試驗08Web漏洞掃描

1、漏洞掃描漏洞（或計算機漏洞）是指在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。具體舉例來說，比如在IntelPentium芯片中存在的邏輯錯誤，在 Sendmail早期版本中的編程錯誤，在NFS協(xié)議中認證方式上的弱點，在 Unix系統(tǒng)管理員設(shè)置匿名 Ftp服務(wù)時配置不當(dāng)?shù)膯栴}都可能被攻擊者使 用，威脅到系統(tǒng)的安全。因而這些都可以認為是系統(tǒng)中存在的安全漏洞，這些漏洞存在于各個方面，而且數(shù)量驚人。據(jù)卡巴斯基實驗室的統(tǒng)計顯示：僅 2010年第三季度，就檢測出用 戶計算機中的漏洞程序和文件數(shù)量約3200萬個。計算機漏洞是一個比較獨特的抽象概

2、念，它具有以下特點：.計算機安全漏洞的存在并不能導(dǎo)致?lián)p害，但是它可以被攻擊者利用，從而造成對系統(tǒng)安全的威脅和破壞。計算機安全漏洞也不同于一般的計算機故障，漏洞的惡意利用能夠影響人們的工作、生活，甚至?xí)頌?zāi)難的后果。.漏洞是普遍存在的，例如，軟件編程過程中出現(xiàn)邏輯錯誤是很普遍的現(xiàn)象，而這些 錯誤絕大多數(shù)都是由疏忽造成的。.漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或具體使用的過程中產(chǎn)生的錯誤，但并不是 系統(tǒng)中存在的錯誤都是安全漏洞，只有能威脅到系統(tǒng)安全的錯誤才是漏洞。許多錯誤在通常情況下并不會對系統(tǒng)安全造成危害，只有被人在某些條件下故意使用時才會影響系統(tǒng)安全。.漏洞和具體的系統(tǒng)環(huán)境密切相關(guān)，在不同種類

3、的軟、硬件設(shè)備中，同種設(shè)備的不同版本之間，不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會存在各自不同的安全漏洞問題。.漏洞問題是與時間緊密相關(guān)的，而且是長期存在的。隨著時間的推移，舊的漏洞會 不斷得到修補或糾正，而在修補或糾正舊的漏洞的同時，可能會導(dǎo)致一些新的漏洞或錯誤， 而且隨著用戶的深入使用，系統(tǒng)中存在的漏洞會被不斷暴露出來，因此，漏洞將會長期存在。從廣義角度來說，漏洞可以分為應(yīng)用程序漏洞、網(wǎng)絡(luò)漏洞和主機漏洞等，本章節(jié)所指漏 洞專指網(wǎng)絡(luò)服務(wù)漏洞，如 POPS洞、HTTP漏洞、FTP漏洞等。漏洞掃描通常是指基于漏洞數(shù) 據(jù)庫，通過掃描等手段，對指定的遠程或者本地計算機系統(tǒng)的安

4、全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測或者滲透攻擊的行為。漏洞掃描是對系統(tǒng)進行全方位的掃描，檢查當(dāng)前的系統(tǒng)是否有漏洞，如果有漏洞則需要馬上進行修復(fù)，否則系統(tǒng)很容易受到網(wǎng)絡(luò)的傷害甚至被黑客借助于電腦的漏洞進行遠程控制那么后果將不堪設(shè)想，所以漏洞掃描對于保護電腦和上網(wǎng)安全是必不可少的， 而且需要每星期就進行一次掃描， 一但發(fā)現(xiàn)有漏洞就要馬上 修復(fù)，有的漏洞系統(tǒng)自身就可以修復(fù)，而有些則需要手動修復(fù)。漏洞掃描也應(yīng)當(dāng)包含對內(nèi)部網(wǎng)絡(luò)中沒有與互聯(lián)網(wǎng)連接的系統(tǒng)進行審計，目的是檢查和評估欺詐性軟件威脅， 以及惡意的雇員造成的威脅。應(yīng)當(dāng)說，無論對內(nèi)還是對外，漏洞掃描都有益處。漏洞掃描可以找出安全缺陷，通

5、過對系統(tǒng)實施測試找出其弱點。這一點許多人都重視， 但許多單位僅僅將漏洞掃描看作是一個總體安全審計的局部而已，其表現(xiàn)就是一年內(nèi)僅進行一兩次漏洞掃描。這其中的風(fēng)險極大，因為網(wǎng)絡(luò)是一個動態(tài)變化的實體，特別是一些程序經(jīng)常需要更新，一些新的軟件可能經(jīng)常需要安裝到服務(wù)器上，這可能會給造成新的安全威脅。新的漏洞和程序缺陷幾乎每天都在被發(fā)現(xiàn)。所以對于任何一個單位而言，應(yīng)當(dāng)經(jīng)常進行漏洞掃描，應(yīng)當(dāng)將其作為一項常規(guī)的安全分析計劃的重要部分。漏洞掃描技術(shù)的原理是：1,通過端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在。2.通

