web漏洞扫描原理,web漏洞扫描原理图
为什么web扫描器会把系统扫瘫?
随着网站业务所承载内容的日益增多且重要性日益增强,网站本身的价值也越来越大,随之由网站漏洞带来的安全性问题也愈发严峻。新开通网站、新增专栏的准入质量评估,网站系统日常运行状况的检查预防和风险掌控,这些已成为各行业每年安全大检查中的关键要素。作为具体落实定期检查工作的安全人员,也急需选择一款优秀的网站扫描产品进行高效彻底的Web脆弱性评估检查,而如何选择一款真正实用的产品成为一个比较纠结的难题。常见Web扫描方案的优劣势目前常见的支持Web扫描解决方案的产品有很多,大家比较熟悉的有集成Web扫描模块的多合一系统扫描器,网上可免费下载的开源扫描器软件以及近几年刚崭露头角的独立Web扫描器产品等,都可以进行一定程度的Web安全扫描和漏洞发现。那么面对如此琳琅满目的选择时,大家如何细致区分辨识其差异,就需严格立足于实际需要,最终做出最佳的判断。多合一的系统扫描器,通常会集主机扫描、配置核查、Web扫描及弱口令扫描于一身,是一款强大全面的多功能产品。但多合一的高度封装导致其在进行安全扫描时,除不能分配全部计算资源在Web扫描方面,扫描引擎自身还要兼顾到全方位的权衡与调优。反观目标Web应用呈现的种类多样性、规模庞大性和运行特殊性,在面对动辄上万、十万甚至百万级别网页数量的网站时,这种多合一产品就表现得差强人意,使用起来有种牛拉火车的感觉;同时,高效执行扫描评估就必须具备高并发的网页链接爬虫识别和Web插件交互逻辑判断能力,这一现实的冲突导致多合一扫描器在Web扫描及性能体验方面效果平平,优势不突出。网上开源的Web扫描器软件,尽管完全免费并可以发现一些基本的漏洞信息,但其在第一时间发现新爆Web漏洞和漏洞趋势跟踪分析、修补方面,完全不具备后期支撑能力。而且在人性化设计及低学习门槛方面也存在太多先天的不足,其性能与稳定性更是与商业软件相差甚远。面对综上同类产品,困惑于Web扫描场景需求种种局限的我们,很欣喜地看到了近几年声名鹊起的Web扫描器产品。它作为一款自动化评估类工具,依据制定的策略对Web应用系统进行URL深度发现并全面扫描,寻找出Web应用真实存在的安全漏洞,如跨站点脚本、SQL注入,命令执行、目录遍历和不安全的服务器配置。Web扫描器产品可以通过主动生成统计分析报告来帮助我们正确了解Web应用漏洞的详细分布、数量和风险优先级,并对发现的安全漏洞提出相应有力的改进意见供后续修补参考,是帮助我们高效彻底地进行Web脆弱性评估检查的坚实利器。Web扫描器的三个误区针对现有市面上诸多品牌的Web扫描器,大家在评价它们孰优孰劣时时常过于片面极端,主要表现为三个认识误区。误区1:多就是好!认为漏洞库条目多,检查出来的漏洞多就是好。Web扫描器面对庞大繁多、千差万别的应用系统,为提升检测性能,多采用高效率的Web通用插件,以一扫多,其不再局限于某个专门应用系统,深层次聚合归并,尽可能多地发现多种应用系统的同类漏洞。同时,对于扫描出来的非误报漏洞,若同属某一页面不同参数所致的相同漏洞,归纳整理,让最终呈现的漏洞报表简约而不简单,避免数量冗余、杂乱无章。故若以毫无插件归并能力,仅靠大量专门Web系统插件、罗列各类漏洞列表数量多来博取赞许的Web扫描器,其本质存在太多的不专业性。误区2:快就是好!认为扫描速度快耗时短的就是好。网站规模日趋复杂,日常检查时我们期待Web扫描器能有更高效率地完成扫描任务,这点无可厚非,但检查的本质是要最大限度地提前发现足够多的漏洞,并第一时间制定后续相应的修补计划。故在面对同一目标站点时,Web扫描器若能在单位时间内检测出来的有效存在漏洞数越多,这个快才是真的好。误区3:小就是好!认为扫描过程中对目标业务影响小就是好!这句话本身也没有问题,只要Web扫描器在执行扫描过程中,对目标系统负载响应和网络链路带宽占用,影响足够小,也就是我们常说的“无损扫描”,它就具备了一款优秀Web扫描器应有的先决条件。但是,这必须是在能最大限度发现Web漏洞的前提下才能考虑的关键因素,脱离这个产品本质,就本末倒置了。五个基本评优标准那么,评优一款Web扫描器,我们该从何处着手?具体的判断标准有哪些呢?全——识别种类繁多的Web应用,集成最全的Web通用插件,通过全面识别网站结构和内容,逐一判断每一种漏洞可能性,换句话说,漏洞扫描的检测率一定要高,漏报率务必低,最终才能输出全面详尽的扫描报告。