WEB漏洞檢測(cè)與評(píng)估系統(tǒng)實(shí)施方案_第1頁(yè)
WEB漏洞檢測(cè)與評(píng)估系統(tǒng)實(shí)施方案_第2頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余5頁(yè)可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、WEB漏洞檢測(cè)與評(píng)估系統(tǒng)實(shí)施方案一、背景WEB網(wǎng)站是互聯(lián)網(wǎng)上最為豐富的資源呈現(xiàn)形式,由于其訪問簡(jiǎn)單、拓展性好等優(yōu)點(diǎn),目前在資訊、電子政務(wù)、電子商務(wù)和企業(yè)管理等諸多領(lǐng)域得到了廣泛的應(yīng)用。與此同時(shí),WEB網(wǎng)站也面臨著數(shù)量龐大、種類繁多的安全威脅,操作系統(tǒng)、通信協(xié)議、服務(wù)發(fā)布程序和編程語言等無不存在大量安全漏洞。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心最新監(jiān)測(cè)分析報(bào)告的發(fā)布,一個(gè)令人觸目驚心的數(shù)據(jù)引發(fā)各方關(guān)注:“1月4日至10日,境內(nèi)被篡改政府網(wǎng)站數(shù)量為178個(gè),與前一周相比大幅增長(zhǎng)409%,其占境內(nèi)被篡改網(wǎng)站總數(shù)的比例也大幅增長(zhǎng)為31%?!辈粌H政府網(wǎng)站,近年來各種Web網(wǎng)站攻擊事件也是頻頻發(fā)生,網(wǎng)站SQL注入,網(wǎng)頁(yè)

2、被篡改、信息失竊、甚至被利用成傳播木馬的載體-Web安全威脅形勢(shì)日益嚴(yán)峻。Web網(wǎng)站的安全事件頻頻發(fā)生,究其根源,關(guān)鍵原因有二:一是Web網(wǎng)站自身存在技術(shù)上的安全漏洞和安全隱患;二是相關(guān)的防護(hù)設(shè)備和防護(hù)手段欠缺。Web網(wǎng)站的體系架構(gòu)一般分為三層,底層是操作系統(tǒng),中間層是Web服務(wù)程序、數(shù)據(jù)庫(kù)服務(wù)等通用組件,上層是內(nèi)容和業(yè)務(wù)相關(guān)的網(wǎng)頁(yè)程序。這三層架構(gòu)中任何一層出現(xiàn)了安全問題都會(huì)導(dǎo)致整個(gè)Web網(wǎng)站受到威脅,而這三層架構(gòu)中任何一層都不可避免地存在安全漏洞,底層的操作系統(tǒng)(不管是Windows還是Linux)都不時(shí)會(huì)有黑客可以遠(yuǎn)程利用的安全漏洞被發(fā)現(xiàn)和公布;中間層的Web服務(wù)器(IIS或Apache等

3、)、ASP、PHP等也常會(huì)有漏洞爆出;上層的網(wǎng)頁(yè)程序有SQL注入漏洞、跨站腳本漏洞等Web相關(guān)的漏洞。另一方面,目前很多Web網(wǎng)站的防護(hù)設(shè)備和防護(hù)手段不夠完善,雖然大部分網(wǎng)站都部署了防火墻,但針對(duì)Web網(wǎng)站漏洞的攻擊都是應(yīng)用層的攻擊,都可以通過80端口完成,所以防火墻對(duì)這類攻擊也是無能為力,另外,有些網(wǎng)站除了部署防火墻外還部署了IDS/IPS,但同樣都存在有大量誤報(bào)情況,導(dǎo)致檢測(cè)精度有限,為此,攻擊性測(cè)試成為發(fā)現(xiàn)和解決WEB安全問題最有效和最直接的手段。WEB漏洞檢測(cè)與評(píng)估是通過模擬惡意黑客的攻擊方法,來評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種方法。這個(gè)過程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析,

4、這個(gè)分析是從一個(gè)攻擊者可能存在的位置來進(jìn)行的,并且從這個(gè)位置有條件主動(dòng)利用安全漏洞。WEB漏洞檢測(cè)與評(píng)估系統(tǒng)是作為WEB檢測(cè)的專用系統(tǒng),用于發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡(luò)服務(wù),并檢查這些網(wǎng)絡(luò)服務(wù)有無漏洞。二概述WEB漏洞檢測(cè)與評(píng)估系統(tǒng)是集基本信息掃描、操作系統(tǒng)指紋掃描、開放服務(wù)掃描、OS漏洞掃描、WEB漏洞掃描于一體的專業(yè)自動(dòng)化掃描系統(tǒng),并通過掃描插件、知識(shí)庫(kù)和檢測(cè)結(jié)果的可拓展對(duì)其檢測(cè)能力進(jìn)行擴(kuò)充,為實(shí)施攻擊性測(cè)試對(duì)WEB信息系統(tǒng)進(jìn)行全面的、深入的、徹底的風(fēng)險(xiǎn)評(píng)估和參數(shù)獲取,全面獲得目標(biāo)系統(tǒng)的基本信息、漏洞信息、服務(wù)信息等。三、系統(tǒng)部署與使用口標(biāo)網(wǎng)絡(luò)1標(biāo)網(wǎng)絡(luò)2F7口標(biāo)網(wǎng)絡(luò):扌占用”描服務(wù)器用戶通過賬戶