6、過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。Web漏洞掃描背景描述WEBI艮務(wù)器也稱為 WWW(WORLD WIDE W服窗器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)。 WWWb Internet的多媒體信息查詢工具， 是Internet 上近年才發(fā)展起來的服務(wù)， 也是發(fā)展最快和目前用的最廣泛的服務(wù)。正是因為有了 WWW具，才使得近年來Internet 迅速發(fā)展，且用戶數(shù)量飛速增長。隨著 web應(yīng)用的日益增多，如電子商務(wù)，交流論壇，公司網(wǎng)站 等等都使用web作為應(yīng)用的平臺，如何保證 web應(yīng)用的安全性也成為當(dāng)前日益重要

7、、必須 解決的問題。由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)規(guī)模迅猛增長， 據(jù)Netcraft公布的2010年2月份的全球Web服務(wù)器使用情況調(diào)查報告顯示：目前全球web服務(wù)器的數(shù)量超過了 2億個，并且數(shù)量 還在持續(xù)增長：2010年2月期間Apache主機名稱數(shù)量增長了 1600萬個，排在增長趨勢的第一位，增長第二位的是微軟的Web服務(wù)器，主機名稱增長數(shù)量為1100萬個。迅猛增加的web服務(wù)器，導(dǎo)致新的系統(tǒng)漏洞不斷增加。另據(jù)瑞典互聯(lián)網(wǎng)監(jiān)測機構(gòu)一 Pingdom-2010年7月份發(fā)布的全球 20大互聯(lián)網(wǎng)國家排行 數(shù)據(jù)顯示：全球互聯(lián)網(wǎng)用戶數(shù)量已經(jīng)達到了18億，其中中國互聯(lián)網(wǎng)用戶數(shù)量為達到了4.2億。許多互聯(lián)網(wǎng)

8、用戶出于好奇或別有用心，針對 web服務(wù)器漏洞，不停的窺視網(wǎng)上資源。由此導(dǎo)致的web安全事件數(shù)不勝數(shù)，web服務(wù)器安全的嚴峻形勢迫使人們不得不嚴陣以待。工作原理Web漏洞掃描方法主要有兩類：信息獲取和模擬攻擊。信息獲取就是通過與目標主機 TCP/IP的Http服務(wù)端口發(fā)送連接請求，記錄目標主機的應(yīng)答。通過目標主機應(yīng)答信息中狀 態(tài)碼和返回數(shù)據(jù)與 Http協(xié)議相關(guān)狀態(tài)碼和預(yù)定義返回信息做匹配，如果匹配條件則視為漏 洞存在。模擬攻擊就是通過使用模擬黑客攻擊的方法，對目標主機 Web系統(tǒng)進行攻擊性的安全漏洞掃描，比如認證與授權(quán)攻擊、支持文件攻擊、包含文件攻擊、SQL注入攻擊和利用編碼技術(shù)攻擊等對目標系

9、統(tǒng)可能存在的已知漏洞進行逐項進行檢查，從而發(fā)現(xiàn)系統(tǒng)的漏洞。遠程字典攻擊也是漏洞掃描中模擬攻擊的一種，其原理與其他攻擊相差較大，若攻擊成功，可以直接得到登陸目標主機系統(tǒng)的用戶名和口令。目前WE國艮務(wù)器存在的主要漏洞有：.物理路徑泄露：物理路徑泄露一般是由于WEBI艮務(wù)器處理用戶請求出錯導(dǎo)致的，如通過提交一個超長的請求，或者是某個精心構(gòu)造的特殊請求，或是請求一個WEB服務(wù)器上不存在的文件。這些請求都有一個共同特點，那就是被請求的文件肯定屬于CGI腳本，而不是靜態(tài)HTML頁面。還有一種情況，就是WEB!艮務(wù)器的某些顯示環(huán)境變量的程序錯誤的輸出了 WEBJ艮務(wù)器的物理路徑，這應(yīng)該算是設(shè)計上的問題。.