这就要求其在Web应用识别方面,支持各类Web语言类型(php、asp、.net、html)、应用系统类型(门户网站、电子政务、论坛、博客、网上银行)、应用程序类型(IIS、Apache、Tomcat)、第三方组件类型(Struts2、WebLogic、WordPress)等;插件集成方面,支持国际标准漏洞分类OWASP TOP 10和WASC插件分类模板,允许自定义扫描插件模板,第一时间插件更新速度等。准——较高的漏洞准确性是Web扫描器权威的象征,可视化分析可助用户准确定位漏洞、分析漏洞。而误报是扫描类产品不能回避的话题。Web扫描器通过通用插件与目标站点任一URL页面进行逻辑交互,通过可视化的漏洞跟踪技术,精准判断和定位漏洞,并提供易读易懂的详细整改分析报告。除此之外,一款好的Web扫描器还要更具人性化,在漏洞发现后,允许扫描者进行手工、自动的漏洞批量验证,进而双重保障较高的准确性结果。快——快速的扫描速度,才能在面对越来越大的网站规模,越发频繁的网站检查时游刃有余,进度保障。一款快速的Web扫描器除了有强劲马力的扫描引擎,高达百万/天的扫描速度,还要具备弹性灵活的集群扫描能力,任意增添扫描节点,轻松应对可能苛刻的扫描周期时间要求。稳——稳定可靠的运行过程,对目标环境近乎零影响的Web扫描器,才能在诸行业大面积投入使用,特别是一些对业务影响要求苛刻的行业会更受青睐,毕竟没有人能够接受一款评估类产品,会对目标造成额外的损伤。市面上现在已有一些Web扫描器产品,其通过周期探寻目标系统,网络链路,自身性能负载等机制,依据目标环境的负载动态变化而自动调节扫描参数,从而保障扫描过程的足够稳定和几乎零影响。此外,随着网站规模,检查范围的不断扩大,保证持续稳定的扫描执行和统计评估,尽量避免扫描进度的半途而废,也提出了较高的可靠性运行要求。易——人性化的界面配置,低成本的报表学习和强指导性修补建议。尤其是漏洞分布详情和场景重现方面,市面上大多数Web扫描器的报表都需要专业安全人员的二次解读后,普通的安全运维检查人员才能看懂,才知道长达百页报表给出的重要建议和下一步的具体修补措施,这无疑给使用者造成了较高的技术门槛,那么如何解决此易读、易用问题,就成为评定其优劣与否的一个重要指标。总之,一款优秀的Web扫描器产品,它需要严格恪守五字核心方针,全、准、快、稳、易,做到全方位均衡,这样才能做到基本优秀。同时,随着网站检查诉求的日益多元化,它若能附带一些差异化特性,满足大家不同场景的网站安全运维扫描要求,如网站基本信息搜集,漏洞全过程时间轴跟踪,逐步可视化的漏洞验证和场景重现,自动修补直通车等,定会大大增加该款扫描器的评优力度。
web漏洞扫描工具原理是什么?
扫描工具 Domain2.2 -集WHOIS查询、上传页面批量检测、木马上传、数据库浏览及加密解密于一体。 X-way 2.5 -不错的扫描器,功能多,使用也不难,入侵必备。 SuperScan 3.0 -强大的TCP 端口扫描器、Ping 和域名解析器。 Namp 3.5 -安全界人人皆知的非常有名气的一个扫描器,作者Fyodor。 Hscan v1.20 -运行在Win NT/2000下的漏洞扫描工具,有GUI以及命令行两种扫描方式。 SSS -俄罗斯安全界非常专业的一个安全漏洞扫描软件。 U-Scan.exe -非常好的UNICODE漏洞扫描工具。 RpcScan V1.1 -可以通过135端口枚举远程主机RPC连接信息。 SHED 1.01 -一个用来扫描共享漏洞的机器的工具。 DSScan V1.00 -ms04-011远程缓冲区溢出漏洞扫描专用。 Dotpot PortReady1.6 - “绿色软件,”无需安装,非常小巧(23KB),具有极快的扫描速度。 WebD***Scan v1.0 -针对WEBD***漏洞的扫描工具。 注意:该软件会被查杀! Socks Proxy Finder2 -扫描端口速度非常快的一个工具,扫描完毕后还可以导出保存起来。 SQLScan v1.2 -猜解开着1433端口的主机密码工具。 RPC漏洞扫描器 v1.03 -针对RPC漏洞扫描的工具! 流光5.0 破解版 -国内有名的黑客扫描工具,由高级程序员小榕编写。 WIN2K自动攻击探测机 -Windows NT/2000 自动攻击探测机。 4899空口令探测 -能够快速的扫描到被安装了radmin服务端4899端口的空口令IP。注意:会被查杀! 关键是你没说你用哪种啊 ~ 具体是哪款~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
什么是漏洞扫描??一定要扫描吗??
