檢測你的Web系統(tǒng)有多少安全漏洞

1、檢測你的web系統(tǒng)有多少安全漏洞internet的開放性使得web系統(tǒng)面臨入侵攻擊的威脅，而建立一個安全的web系統(tǒng)一玄是人們的目標(biāo)。一 個實(shí)用的方法是，建立比較容易實(shí)現(xiàn)的相對安全的系統(tǒng)，同時按照一定的安全策略建立相應(yīng)的安全輔助系 統(tǒng)，漏洞掃描器就是這樣一類安全輔助系統(tǒng)。漏洞掃描就是對計算機(jī)系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測，以找出安全隱患和可被黑客利用的漏 洞。作為一種保證web信息系統(tǒng)和網(wǎng)絡(luò)女全必不可少的手段，我們有必要仔細(xì)研究利用。值得注意的是， 漏洞掃描軟件是把雙刃劍，照客利用它入侵系統(tǒng)，而系統(tǒng)管理員學(xué)握它以后又可以有效的防范黑客入侵。四種漏洞掃描技術(shù)漏洞掃描通常采川兩種策略，第種

2、是被動式策略，第二種是主動式策略。所謂被動式策略就是基于主機(jī) 之上，對系統(tǒng)屮不合適的設(shè)置、脆弱的口令以及其他與安全規(guī)則抵觸的對象進(jìn)行檢查；而主動式策略是基 于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳木文件模擬對系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。 利用被動式策略的掃描稱為系統(tǒng)安全掃描，利用主動式的策略掃描稱為網(wǎng)絡(luò)安全掃描。漏洞掃描有以下四種檢測技術(shù)：1 基于應(yīng)用的檢測技術(shù)。它采用被動的、非破壞性的辦法檢査應(yīng)用軟件包的設(shè)逢，發(fā)現(xiàn)安全漏洞。2基于主機(jī)的檢測技術(shù)。它采用被動的、非破壞性的辦法對系統(tǒng)進(jìn)行檢測。通常，它涉及到系統(tǒng)的內(nèi)核、 文件的屬性、操作系統(tǒng)的補(bǔ)r等。這種技術(shù)還包括口令解密、把一些簡

3、單的口令剔除。因此，這種技術(shù)可 以非常準(zhǔn)確地定位系統(tǒng)的問題，發(fā)現(xiàn)系統(tǒng)的漏洞。它的缺點(diǎn)是與平臺相關(guān)，升級復(fù)雜。3基于日標(biāo)的漏洞檢測技術(shù)。它采用被動的、非破壞性的辦法檢査系統(tǒng)屆性和文件屬性，如數(shù)據(jù)庫、注冊 號等。通過消息文摘算法，對文件的加密數(shù)進(jìn)行檢驗(yàn)。這種技術(shù)的實(shí)現(xiàn)是運(yùn)行在一個閉環(huán)上，不斷地處理 文件、系統(tǒng)h標(biāo)、系統(tǒng)h標(biāo)屬性，然后產(chǎn)生檢驗(yàn)數(shù)，把這些檢驗(yàn)數(shù)同原來的檢驗(yàn)數(shù)相比較。一旦發(fā)現(xiàn)改變 就通知管理員。4基丁-網(wǎng)絡(luò)的檢測技術(shù)。它采川積極的、非破壞性的辦法來檢驗(yàn)系統(tǒng)是否有可能被攻擊崩潰。它利川了一 系列的腳本模擬對系統(tǒng)進(jìn)行攻擊的行為，然后對結(jié)果進(jìn)行分析。它還針對已知的網(wǎng)絡(luò)漏洞進(jìn)行檢驗(yàn)。網(wǎng)絡(luò) 檢測技

4、術(shù)常被用來進(jìn)行穿透實(shí)驗(yàn)和安全審記。這種技術(shù)可以發(fā)現(xiàn)一系列平臺的漏洞，也容易安裝。但是， 它可能會影響網(wǎng)絡(luò)的性能。網(wǎng)絡(luò)漏洞掃描在上述四種方式當(dāng)中，網(wǎng)絡(luò)漏洞掃描最為適合我們的web信息系統(tǒng)的風(fēng)險評佔(zhàn)工作，其掃描原理和工作原 理為：通過遠(yuǎn)程檢測日標(biāo)主機(jī)tcp/ip不同端口的服務(wù)，記錄日標(biāo)的回答。通過這種方法，可以搜集到很多 目標(biāo)主機(jī)的各種信息（例如：是否能用匿名登錄，是否冇可寫的ftp ei錄，是否能用telnet, httpd是否是 用root在運(yùn)行）。在獲得h標(biāo)主機(jī)tcp/ip端i i和其對應(yīng)的網(wǎng)絡(luò)訪問服務(wù)的相關(guān)信息后，與網(wǎng)絡(luò)漏洞扌：描系統(tǒng)提供的漏洞庫進(jìn) 行匹配，如果滿足匹配條件，則視為漏洞存在