10、CGI源代碼泄露：CGI源代碼泄露的原因比較多，例如大小寫，編碼解碼，附加特殊 字符或精心構(gòu)造的特殊請求等都可能導(dǎo)致CGI源代碼泄露。.目錄遍歷：目錄遍歷對于 WEBB務(wù)器來說并不多見，通過對任意目錄附加“./ ，或者是在有特殊意義的目錄附加“./ ，或者是附加“./ 的一些變形，如“ ”或“./ ”甚至其編碼，都可能導(dǎo)致目錄遍歷。 前一種情況并不多見，但是后面的幾種情況就常見得多， 如IIS 二次解碼漏洞和 UNICODE解碼漏洞都可以看作是變形后的編碼。.執(zhí)行任意命令：執(zhí)行任意命令即執(zhí)行任意操作系統(tǒng)命令，主要包括兩種情況。通過遍歷目錄，如前面提到的二次解碼和UNICODE解碼漏洞，來執(zhí)行系

11、統(tǒng)命令。另外一種就是WE用艮務(wù)器把用戶提交的請求作為SSI指令解析，因此導(dǎo)致執(zhí)行任意命令。.緩沖區(qū)溢出：緩沖區(qū)溢出漏洞是WE用艮務(wù)器沒有對用戶提交的超長請求沒有進行合適的處理，這種請求可能包括超長URL超長HTTPHeader域，或者是其它超長的數(shù)據(jù)。這種漏洞可能導(dǎo)致執(zhí)行任意命令或者是拒絕服務(wù)，這一般取決于構(gòu)造的數(shù)據(jù)。.拒絕服務(wù)：拒絕服務(wù)產(chǎn)生的原因多種多樣，主要包括超長 URL特殊目錄，超長HTTPHeader域，畸形HTTPHeader域或者是DOS設(shè)備文件等。由于 WEB服務(wù)器在處理這些特 殊請求時不知所措或者是處理方式不當(dāng)，因此出錯終止或掛起。.條件競爭：這里的條件競爭主要針對一些管理服

12、務(wù)器而言，這類服務(wù)器一般是以 system或root身份運行的。當(dāng)它們需要使用一些臨時文件，而在對這些文件進行寫操作之 前，卻沒有對文件的屬性進行檢查，一般可能導(dǎo)致重要系統(tǒng)文件被重寫，甚至獲得系統(tǒng)控制權(quán)。.跨站腳本執(zhí)行漏洞：由于網(wǎng)頁可以包含由服務(wù)器生成的、并且由客戶機瀏覽器解釋的文本和 HTML標記。如果不可信的內(nèi)容被引入到動態(tài)頁面中，則無論是網(wǎng)站還是客戶機都沒有足夠的信息識別這種情況并采取保護措施。攻擊者如果知道某一網(wǎng)站上的應(yīng)用程序接收跨站點腳本的提交，他就可以在網(wǎng)上上提交可以完成攻擊的腳本，如JavaScript 、VBScript、ActiveX、HTML或 Flash 等內(nèi)容，普通用戶

13、一旦點擊了網(wǎng)頁上這些攻擊者提 交的腳本，那么就會在用戶客戶機上執(zhí)行，完成從截獲帳戶、更改用戶設(shè)置、竊取和篡改 cookie 到虛假廣告在內(nèi)的種種攻擊行為。. SQL注入：對于和后臺數(shù)據(jù)庫產(chǎn)生交互的網(wǎng)頁，如果沒有對用戶輸入數(shù)據(jù)的合法性 進行全面的判斷，就會使應(yīng)用程序存在安全隱,患。用戶可以在可以提交正常數(shù)據(jù)的URL或者表單輸入框中提交一段精心構(gòu)造的數(shù)據(jù)庫查詢代碼，使后臺應(yīng)用執(zhí)行攻擊著的SQL代碼，攻擊者根據(jù)程序返回的結(jié)果，獲得某些他想得知的敏感數(shù)據(jù)，如管理員密碼，保密商業(yè)資料等。Web漏洞掃描程序可以在幫助人們造就安全的 Web站點上助一臂之力，也就是說在黑客 入侵之前，先檢測一下系統(tǒng)中的漏洞，

14、 鞏固web服務(wù)器的安全。如下是典型的十個 Web0洞 掃描程序。Nikto 。這是一個開源的 Web服務(wù)器掃描程序，它可以對Web服務(wù)器的多種項目（包括3500個潛在的危險文件/CGI,以及超過900個服務(wù)器版本，還有 250多個服務(wù)器上的版本特定問題)執(zhí)行徹底的測試。其掃描項目和插件經(jīng)常更新并且可以自動更新(如果需要的話)。Nikto可以在盡可能短的周期內(nèi)測試Web服務(wù)器，這在其日志文件中相當(dāng)明顯。不過，并非每一次檢查都可以找出一個安全問題，雖然多數(shù)情況下是這樣的。有一些項目是僅提供信息(“info only” )類型的檢查，這種檢查可以查找一些并不存在安全漏洞的項目，不過 Web管理員或

15、安全工程師們并不知道。這些項目通常都可以恰當(dāng)?shù)貥擞洺鰜?，為人們省去?少麻煩。Paros proxy 。這是一個對 Web應(yīng)用程序的漏洞執(zhí)行評估的代理程序，即一個基于 Java的web代理程序，可以評估 Web應(yīng)用程序的漏洞。它支持動態(tài)地編輯/查看HTTP/HTTPS, 從而改動cookies 和表單字段等項目。它包括一個Web通信記錄程序，Web圈套程序(spider) , hash計算器，還有一個可以測試常見的Web應(yīng)用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。WebScarab 。它可以分析運用 HTTP和HTTPS協(xié)議執(zhí)行通信的應(yīng)用程序，WebScarab可以用最基本地形式