漏洞扫描,是杀毒软件以及其他应用软件提供商根据微软提供的漏洞信息进行的系统检测行为……
个人建议最好进行扫描,以免病毒通过您的漏洞做出危害您的数据安全的行为,并且按照扫描结果下载适当补丁!
并且,建议打开Windows自带的更新程序……
(就算是盗版的Windows也尽量打开!)
什么是Web漏洞扫描
漏洞是指缺少安全措施或采用的安全措施有缺陷,可能会被攻击者利用,对企业
的信息资产安全造成损害,漏洞扫描就是用漏洞扫描器发现漏洞的过程。
web漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞,常见的WEB漏洞有Sql注入、Xss漏洞、上传漏洞等。
业内常用的Web漏洞扫描工具有:
Accunetix Web Vulnerability Scanner(AWVS)
IBM Rational AppScan
sqlmap
W3af
arachni
Zed Attack Proxy
网藤CRS
以上几款扫描器中,前两款属于商业软件,网藤CRS属于Saas模式,新用户可在线免费试用,后几款均是免费开源模式
Web漏洞扫描:场景可视化重现技术
随着公众对Web安全的聚焦,越来越多的行业领域如运营商、政府电子政务互动平台、企事业门户网站及教育医疗机构等都已经开始频繁使用扫描器去评估其风险性,以便提前发现潜在的安全隐患,及时安全加固以保障网站业务的正常持续运转。反观扫描器使用群体的变化,已由专业安全人士更多地转向网站安全运维人员,这就给扫描器自身的可用性和易用性提出高要求。而扫描器的核心能力,如何帮助用户快速发现漏洞、识别漏洞并定位漏洞,以及什么样的验证场景可以确定漏洞真实存在就成为亟待解1. 现状
由于Web安全技术功底的薄弱,在网站安全运维人员眼里,现有的扫描器依然显得过于专业。一份扫描报告中,大量显示漏洞存在的URL、弱点参数以及扫描器自身所构造的各种请求等晦涩难懂的内容,常常让安全运维人员不知所云,甚至不得不专请专业人员进行二次解读。而且这种易读性差的扫描报告不能让运维人员第一时间识别出漏洞风险分布并制定相应漏洞的修补计划,从而无法真正贯彻防微杜渐的安全思路,保障网站业务安全可靠地运行。
由于受限于目标网站环境的复杂性、漏洞种类的多样性,扫描器或多或少存在误报。为保证漏洞发现的权威性,增强报告内容的可信度,扫描器本身必须能清晰地给出:漏洞是如何被发现的,哪些页面及参数有问题,风险详情如何,有无重现该漏洞发现的场景分析文件,向导式的二次验证等。而如何对发现的漏洞进行权威验证这一点,一直是业界关注的焦点话题。
2.可视化漏洞分析
基于现状,绿盟科技提出了一种可视化的 Web漏洞 分析方法。该方法依据漏洞种类的不同,从扫描器判断漏洞存在的角度:首先从逻辑层面给出相关标准,作为判断此漏洞是否存在的条件依据;其次从漏洞触发层面列出该漏洞发现时的具体交互方式,如通过哪些检测手段,构造哪些URL参数;再从数据支撑层面列出漏洞检测过程中所交互的所有数据信息,如扫描器发送的网络请求与站点响应报文以及对应的具体页面源码文件等;最后,整个漏洞分析过程统一打包成离线场景文件。此方法可让评估者轻松还原漏洞发现场景,重现漏洞发现的每一步直至全过程,真正实现漏洞分析过程的简单可视、通俗易懂,进而为下一步可能进行的漏洞误报确认提供可视化验证场景,达到准确识别的权威效果。
1、 判断标准
Web漏洞的形成有很多因素,不同漏洞的表现形式和产生原因差异很大,扫描器在确认漏洞的同时,需要给出针对该漏洞的判断标准和参考依据。
2、 执行详情