5、。此外，通過模擬黑客的進(jìn)攻手法，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻 擊性的安全漏洞掃描，如測試弱勢口令等，也是掃描模塊的實(shí)現(xiàn)方法z。如果模擬攻擊成功，則視為漏 洞存在。在匹配原理上，網(wǎng)絡(luò)漏洞掃描器采用的是基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑 客攻擊案例的分析和系統(tǒng)管理員關(guān)于網(wǎng)絡(luò)系統(tǒng)安全配置的實(shí)際經(jīng)驗(yàn)，形成-套標(biāo)準(zhǔn)的系統(tǒng)漏洞庫，然后再 在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則，由程序動進(jìn)行系統(tǒng)漏洞掃描的分析工作。所謂基于規(guī)則是基于-套由專家經(jīng)驗(yàn)事先定義的規(guī)則的匹配系統(tǒng)。例如，在對tcp80端口的掃描中，如果 發(fā)現(xiàn)/cgi-bin/phf/cgi-bin/count.cgi,根據(jù)專家經(jīng)驗(yàn)以及cgi程序

6、的共享性和標(biāo)準(zhǔn)化,可以推知該www服務(wù) 存在兩個cgi漏洞。同時應(yīng)當(dāng)說明的是，基于規(guī)則的匹配系統(tǒng)有其局限性，因?yàn)樽鳛檫@類系統(tǒng)的基礎(chǔ)的推 理規(guī)則一般都是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的，而對網(wǎng)絡(luò)系統(tǒng)的很多危險的威脅是來自未知的安 全漏洞，這一點(diǎn)和pc殺毒很相似。這種漏洞掃描器是基于瀏覽器/服務(wù)器(b/s)結(jié)構(gòu)°它的工作原理是：當(dāng)用戶通過控制平臺發(fā)出了扌.1描命令z 后，控制平臺即向掃描模塊發(fā)出相應(yīng)的掃描請求，掃描模塊在接到請求z后立即啟動相應(yīng)的子功能模塊， 對被掃描主機(jī)進(jìn)行掃描。通過分析被掃描主機(jī)返回的信息進(jìn)行判斷，掃描模塊將掃描結(jié)果返回給控制平臺, 再由控制平臺最終呈現(xiàn)給用戶。另-

7、種結(jié)構(gòu)的掃描器是采用插件程序結(jié)構(gòu)?？梢葬槍δ骋痪唧w漏洞，編寫對應(yīng)的外部測試腳本。通過調(diào)用 服務(wù)檢測插件，檢測目標(biāo)主機(jī)tcp/ip不同端口的服務(wù)，并將結(jié)果保存在信息庫中，然后調(diào)川相應(yīng)的插件程 序，向遠(yuǎn)程主機(jī)發(fā)送構(gòu)造好的數(shù)據(jù)，檢測結(jié)果同樣保存于信息庫，以給其他的腳木運(yùn)行提供所需的信息， 這樣可捉高檢測效率。如，在針對某ftp服務(wù)的攻擊中，可以首先查看服務(wù)檢測插件的返回結(jié)果，只有在 確認(rèn)目標(biāo)主機(jī)服務(wù)器開啟ftp服務(wù)時，對應(yīng)的針對某ftp服務(wù)的攻擊腳本才能被執(zhí)行。采用這種插件結(jié)構(gòu) 的掃描器，可以讓任何人構(gòu)造自己的攻擊測試腳本，而不用去了解太多掃描器的原理。這種掃描器也可以 用做模擬黑客攻擊的平臺。采用

8、這種結(jié)構(gòu)的掃描器具有很強(qiáng)的生命力，如著名的ncssus就是采用這種結(jié)構(gòu)。 這種網(wǎng)絡(luò)漏洞掃描器的結(jié)構(gòu)如圖2所示，它是基于客戶端/服務(wù)器(c/s)結(jié)構(gòu)，其屮客戶端主要設(shè)呂服務(wù)器端 的掃描參數(shù)及收集掃描信息。具體掃描工作由服務(wù)器來完成。漏洞掃描器的發(fā)展趨勢值得我們注意的是漏洞掃描軟件從最初的專門為unix系統(tǒng)編寫的一些只具冇簡單功能的小程序，發(fā)展到 現(xiàn)在，已經(jīng)出現(xiàn)了多個運(yùn)行在各種操作系統(tǒng)平臺上的、具冇復(fù)雜功能的商業(yè)程序。今后的發(fā)展趨勢主要冇 以下兒點(diǎn)，我們可以根據(jù)實(shí)際web信息系統(tǒng)風(fēng)險評估的需求進(jìn)行選用：1 使用插件或者叫做功能模塊技術(shù)。每個插件都封裝一個或者多個漏洞的測試乎段，主扌.1描程序通過調(diào)