5、和密碼登錄到掃描服務(wù)器系統(tǒng),進(jìn)入掃描任務(wù),輸知描控制屮心掃描控制中芯入任務(wù)名稱和掃描目標(biāo)主機(jī)的網(wǎng)址或IP,選擇需要進(jìn)行掃描的模塊(主要包括基本信息獲取、OS漏洞掃描、WEB漏洞掃描),然后點(diǎn)擊開始掃描,這時(shí)通過http協(xié)議將新建的掃描任務(wù)提交給掃描控制中掃描控制中心接收到用戶提交的任務(wù)之后,開始調(diào)度掃描模塊,同時(shí)監(jiān)控掃描進(jìn)度,用戶可以通過掃描進(jìn)度查詢查看掃描情況。掃描模塊完成任務(wù)之后,將掃描獲取的信息提交給掃描控制中心,掃描控制中心將獲取的信息在掃面記錄查詢中展示出來。在整個(gè)執(zhí)行過程中,如果新建的任務(wù)中某個(gè)或多個(gè)掃描模塊超出用戶設(shè)定的時(shí)間,這時(shí)掃描控制中心將根據(jù)超時(shí)機(jī)制殺死超時(shí)掃描模塊的進(jìn)程,

6、結(jié)束超時(shí)模塊的掃描。用戶在使用過程中,如果不想繼續(xù)掃描下去或者想切換掃描目標(biāo),可以選擇終止掃描,掃描控制中心將獲取的部分信息展現(xiàn)出來。掃描結(jié)束之后,用戶可以通過查看掃描記錄查詢,查看掃描結(jié)果,同時(shí)可以選擇導(dǎo)出掃描結(jié)果,系統(tǒng)將根據(jù)掃描結(jié)果生成標(biāo)準(zhǔn)word掃描結(jié)果文檔,用戶下載到本地可以方便查看詳細(xì)信息。四、產(chǎn)品特點(diǎn)(1)功能集成化本系統(tǒng)首次提出了將多種功能的多個(gè)不同掃描工具進(jìn)行集成的思想。包括了基本信息掃描、操作系統(tǒng)指紋掃描、開放服務(wù)掃描、OS漏洞掃描、WEB漏洞掃描等掃描模塊,為對(duì)被測(cè)評(píng)的網(wǎng)站進(jìn)行安全評(píng)估提供全面信息支持。對(duì)目標(biāo)系統(tǒng)進(jìn)行全面、細(xì)致、深入的滲透測(cè)試。(2)任務(wù)并行化為了充分利用多

7、核硬件系統(tǒng)提供的硬件支持,提高系統(tǒng)的運(yùn)行性能,系統(tǒng)可以通過UI構(gòu)建多任務(wù),系統(tǒng)自動(dòng)對(duì)任務(wù)進(jìn)行排隊(duì)處理。在掃描引擎底層實(shí)現(xiàn)上,系統(tǒng)使用了并發(fā)處理機(jī)制,使系統(tǒng)更加高效與方便。(3)結(jié)構(gòu)層次化為了提高系統(tǒng)的可維護(hù)性與任務(wù)可控性,系統(tǒng)在構(gòu)建掃描引擎時(shí)使用了分層的設(shè)計(jì)思想,整個(gè)系統(tǒng)分為三個(gè)層次:UI展示層、任務(wù)調(diào)度層、掃描功能模塊層。這種架構(gòu)可以大大提高系統(tǒng)的靈活性、可維護(hù)性、可擴(kuò)展性以及系統(tǒng)穩(wěn)定性。(4)任務(wù)靈活化引擎對(duì)構(gòu)建任務(wù)具有靈活的支持能力:用戶可以構(gòu)建多任務(wù),構(gòu)建任務(wù)時(shí)可以選擇每個(gè)任務(wù)選擇執(zhí)行哪些掃描功能,可以修改掃描任務(wù)的最大執(zhí)行時(shí)間,可以查看任務(wù)的執(zhí)行狀態(tài),甚至可以控制任務(wù)的執(zhí)行,掃描引擎

8、對(duì)這些功能的支持可以使用戶隨時(shí)對(duì)任務(wù)進(jìn)行監(jiān)測(cè)與控制。(5)報(bào)告標(biāo)準(zhǔn)化在對(duì)WEB網(wǎng)站進(jìn)行漏洞測(cè)評(píng)時(shí),都需要編寫測(cè)評(píng)報(bào)告,報(bào)告需要把整個(gè)網(wǎng)站的所有漏洞信息和測(cè)評(píng)結(jié)果都說的清清楚楚,目前各種WEB漏洞掃描軟件,包括開源的,不開源的都只能導(dǎo)出XML格式的報(bào)告,報(bào)告的內(nèi)容多,且比較專業(yè),如果用戶想要詳細(xì)的漏洞信息,就需要自己根據(jù)XML文件,手工編寫測(cè)評(píng)報(bào)告,這種方式即繁瑣,又低效。Web漏洞掃描與評(píng)估系統(tǒng)支持標(biāo)準(zhǔn)報(bào)告的導(dǎo)出,系統(tǒng)報(bào)告以word形式提供,用戶可以根據(jù)需要進(jìn)行二次編輯,報(bào)告自動(dòng)生成封皮、目錄、統(tǒng)計(jì)分析表、統(tǒng)計(jì)分析圖、漏洞排名表、以及詳細(xì)的漏洞信息。標(biāo)準(zhǔn)報(bào)告使用XML定義了文檔的模板,在生成報(bào)告時(shí),根據(jù)數(shù)據(jù)庫(kù)中的掃描結(jié)果,能夠自動(dòng)進(jìn)行統(tǒng)計(jì)分析,在生成具體的漏洞信息時(shí),系統(tǒng)設(shè)計(jì)了URL統(tǒng)計(jì)分析算法和過濾合并算法,有效降低了同類漏洞的多次出現(xiàn)。五、產(chǎn)品界面-?Tq-2(14$D3F(15G新建任務(wù)bmhII加#I*口只|Tml躺m

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論