WEB漏洞檢測(cè)與評(píng)估系統(tǒng)實(shí)施方案

WEB漏洞檢測(cè)與評(píng)估系統(tǒng)實(shí)施方案背景WEB網(wǎng)站是互聯(lián)網(wǎng)上最為豐富的資源呈現(xiàn)形式，由于其訪問簡(jiǎn)單、拓展性好等優(yōu)點(diǎn)，目前在資訊、電子政務(wù)、電子商務(wù)和企業(yè)管理等諸多領(lǐng)域得到了廣泛的應(yīng)用。與此同時(shí)，WEB網(wǎng)站也面臨著數(shù)量龐大、種類繁多的安全威脅，操作系統(tǒng)、通信協(xié)議、服務(wù)發(fā)布程序和編程語言等無不存在大量安全漏洞。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心最新監(jiān)測(cè)分析報(bào)告的發(fā)布，一個(gè)令人觸目驚心的數(shù)據(jù)引發(fā)各方關(guān)注：“1月4日至10日，境內(nèi)被篡改政府網(wǎng)站數(shù)量為178個(gè)，與前一周相比大幅增長(zhǎng)409%，其占境內(nèi)被篡改網(wǎng)站總數(shù)的比例也大幅增長(zhǎng)為31%?！辈粌H政府網(wǎng)站，近年來各種Web網(wǎng)站攻擊事件也是頻頻發(fā)生，網(wǎng)站SQL注入，網(wǎng)頁被篡改、信息失竊、甚至被利用成傳播木馬的載體---Web安全威脅形勢(shì)日益嚴(yán)峻。Web網(wǎng)站的安全事件頻頻發(fā)生，究其根源，關(guān)鍵原因有二：一是Web網(wǎng)站自身存在技術(shù)上的安全漏洞和安全隱患；二是相關(guān)的防護(hù)設(shè)備和防護(hù)手段欠缺。Web網(wǎng)站的體系架構(gòu)一般分為三層，底層是操作系統(tǒng)，中間層是Web服務(wù)程序、數(shù)據(jù)庫服務(wù)等通用組件，上層是內(nèi)容和業(yè)務(wù)相關(guān)的網(wǎng)頁程序。這三層架構(gòu)中任何一層出現(xiàn)了安全問題都會(huì)導(dǎo)致整個(gè)Web網(wǎng)站受到威脅，而這三層架構(gòu)中任何一層都不可避免地存在安全漏洞，底層的操作系統(tǒng)（不管是Windows還是Linux）都不時(shí)會(huì)有黑客可以遠(yuǎn)程利用的安全漏洞被發(fā)現(xiàn)和公布；中間層的Web服務(wù)器（IIS或Apache等）、ASP、PHP等也常會(huì)有漏洞爆出；上層的網(wǎng)頁程序有SQL注入漏洞、跨站腳本漏洞等Web相關(guān)的漏洞。另一方面，目前很多Web網(wǎng)站的防護(hù)設(shè)備和防護(hù)手段不夠完善，雖然大部分網(wǎng)站都部署了防火墻，但針對(duì)Web網(wǎng)站漏洞的攻擊都是應(yīng)用層的攻擊，都可以通過80端口完成，所以防火墻對(duì)這類攻擊也是無能為力，另外，有些網(wǎng)站除了部署防火墻外還部署了IDS/IPS，但同樣都存在有大量誤報(bào)情況，導(dǎo)致檢測(cè)精度有限，為此，攻擊性測(cè)試成為發(fā)現(xiàn)和解決WEB安全問題最有效和最直接的手段。WEB漏洞檢測(cè)與評(píng)估是通過模擬惡意黑客的攻擊方法，來評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種方法。這個(gè)過程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析，這個(gè)分析是從一個(gè)攻擊者可能存在的位置來進(jìn)行的，并且從這個(gè)位置有條件主動(dòng)利用安全漏洞。WEB漏洞檢測(cè)與評(píng)估系統(tǒng)是作為WEB檢測(cè)的專用系統(tǒng)，用于發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡(luò)服務(wù)，并檢查這些網(wǎng)絡(luò)服務(wù)有無漏洞。