網(wǎng)站漏洞檢測_Web漏洞掃描_web漏洞掃描工具
Web漏洞掃描
Web漏洞掃描是針對(duì)網(wǎng)站進(jìn)行掃描監(jiān)測的安全服務(wù),通過頁面爬取分析、模擬攻擊等方式,檢測網(wǎng)站通用漏洞、掛馬、敏感詞、暗鏈和頁面篡改等威脅風(fēng)險(xiǎn),幫助網(wǎng)站管理者提前發(fā)現(xiàn)網(wǎng)站弱點(diǎn)及時(shí)修復(fù)安全隱患。
漏洞掃描有以下四種檢測技術(shù):
1.基于應(yīng)用的檢測技術(shù)。它采用被動(dòng)的、非破壞性的辦法檢查應(yīng)用軟件包的設(shè)置,發(fā)現(xiàn)安全漏洞。
2.基于主機(jī)的檢測技術(shù)。它采用被動(dòng)的、非破壞性的辦法對(duì)系統(tǒng)進(jìn)行檢測。通常,它涉及到系統(tǒng)的內(nèi)核、文件的屬性、操作系統(tǒng)的補(bǔ)丁等。這種技術(shù)還包括口令解密、把一些簡單的口令剔除。因此,這種技術(shù)可以非常準(zhǔn)確地定位系統(tǒng)的問題,發(fā)現(xiàn)系統(tǒng)的漏洞。它的缺點(diǎn)是與平臺(tái)相關(guān),升級(jí)復(fù)雜。
3.基于目標(biāo)的漏洞檢測技術(shù)。它采用被動(dòng)的、非破壞性的辦法檢查系統(tǒng)屬性和文件屬性,如數(shù)據(jù)庫、注冊(cè)號(hào)等。通過消息文摘算法,對(duì)文件的加密數(shù)進(jìn)行檢驗(yàn)。這種技術(shù)的實(shí)現(xiàn)是運(yùn)行在一個(gè)閉環(huán)上,不斷地處理文件、系統(tǒng)目標(biāo)、系統(tǒng)目標(biāo)屬性,然后產(chǎn)生檢驗(yàn)數(shù),把這些檢驗(yàn)數(shù)同原來的檢驗(yàn)數(shù)相比較。一旦發(fā)現(xiàn)改變就通知管理員。
4.基于網(wǎng)絡(luò)的檢測技術(shù)。它采用積極的、非破壞性的辦法來檢驗(yàn)系統(tǒng)是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為,然后對(duì)結(jié)果進(jìn)行分析。它還針對(duì)已知的網(wǎng)絡(luò)漏洞進(jìn)行檢驗(yàn)。網(wǎng)絡(luò)檢測技術(shù)常被用來進(jìn)行穿透實(shí)驗(yàn)和安全審記。這種技術(shù)可以發(fā)現(xiàn)一系列平臺(tái)的漏洞,也容易安裝。但是,它可能會(huì)影響網(wǎng)絡(luò)的性能。
網(wǎng)絡(luò)漏洞掃描
在上述四種方式當(dāng)中,網(wǎng)絡(luò)漏洞掃描最為適合我們的Web信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作,其掃描原理和工作原理為:通過遠(yuǎn)程檢測目標(biāo)主機(jī)TCP/IP不同端口的服務(wù),記錄目標(biāo)的回答。通過這種方法,可以搜集到很多目標(biāo)主機(jī)的各種信息(例如:是否能用匿名登錄,是否有可寫的FTP目錄,是否能用Telnet,httpd是否是用root在運(yùn)行)。
在獲得目標(biāo)主機(jī)TCP/IP端口和其對(duì)應(yīng)的網(wǎng)絡(luò)訪問服務(wù)的相關(guān)信息后,與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配,如果滿足匹配條件,則視為漏洞存在。此外,通過模擬黑客的進(jìn)攻手法,對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描,如測試弱勢口令等,也是掃描模塊的實(shí)現(xiàn)方法之一。如果模擬攻擊成功,則視為漏洞存在。
在匹配原理上,網(wǎng)絡(luò)漏洞掃描器采用的是基于規(guī)則的匹配技術(shù),即根據(jù)安全專家對(duì)網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員關(guān)于網(wǎng)絡(luò)系統(tǒng)安全配置的實(shí)際經(jīng)驗(yàn),形成一套標(biāo)準(zhǔn)的系統(tǒng)漏洞庫,然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則,由程序自動(dòng)進(jìn)行系統(tǒng)漏洞掃描的分析工作。
