WEB漏洞检测与评估系统实施专项方案.docx

1、WEB漏洞检测和评定系统实施方案 一、 背景 WEB网站是互联网上最为丰富资源展现形式，因为其访问简单、拓展性好等优点，现在在资讯、电子政务、电子商务和企业管理等很多领域得到了广泛应用。和此同时，WEB网站也面临着数量庞大、种类繁多安全威胁，操作系统、通信协议、服务公布程序和编程语言等无不存在大量安全漏洞。依据国家互联网应急中心最新监测分析汇报公布，一个令人触目惊心数据引发各方关注： “1月4日至10日，境内被篡改政府网站数量为178个，和前一周相比大幅增加409%，其占境内被篡改网站总数百分比也大幅增加为31%。”不仅政府网站，多年来多种Web网站攻击事件也是频频发生，网站SQL注入，网

2、页被篡改、信息失窃、甚至被利用成传输木马载体---Web安全威胁形势日益严峻。 Web网站安全事件频频发生，究其根源，关键原因有二：一是Web网站本身存在技术上安全漏洞和安全隐患；二是相关防护设备和防护手段欠缺。Web网站体系架构通常分为三层，底层是操作系统，中间层是Web服务程序、数据库服务等通用组件，上层是内容和业务相关网页程序。这三层架构中任何一层出现了安全问题全部会造成整个Web网站受到威胁，而这三层架构中任何一层全部不可避免地存在安全漏洞，底层操作系统（不管是Windows还是Linux）全部不时会有黑客能够远程利用安全漏洞被发觉和公布；中间层Web服务器（IIS或Apache等）

3、ASP、PHP等也常会有漏洞爆出；上层网页程序有SQL注入漏洞、跨站脚本漏洞等Web相关漏洞。其次，现在很多Web网站防护设备和防护手段不够完善，即使大部分网站全部布署了防火墙，但针对Web网站漏洞攻击全部是应用层攻击，全部能够经过80端口完成，所以防火墙对这类攻击也是无能为力，另外，有些网站除了布署防火墙外还布署了IDS/IPS，但一样全部存在有大量误报情况，造成检测精度有限，为此，攻击性测试成为发觉和处理WEB安全问题最有效和最直接手段。 WEB漏洞检测和评定是经过模拟恶意黑客攻击方法，来评定量算机网络系统安全一个方法。这个过程包含对系统任何弱点、技术缺点或漏洞主动分析，这个分析是从一

4、个攻击者可能存在位置来进行，而且从这个位置有条件主动利用安全漏洞。WEB漏洞检测和评定系统是作为WEB检测专用系统，用于发觉操作系统和任何网络服务，并检验这些网络服务有没有漏洞。 二、 概述 WEB漏洞检测和评定系统是集基础信息扫描、操作系统指纹扫描、开放服务扫描、OS漏洞扫描、WEB漏洞扫描于一体专业自动化扫描系统，并经过扫描插件、知识库和检测结果可拓展对其检测能力进行扩充，为实施攻击性测试对WEB信息系统进行全方面、深入、根本风险评定和参数获取，全方面取得目标系统基础信息、漏洞信息、服务信息等。 三、 系统布署和使用 用户经过账户和密码登录到扫描服务器系统，进入扫描任务，输入任

5、务名称和扫描目标主机网址或IP，选择需要进行扫描模块（关键包含基础信息获取、OS漏洞扫描、WEB漏洞扫描），然后点击开始扫描，这时经过http协议将新建扫描任务提交给扫描控制中心。 扫描控制中心接收到用户提交任务以后，开始调度扫描模块，同时监控扫描进度，用户能够经过扫描进度查询查看扫描情况。扫描模块完成任务以后，将扫描获取信息提交给扫描控制中心，扫描控制中心将获取信息在扫面统计查询中展示出来。在整个实施过程中，假如新建任务中某个或多个扫描模块超出用户设定时间，这时扫描控制中心将依据超时机制杀死超时扫描模块进程，结束超时模块扫描。用户在使用过程中，假如不想继续扫描下去或想切换扫描目标，能够选择

6、终止扫描，扫描控制中心将获取部分信息展现出来。 扫描结束以后，用户能够经过查看扫描统计查询，查看扫描结果，同时能够选择导出扫描结果，系统将依据扫描结果生成标准word扫描结果文档，用户下载到当地能够方便查看具体信息。 四、 产品特点 （1）功效集成化 本系统首次提出了将多个功效多个不一样扫描工具进行集成思想。包含了基础信息扫描、操作系统指纹扫描、开放服务扫描、OS漏洞扫描、WEB漏洞扫描等扫描模块，为对被测评网站进行安全评定提供全方面信息支持。对目标系统进行全方面、细致、深入渗透测试。 （2）任务并行化 为了充足利用多核硬件系统提供硬件支持，提升系统运行性能，系统能够经过UI构建多

7、任务，系统自动对任务进行排队处理。在扫描引擎底层实现上，系统使用了并发处理机制，使系统愈加高效和方便。 （3）结构层次化 为了提升系统可维护性和任务可控性，系统在构建扫描引擎时使用了分层设计思想，整个系统分为三个层次：UI展示层、任务调度层、扫描功效模块层。这种架构能够大大提升系统灵活性、可维护性、可扩展性和系统稳定性。 （4）任务灵活化 引擎对构建任务含有灵活支持能力：用户能够构建多任务，构建任务时能够选择每个任务选择实施哪些扫描功效，能够修改扫描任务最大实施时间，能够查看任务实施状态，甚至能够控制任务实施，扫描引擎对这些功效支持能够使用户随时对任务进行监测和控制。 （5）汇报标

8、准化 在对WEB网站进行漏洞测评时，全部需要编写测评汇报，汇报需要把整个网站全部漏洞信息和测评结果全部说清清楚楚，现在多种WEB漏洞扫描软件，包含开源，不开源全部只能导出XML格式汇报，汇报内容多，且比较专业，假如用户想要具体漏洞信息，就需要自己依据XML文件，手工编写测评汇报，这种方法即繁琐，又低效。 Web漏洞扫描和评定系统支持标准汇报导出，系统汇报以word形式提供，用户能够依据需要进行二次编辑，汇报自动生成封皮、目录、统计分析表、统计分析图、漏洞排名表、和具体漏洞信息。 标准汇报使用XML定义了文档模板，在生成汇报时，依据数据库中扫描结果，能够自动进行统计分析，在生成具体漏洞信息时，系统设计了URL统计分析算法和过滤合并算法，有效降低了同类漏洞数次出现。 五、 产品界面 新建任务