9、用 插件的方法來執(zhí)行掃描。僅僅是添加新的插件就可以使軟件増加新功能，掃描更多漏洞。在插件編寫規(guī)范 公布的情況卜'，用戶或者第三方公司甚至可以自己編寫插件來擴(kuò)充軟件的功能。同時這種技術(shù)使軟件的升 級維護(hù)都變得相對簡單，并具有非常強(qiáng)的擴(kuò)展性。2使用專川腳本語言。這其實(shí)就是一種更高級的插件技術(shù)，川戶可以使川專川腳本語言來擴(kuò)充軟件功能。 這些腳本語言語法通常比較簡單易學(xué)，往往用十幾行代碼就可以定制一個簡單的測試，為軟件添加新的測 試項(xiàng)。腳木語言的使用，簡化了編寫新插件的編程工作，使擴(kuò)充軟件功能的工作變得更加容易，也更加有 趣。3. 山漏洞掃描程序到安全評佔(zhàn)專家系統(tǒng)。最早的漏洞扌：|描程序只是簡

10、單地把各個扌：|描測試項(xiàng)的執(zhí)行結(jié)呆羅 列出來，直接捉供給測試者而不對信息進(jìn)行任何分析處理。而當(dāng)前較成熟的掃描系統(tǒng)都能夠?qū)蝹€主機(jī) 的掃描結(jié)果整理，形成報衣，能夠并對具體漏洞提出一些解決方法。不足z處是對網(wǎng)絡(luò)的狀況缺乏一個整 體的評估，對網(wǎng)絡(luò)安全沒有系統(tǒng)的解決方案。未來的安全掃描系統(tǒng)，應(yīng)該不但能夠掃描安全漏洞，還能夠 智能化地協(xié)助網(wǎng)絡(luò)信息系統(tǒng)管理人員評估木網(wǎng)絡(luò)的安全狀況，給出安全建議，成為一個安全評估專家系統(tǒng)。web系統(tǒng)的風(fēng)險等級評估在實(shí)現(xiàn)了對web信息系統(tǒng)的安全掃描后，便可根據(jù)掃描結(jié)果，對web信息系統(tǒng)的安全性能進(jìn)行評估，從 而給出web信息系統(tǒng)的風(fēng)險狀況。這里，風(fēng)險評估的依據(jù)是根據(jù)掃描結(jié)果

11、，根web ft'息系統(tǒng)所貝有的 漏洞數(shù)目及漏洞的危害程度，將web信息系統(tǒng)的女全狀態(tài)進(jìn)行分級。劃分的風(fēng)險評估級別如下：la級：掃描結(jié)杲顯示沒冇漏洞，但這并不表明系統(tǒng)沒冇漏洞，因?yàn)閮釉S多漏洞是尚未發(fā)現(xiàn)的，我們只能針 對已知的漏洞進(jìn)行測試。2. b級：具有一些泄漏服務(wù)器版本信息z類的不是很重要內(nèi)容的漏洞，或者提供容易造成被攻擊的服務(wù)， 如允許匿名登錄，這種服務(wù)可能會造成許多其它漏洞。3. c級：具有危害級別較小的一些漏洞，如可以驗(yàn)證某賬號的存在，可以造成列岀一些頁面h錄、文件h 錄等，不會造成嚴(yán)重后果的漏洞。4. d級：具有-般的危害程度的漏洞。如拒絕服務(wù)漏洞，造成web信息系統(tǒng)不能正常

12、工作；可以讓黑客獲 得重要文件的訪問權(quán)的漏洞等。5. e級：貝有嚴(yán)重危害程度的漏洞。如存在緩沖區(qū)溢出漏洞，存在木馬后門，存在可以讓黑客獲得根用戶權(quán) 限或根用戶的shell漏洞，根目錄被設(shè)置一般用戶可寫等一些后果非常嚴(yán)重的漏洞。另外，我們需耍強(qiáng)調(diào)的是：漏洞的產(chǎn)生主要源于web信息系統(tǒng)的不止當(dāng)配置以及其提供的服務(wù)口身的弱點(diǎn)。 前面我們詳細(xì)介紹了如何使用漏洞掃描來進(jìn)行風(fēng)險評佔(zhàn)。其實(shí)還冇一個非常雨要的問題我們不能忽略，那 就是需要檢測web信息系統(tǒng)到底捉供了哪些服務(wù)，因?yàn)樗苯雨P(guān)系到系統(tǒng)的漏洞的產(chǎn)生以及危害。一方面, web信息系統(tǒng)為用戶提供了多種優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)，包括hup、ftp. smtp> pop3等；另一方而，服務(wù)的增 多意味著更多的風(fēng)險。每種服務(wù)本身都必然存在著某些缺陷，而這些缺陷很有可能被高明的黑客利用來對 系統(tǒng)進(jìn)行攻擊。所以，提供特定服務(wù)的服務(wù)器應(yīng)該盡可能開放提供服務(wù)必不可少的端口，而將與服務(wù)器服 務(wù)無關(guān)的服務(wù)關(guān)閉，比如：一臺作為www和ftp服務(wù)器的機(jī)器，