WEB漏洞检测与评估系统实施方案.docxVIP

WEB漏洞检测与评估系统实施方案 一、 背景 WEB网站是互联网上最为丰富的资源呈现形式，由于其访问简 洁、拓展性好等优点，目前在资讯、电子政务、电子商务和企业管理 等诸多领域得到了广泛的应用。与此同时，WEB网站也面临着数量 浩大、种类繁多的平安威逼，操作系统、通信协议、服务发布程序和 编程语言等无不存在大量平安漏洞。依据国家互联网应急中心最新监 测分析报告的发布，一个令人骇人动目的数据引发各方关注：“1月 4日至10日，境内被篡改政府网站数量为178个，与前一周相比大 幅增长409%,其占境内被篡改网站总数的比例也大幅增长为31%。〃 不仅政府网站，近年来各种Web网站攻击事务也是频频发生，网站 SQL注入，网页被篡改、信息失窃、甚至被利用成传播木马的载体 -Web平安威逼形势日益严峻。 Web网站的平安事务频频发生，究其根源，关键缘由有二：一是 Web网站自身存在技术上的平安漏洞和平安隐患；二是相关的防护设 备和防护手段欠缺。Web网站的体系架构一般分为三层，底层是操作 系统，中间层是Web服务程序、数据库服务等通用组件，上层是内 容和业务相关的网页程序。这三层架构中任何一层出现了平安问题都 会导致整个Web网站受到威逼，而这三层架构中任何一层都不行避 开地存在平安漏洞，底层的操作系统（不管是Windows还是Linux） 都时常会有黑客可以远程利用的平安漏洞被发觉和公布；中间层的 Web服务器（IIS或Apache等）、ASP、PHP等也常会有漏洞爆出；上 层的网页程序有SQL注入漏洞、跨站脚本漏洞等Web相关的漏洞。 另一方面，目前很多Web网站的防护设备和防护手段不够完善，虽 然大部分网站都部署了防火墙，但针对Web网站漏洞的攻击都是应 用层的攻击，都可以通过80端口完成，所以防火墙对这类攻击也是 无能为力，另外，有些网站除了部署防火墙外还部署了 IDS/IPS,但 同样都存在有大量误报状况，导致检测精度有限，为此，攻击性测试 成为发觉和解决WEB平安问题最有效和最干脆的手段。 WEB漏洞检测与评估是通过模拟恶意黑客的攻击方法，来评估 计算机网络系统平安的一种方法。这个过程包括对系统的任何弱点、 技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位 置来进行的，并且从这个位置有条件主动利用平安漏洞。WEB漏洞 检测与评估系统是作为WEB检测的专用系统，用于发觉操作系统和 任何网络服务，并检查这些网络服务有无漏洞。 二、概述 WEB漏洞检测与评估系统是集基本信息扫描、操作系统指纹扫 描、开放服务扫描、OS漏洞扫描、WEB漏洞扫描于一体的专业自动 化扫描系统，并通过扫描插件、学问库和检测结果的可拓展对其检测 实力进行扩充，为实施攻击性测试对WEB信息系统进行全面的、深 化的、彻底的风险评估和参数获得，全面获得目标系统的基本信息、 漏洞信息、服务信息等。 三、系统部署与运用 用户通过账户和密码登录到扫描服务器系统，进入扫描任务，输 入任务名称和扫描目标主机的网址或IP,选择须要进行扫描的模块 （主要包括基本信息获得、OS漏洞扫描、WEB漏洞扫描），然后点击 起先扫描，这时通过 协议将新建的扫描任务提交给扫描限制中 心。 扫描限制中心接收到用户提交的任务之后，起先调度扫描模块， 同时监控扫描进度，用户可以通过扫描进度查询查看扫描状况。扫描 模块完成任务之后，将扫描获得的信息提交给扫描限制中心，扫描限 制中心将获得的信息在扫面记录查询中展示出来。在整个执行过程 中，假如新建的任务中某个或多个扫描模块超出用户设定的时间，这 时扫描限制中心将依据超时机制杀死超时扫描模块的进程，结束超时 模块的扫描。用户在运用过程中，假如不想接着扫描下去或者想切换 扫描目标，可以选择终止扫描，扫描限制中心将获得的部分信息呈现 出来。 扫描结束之后，用户可以通过查看扫描记录查询，查看扫描结果，同 时可以选择导出扫描结果，系统将依据扫描结果生成标准word扫描 结果文档，用户下载到本地可以便利查看详细信息。 四、产品特点 （1）功能集成化 本系统首次提出了将多种功能的多个不同扫描工具进行集成的 思想。包括了基本信息扫描、操作系统指纹扫描、开放服务扫描、OS 漏洞扫描、WEB漏洞扫描等扫描模块，为对被测评的网站进行平安 评估供应全面信息支持。对目标系统进行全面、细致、深化的渗透测 试。 （2）任务并行化 为了充分利用多核硬件系统供应的硬件支持，提高系统的运行性 能，系统可以通过UI构建多任务，系统自动对任务进行排队处理。 在扫描引擎底层实现上，系统运用了并发处理机制，使系统更加高效 与便利。 （3）结构层次化 为了提高系统的可维护性与任务可控性，系统在构建扫描引擎时 运用了分层的设计思想，整个系统分为三个层次：UI展示层、任务调 度层、扫描功能