16、記錄它觀察的會話，并允許操作人員以各種方式觀查會話。如果要觀察一個基于HTTP(S)應(yīng)用程序的運行狀態(tài)，那么 WebScarabi就可以滿足這種需要。不管是幫 助開發(fā)人員調(diào)試其它方面的難題，還是允許安全專業(yè)人員識別漏洞，它都是一款不錯的工具。WebInspect。這是一款強大的 Web應(yīng)用程序掃描程序。SPI Dynamics的這款應(yīng)用程序安全評估工具有助于確認Web應(yīng)用中已知的和未知的漏洞。它還可以檢查一個 Web服務(wù)器能不能正確配置，并會嘗試一些常見的Web攻擊，如參數(shù)注入、跨站腳本、目錄遍歷攻擊(directory traversal) 等等。Whisker/libwhisker 。 L

17、ibwhisker 是一個 Perla 模塊，適合于 HTTP測試。它可以 針對許多已知的安全漏洞，測試 HTTP服務(wù)器，特別是檢測危險 CGI的存在。Whisker是一 個運用libwhisker 的掃描程序。Burpsuite 。這是一個可以用于攻擊Web應(yīng)用程序的集成平臺。Burp套件允許一個攻擊者將人工的和自動的技能結(jié)合起來，以列舉、分析、攻擊Web應(yīng)用程序，或運用這些程序的漏洞。各種各樣的burp工具協(xié)同工作，共享信息，并允許將一種工具發(fā)覺的漏洞形成另外一種工具的基礎(chǔ)。Wikto o可以說這是一個 Web服務(wù)器評估工具，它可以檢查 Web服務(wù)器中的漏洞，并 提供與Nikto 一樣的很

18、多功能，但增加了許多有趣的功能部分，如后端 miner和緊密的 Google集成。它為 MS.NEW境編寫，但用戶須要注冊才能下載其二進制文件和源代碼。Acunetix Web Vulnerability Scanner 。這是一款商業(yè)級的 Web漏洞掃描程序，它可以檢查Web應(yīng)用程序中的漏洞，如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度 等。它擁有一個操作方便的圖形用戶界面，并且能夠建立專業(yè)級的Web站點安全審核報告。Watchfire AppScan 。這也是一款商業(yè)類的Web漏洞掃描程序。AppScan在應(yīng)用程序的整個開發(fā)周期都提供安全測試，從而測試簡化了部件測試和開發(fā)早期的安全

19、保證。它可以掃描許多常見的漏洞，如跨站腳本攻擊、HTTP響應(yīng)拆分漏洞、參數(shù)篡改、隱式字段處理、后門/調(diào)試選項、緩沖區(qū)溢出等等。N-Stealth 。 N-Stealth 是一款商業(yè)級的 Web服務(wù)器安全掃描程序。它比一些免費的WebB描程序，如 Whisker/libwhisker 、Nikto等的升級頻率更高，據(jù)稱其含有“ 30000 個漏洞和漏洞程序”以及“每天增加大量的漏洞檢查”。此外，實際上所有通用的 VA工具,如 Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含 Web 掃描部件。N-Stealth 主要為Windows平臺

20、提供掃描，但并不提供源代碼。防御策略。由于Web的作用和特殊情況，web的安全管理一直是業(yè)界面臨的難題。針對 其安全管理，業(yè)界也提出了許多參考意見，如下是一些安全防御建議：.及時更新補丁程序；.合理配置 web服務(wù)器安全策略；.合理配置用戶的權(quán)限；.加強腳本安全的管理；7.1.3實驗列表實驗序號實驗名稱實驗一利用Jsky掃描web漏洞【實驗一】利用Jsky掃描web漏洞【實驗分析】實驗?zāi)康模赫莆章┒磼呙璧幕靖拍钫莆章┒磼呙璧墓ぷ髟?掌握Web應(yīng)用程序掃描的程序場景描述:交換機U描端 W2.16N.PKJ2圖7-1-1 web漏洞掃描實驗拓撲圖本實驗可以在兩臺虛擬機環(huán)境下完成，如圖7-1-1所示，從掃描端對web服務(wù)器進行掃 描。兩機的IP地址和角色如表7-1-1所示。IP地址角色與任務(wù)A39Web服務(wù)器B2掃描端表7-1-1 IP地址和角色實驗工具：JSKY掃描工具【實驗步驟】1.運行 JSKY.exe 攻擊軟件，點擊 File NewScan,新建