概述WEB漏洞檢測(cè)與評(píng)估系統(tǒng)是集基本信息掃描、操作系統(tǒng)指紋掃描、開放服務(wù)掃描、OS漏洞掃描、WEB漏洞掃描于一體的專業(yè)自動(dòng)化掃描系統(tǒng)，并通過掃描插件、知識(shí)庫和檢測(cè)結(jié)果的可拓展對(duì)其檢測(cè)能力進(jìn)行擴(kuò)充，為實(shí)施攻擊性測(cè)試對(duì)WEB信息系統(tǒng)進(jìn)行全面的、深入的、徹底的風(fēng)險(xiǎn)評(píng)估和參數(shù)獲取，全面獲得目標(biāo)系統(tǒng)的基本信息、漏洞信息、服務(wù)信息等。系統(tǒng)部署與使用掃描目標(biāo)，可以選擇終止掃描，掃描控制中心將獲取的部分信息展現(xiàn)出來。掃描結(jié)束之后，用戶可以通過查看掃描記錄查詢，查看掃描結(jié)果，同時(shí)可以選擇導(dǎo)出掃描結(jié)果，系統(tǒng)將根據(jù)掃描結(jié)果生成標(biāo)準(zhǔn)word掃描結(jié)果文檔，用戶下載到本地可以方便查看詳細(xì)信息。產(chǎn)品特點(diǎn)（1）功能集成化本系統(tǒng)首次提出了將多種功能的多個(gè)不同掃描工具進(jìn)行集成的思想。包括了基本信息掃描、操作系統(tǒng)指紋掃描、開放服務(wù)掃描、OS漏洞掃描、WEB漏洞掃描等掃描模塊，為對(duì)被測(cè)評(píng)的網(wǎng)站進(jìn)行安全評(píng)估提供全面信息支持。對(duì)目標(biāo)系統(tǒng)進(jìn)行全面、細(xì)致、深入的滲透測(cè)試。（2）任務(wù)并行化為了充分利用多核硬件系統(tǒng)提供的硬件支持，提高系統(tǒng)的運(yùn)行性能，系統(tǒng)可以通過UI構(gòu)建多任務(wù)，系統(tǒng)自動(dòng)對(duì)任務(wù)進(jìn)行排隊(duì)處理。在掃描引擎底層實(shí)現(xiàn)上，系統(tǒng)使用了并發(fā)處理機(jī)制，使系統(tǒng)更加高效與方便。（3）結(jié)構(gòu)層次化為了提高系統(tǒng)的可維護(hù)性與任務(wù)可控性，系統(tǒng)在構(gòu)建掃描引擎時(shí)使用了分層的設(shè)計(jì)思想，整個(gè)系統(tǒng)分為三個(gè)層次：UI展示層、任務(wù)調(diào)度層、掃描功能模塊層。這種架構(gòu)可以大大提高系統(tǒng)的靈活性、可維護(hù)性、可擴(kuò)展性以及系統(tǒng)穩(wěn)定性。（4）任務(wù)靈活化引擎對(duì)構(gòu)建任務(wù)具有靈活的支持能力：用戶可以構(gòu)建多任務(wù)，構(gòu)建任務(wù)時(shí)可以選擇每個(gè)任務(wù)選擇執(zhí)行哪些掃描功能，可以修改掃描任務(wù)的最大執(zhí)行時(shí)間，可以查看任務(wù)的執(zhí)行狀態(tài)，甚至可以控制任務(wù)的執(zhí)行，掃描引擎對(duì)這些功能的支持可以使用戶隨時(shí)對(duì)任務(wù)進(jìn)行監(jiān)測(cè)與控制。（5）報(bào)告標(biāo)準(zhǔn)化在對(duì)WEB網(wǎng)站進(jìn)行漏洞測(cè)評(píng)時(shí)，都需要編寫測(cè)評(píng)報(bào)告，報(bào)告需要把整個(gè)網(wǎng)站的所有漏洞信息和測(cè)評(píng)結(jié)果都說的清清楚楚，目前各種WEB漏洞掃描軟件，包括開源的，不開源的都只能導(dǎo)出XML格式的報(bào)告，報(bào)告的內(nèi)容多，且比較專業(yè)，如果用戶想要詳細(xì)的漏洞信息，就需要自己根據(jù)XML文件，手工編寫測(cè)評(píng)報(bào)告，這種方式即繁瑣，又低效。 Web漏洞掃描與評(píng)估系統(tǒng)支持標(biāo)準(zhǔn)報(bào)告的導(dǎo)出，系統(tǒng)報(bào)告以word形式提供，用戶可以根據(jù)需要進(jìn)行二次編輯，報(bào)告自動(dòng)生成封皮、目錄、統(tǒng)計(jì)分析表、統(tǒng)計(jì)分析圖、漏洞排名表、以及詳細(xì)的漏洞信息。