知道漏洞的产生原因和表现形式外,还需要构造可以产生这个漏洞的充分必要条件,明确哪些具体的操作和方法能够触发这个漏洞,使其通过可理解的直观现象展示出来,并最终与判断标准相符合。
3、 过程报文
漏洞的探索和发现不是一蹴而就的,是一个有强烈依赖关系的发包探测、规则匹配的逻辑过程。过程报文还原了整个探测过程中的收发包情况,探测方对被探测Web站点都发送了哪些请求,对方服务器是如何应答的,过程报文都一一记录,为分析漏洞和网站实时响应提供有利数据。
以下给出了几种常见的漏洞类型,利用本文所介绍的可视化分析方法分别进行具体阐述。
2.1 XSS漏洞
基于特征值匹配来进行检测的XSS漏洞类型,其常见的检测逻辑如图 3 所示,是一个反复探测和验证的过程。
扫描器通过爬虫爬取Web站点的有效链接后,传递给相关插件进行探测扫描。插件在获取链接后,需要判断此链接是否有存在该漏洞的条件,抽取所有可能存在漏洞的位置点,构造请求URL和参数值去探测和发包,根据该漏洞的表现形式来判断返回的页面是否存在漏洞。
对应的特征值匹配检测逻辑条件满足后,漏洞发现条件也同步形成。此时,扫描器会把如下内容一一罗列出来:尝试探测的URL链接,具体的请求方式,在哪个参数字段上构造的特征值,相关的判断标准,最终构造的请求变量和URL语句函数,执行结果与预期结果的差异,页面请求和响应报文结果等漏洞确认的详情。
这样,就为此类XSS漏洞的发现提供了一个完整的检测可视化过程,让评估者清晰知晓XSS漏洞存在的相关判断依据、具体位置及如何验证和结果对比等。
2.2 SQL盲注
对于像SQL盲注这样的检测是不能通过特征值匹配来检测的,需要构造多次相似请求,根据返回页面的不同来判断,如图 6。
插件在获取到被检测URL后,抽取可能存在漏洞的注入点,会尝试发送三次请求获取充分条件。第一次采样,原始请求,将原始页面内容作为采样标准A;第二次采样,伪真页面B;第三次采样,false页面C。SQL盲注的检测,需要计算B/A和 C/A 之间的相似度,在某个确定的范围内就可以判定是否存在注入。
此基于相似度对比的检测过程对于评估者来说完全是黑盒的,根本无法获知真假页面之间的区别和差异,直观感受更无从谈起。而若采用本文介绍的可视化漏洞分析方法,如图7-1所示,扫描器通过提供可视化的漏洞检测过程,在判断标准中给出了插件的检测过程和漏洞表现形式,判断详情中给出了发送的伪真、错误请求URL,以及原始URL的请求和对应响应报文。
根据如上两组数据的页面相似度对比结果可以清楚看出两者之间的差异,当这个差异落在特定范围内时,就判断SQL盲注存在。从探测到展示,给评估者提供了重现该漏洞的完整场景。
2.3 弱口令猜测
在检测表单登录是否存在弱口令时,扫描器会根据预配置的弱口令列表或者自定义弱口令字典,通过枚举用户名和口令尝试登录,进行扫描确认。如图8所示,在获取到登录页面后,扫描器会根据配置的弱口令进行登录探测。
在检测出弱口令漏洞后,会给出具体的用户名、密码。评估者可以直接用给出的弱口令尝试登录漏洞URL。如图9的判断详情中,给出了具体的登录页面,检测出来的弱口令为admin,admin,看到请求响应,发现页面跳转到了主页面,登录成功,表示存在漏洞,从而重现这一探测过程。
3 结束语
通过上述简单介绍的可视化漏洞分析方法,评估者在看到扫描报告时,通过漏洞的判断标准、执行详情、过程报文,再也无须因不了解漏洞成因而困惑为什么Web环境会存在这样的漏洞,或者质疑是否存在误报,相关漏洞到底是如何被发现和确认的。此外,通过从扫描器给出的离线版漏洞场景文件,可以重现漏洞发现及确认全过程,从而进一步获取漏洞详情,为下一步的漏洞验证、漏洞修复提供更有效的参考数据。