安全資訊

Web漏洞掃描

Web漏洞掃描是針對網(wǎng)站進(jìn)行掃描監測的安全服務(wù)，通過(guò)頁(yè)面爬取分析、模擬攻擊等方式，檢測網(wǎng)站通用漏洞、掛馬、敏感詞、暗鏈和頁(yè)面篡改等威脅風(fēng)險，幫助網(wǎng)站管理者提前發(fā)現網(wǎng)站弱點(diǎn)及時(shí)修復安全隱患。

漏洞掃描有以下四種檢測技術(shù)：
  1.基于應用的檢測技術(shù)。它采用被動(dòng)的、非破壞性的辦法檢查應用軟件包的設置，發(fā)現安全漏洞。
  2.基于主機的檢測技術(shù)。它采用被動(dòng)的、非破壞性的辦法對系統進(jìn)行檢測。通常，它涉及到系統的內核、文件的屬性、操作系統的補丁等。這種技術(shù)還包括口令解密、把一些簡(jiǎn)單的口令剔除。因此，這種技術(shù)可以非常準確地定位系統的問(wèn)題，發(fā)現系統的漏洞。它的缺點(diǎn)是與平臺相關(guān)，升級復雜。
  3.基于目標的漏洞檢測技術(shù)。它采用被動(dòng)的、非破壞性的辦法檢查系統屬性和文件屬性，如數據庫、注冊號等。通過(guò)消息文摘算法，對文件的加密數進(jìn)行檢驗。這種技術(shù)的實(shí)現是運行在一個(gè)閉環(huán)上，不斷地處理文件、系統目標、系統目標屬性，然后產(chǎn)生檢驗數，把這些檢驗數同原來(lái)的檢驗數相比較。一旦發(fā)現改變就通知管理員。
  4.基于網(wǎng)絡(luò )的檢測技術(shù)。它采用積極的、非破壞性的辦法來(lái)檢驗系統是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對系統進(jìn)行攻擊的行為，然后對結果進(jìn)行分析。它還針對已知的網(wǎng)絡(luò )漏洞進(jìn)行檢驗。網(wǎng)絡(luò )檢測技術(shù)常被用來(lái)進(jìn)行穿透實(shí)驗和安全審記。這種技術(shù)可以發(fā)現一系列平臺的漏洞，也容易安裝。但是，它可能會(huì )影響網(wǎng)絡(luò )的性能。
  網(wǎng)絡(luò )漏洞掃描
  在上述四種方式當中，網(wǎng)絡(luò )漏洞掃描最為適合我們的Web信息系統的風(fēng)險評估工作，其掃描原理和工作原理為：通過(guò)遠程檢測目標主機TCP/IP不同端口的服務(wù)，記錄目標的回答。通過(guò)這種方法，可以搜集到很多目標主機的各種信息（例如：是否能用匿名登錄，是否有可寫(xiě)的FTP目錄，是否能用Telnet，httpd是否是用root在運行）。
  在獲得目標主機TCP/IP端口和其對應的網(wǎng)絡(luò )訪(fǎng)問(wèn)服務(wù)的相關(guān)信息后，與網(wǎng)絡(luò )漏洞掃描系統提供的漏洞庫進(jìn)行匹配，如果滿(mǎn)足匹配條件，則視為漏洞存在。此外，通過(guò)模擬黑客的進(jìn)攻手法，對目標主機系統進(jìn)行攻擊性的安全漏洞掃描，如測試弱勢口令等，也是掃描模塊的實(shí)現方法之一。如果模擬攻擊成功，則視為漏洞存在。
  在匹配原理上，網(wǎng)絡(luò )漏洞掃描器采用的是基于規則的匹配技術(shù)，即根據安全專(zhuān)家對網(wǎng)絡(luò )系統安全漏洞、黑客攻擊案例的分析和系統管理員關(guān)于網(wǎng)絡(luò )系統安全配置的實(shí)際經(jīng)驗，形成一套標準的系統漏洞庫，然后再在此基礎之上構成相應的匹配規則，由程序自動(dòng)進(jìn)行系統漏洞掃描的分析工作。
  所謂基于規則是基于一套由專(zhuān)家經(jīng)驗事先定義的規則的匹配系統。例如，在對TCP80端口的掃描中，如果發(fā)現/cgi-bin/phf/cgi-bin/Count.cgi，根據專(zhuān)家經(jīng)驗以及CGI程序的共享性和標準化，可以推知該WWW服務(wù)存在兩個(gè)CGI漏洞。同時(shí)應當說(shuō)明的是，基于規則的匹配系統有其局限性，因為作為這類(lèi)系統的基礎的推理規則一般都是根據已知的安全漏洞進(jìn)行安排和策劃的，而對網(wǎng)絡(luò )系統的很多危險的威脅是來(lái)自未知的安全漏洞，這一點(diǎn)和PC殺毒很相似。
  這種漏洞掃描器是基于瀏覽器/服務(wù)器（B/S）結構。它的工作原理是：當用戶(hù)通過(guò)控制平臺發(fā)出了掃描命令之后，控制平臺即向掃描模塊發(fā)出相應的掃描請求，掃描模塊在接到請求之后立即啟動(dòng)相應的子功能模塊，對被掃描主機進(jìn)行掃描。通過(guò)分析被掃描主機返回的信息進(jìn)行判斷，掃描模塊將掃描結果返回給控制平臺，再由控制平臺最終呈現給用戶(hù)。
  另一種結構的掃描器是采用插件程序結構?？梢葬槍δ骋痪唧w漏洞，編寫(xiě)對應的外部測試腳本。通過(guò)調用服務(wù)檢測插件，檢測目標主機TCP/IP不同端口的服務(wù)，并將結果保存在信息庫中，然后調用相應的插件程序，向遠程主機發(fā)送構造好的數據，檢測結果同樣保存于信息庫，以給其他的腳本運行提供所需的信息，這樣可提高檢測效率。如，在針對某FTP服務(wù)的攻擊中，可以首先查看服務(wù)檢測插件的返回結果，只有在確認目標主機服務(wù)器開(kāi)啟FTP服務(wù)時(shí)，對應的針對某FTP服務(wù)的攻擊腳本才能被執行。采用這種插件結構的掃描器，可以讓任何人構造自己的攻擊測試腳本，而不用去了解太多掃描器的原理。這種掃描器也可以用做模擬黑客攻擊的平臺。采用這種結構的掃描器具有很強的生命力，如著(zhù)名的Nessus就是采用這種結構。這種網(wǎng)絡(luò )漏洞掃描器的結構如圖2所示，它是基于客戶(hù)端/服務(wù)器（C/S）結構，其中客戶(hù)端主要設置服務(wù)器端的掃描參數及收集掃描信息。具體掃描工作由服務(wù)器來(lái)完成。