為了提高系統(tǒng)的可維護(hù)性與任務(wù)可控性，系統(tǒng)在構(gòu)建掃描引擎時(shí) 使用了分層的設(shè)計(jì)思想，整個(gè)系統(tǒng)分為三個(gè)層次：UI展示層、任務(wù) 調(diào)度層、掃描功能模塊層。這種架構(gòu)可以大大提高系統(tǒng)的靈活性、可 維護(hù)性、可擴(kuò)展性以及系統(tǒng)穩(wěn)定性。（4）任務(wù)靈活化引擎對(duì)構(gòu)建任務(wù)具有靈活的支持能力：用戶可以構(gòu)建多任務(wù)，構(gòu)建任 務(wù)時(shí)可以選擇每個(gè)任務(wù)選擇執(zhí)行哪些掃描功能，可以修改掃描任務(wù)的 最大執(zhí)行時(shí)間，可以查看任務(wù)的執(zhí)行狀態(tài)，甚至可以控制任務(wù)的執(zhí)行， 掃描引擎對(duì)這些功能的支持可以使用戶隨時(shí)對(duì)任務(wù)進(jìn)行監(jiān)測(cè)與控制。（5）報(bào)告標(biāo)準(zhǔn)化在對(duì)WEB進(jìn)行漏洞測(cè)評(píng)時(shí)，都需要編寫測(cè)評(píng)報(bào)告，報(bào)告需要把整 個(gè)的所有漏洞信息和測(cè)評(píng)結(jié)果都說的清清楚楚，目前各種WEB漏洞掃 描軟件，包括開源的，不開源的都只能導(dǎo)出XML格式的報(bào)告，報(bào)告的 容多，且比較專業(yè)，如果用戶想要詳細(xì)的漏洞信息，就需要自己根據(jù) XML文件，手工編寫測(cè)評(píng)報(bào)告，這種方式即繁瑣，又低效。Web漏洞掃描與評(píng)估系統(tǒng)支持標(biāo)準(zhǔn)報(bào)告的導(dǎo)出，系統(tǒng)報(bào)告以word 形式提供，用戶可以根據(jù)需要進(jìn)行二次編輯，報(bào)告自動(dòng)生成封皮、目 錄、統(tǒng)計(jì)分析表、統(tǒng)計(jì)分析圖、漏洞排名表、以及詳細(xì)的漏洞信息。標(biāo)準(zhǔn)報(bào)告使用XML定義了文檔的