所謂基于規(guī)則是基于一套由專家經(jīng)驗(yàn)事先定義的規(guī)則的匹配系統(tǒng)。例如,在對(duì)TCP80端口的掃描中,如果發(fā)現(xiàn)/cgi-bin/phf/cgi-bin/Count.cgi,根據(jù)專家經(jīng)驗(yàn)以及CGI程序的共享性和標(biāo)準(zhǔn)化,可以推知該WWW服務(wù)存在兩個(gè)CGI漏洞。同時(shí)應(yīng)當(dāng)說明的是,基于規(guī)則的匹配系統(tǒng)有其局限性,因?yàn)樽鳛檫@類系統(tǒng)的基礎(chǔ)的推理規(guī)則一般都是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的,而對(duì)網(wǎng)絡(luò)系統(tǒng)的很多危險(xiǎn)的威脅是來自未知的安全漏洞,這一點(diǎn)和PC殺毒很相似。
這種漏洞掃描器是基于瀏覽器/服務(wù)器(B/S)結(jié)構(gòu)。它的工作原理是:當(dāng)用戶通過控制平臺(tái)發(fā)出了掃描命令之后,控制平臺(tái)即向掃描模塊發(fā)出相應(yīng)的掃描請(qǐng)求,掃描模塊在接到請(qǐng)求之后立即啟動(dòng)相應(yīng)的子功能模塊,對(duì)被掃描主機(jī)進(jìn)行掃描。通過分析被掃描主機(jī)返回的信息進(jìn)行判斷,掃描模塊將掃描結(jié)果返回給控制平臺(tái),再由控制平臺(tái)最終呈現(xiàn)給用戶。
另一種結(jié)構(gòu)的掃描器是采用插件程序結(jié)構(gòu)。可以針對(duì)某一具體漏洞,編寫對(duì)應(yīng)的外部測試腳本。通過調(diào)用服務(wù)檢測插件,檢測目標(biāo)主機(jī)TCP/IP不同端口的服務(wù),并將結(jié)果保存在信息庫中,然后調(diào)用相應(yīng)的插件程序,向遠(yuǎn)程主機(jī)發(fā)送構(gòu)造好的數(shù)據(jù),檢測結(jié)果同樣保存于信息庫,以給其他的腳本運(yùn)行提供所需的信息,這樣可提高檢測效率。如,在針對(duì)某FTP服務(wù)的攻擊中,可以首先查看服務(wù)檢測插件的返回結(jié)果,只有在確認(rèn)目標(biāo)主機(jī)服務(wù)器開啟FTP服務(wù)時(shí),對(duì)應(yīng)的針對(duì)某FTP服務(wù)的攻擊腳本才能被執(zhí)行。采用這種插件結(jié)構(gòu)的掃描器,可以讓任何人構(gòu)造自己的攻擊測試腳本,而不用去了解太多掃描器的原理。這種掃描器也可以用做模擬黑客攻擊的平臺(tái)。采用這種結(jié)構(gòu)的掃描器具有很強(qiáng)的生命力,如著名的Nessus就是采用這種結(jié)構(gòu)。這種網(wǎng)絡(luò)漏洞掃描器的結(jié)構(gòu)如圖2所示,它是基于客戶端/服務(wù)器(C/S)結(jié)構(gòu),其中客戶端主要設(shè)置服務(wù)器端的掃描參數(shù)及收集掃描信息。具體掃描工作由服務(wù)器來完成。
Web漏洞掃描產(chǎn)品優(yōu)勢
威脅發(fā)現(xiàn)類型覆蓋全面
多維度檢測網(wǎng)站風(fēng)險(xiǎn),掃描發(fā)現(xiàn)網(wǎng)站通用漏洞,提供專家修復(fù)意見防止被攻擊者利用,也可檢測網(wǎng)站掛馬、頁面篡改、涉黃涉恐涉暴敏感詞和暗鏈,規(guī)避網(wǎng)站合規(guī)風(fēng)險(xiǎn)。降低安全風(fēng)險(xiǎn),防范于未然。
掃描任務(wù)管理高效靈活
分布式集群并發(fā)掃描站點(diǎn)威脅,實(shí)時(shí)監(jiān)控掃描引擎工作性能,快速水平資源擴(kuò)展,以滿足眾多客戶站點(diǎn)掃描需求。
低誤報(bào)精準(zhǔn)風(fēng)險(xiǎn)檢測
基于web2.0爬蟲技術(shù),支持Ajax解析、表單自動(dòng)分析、自動(dòng)交互等手段,深度解析網(wǎng)頁內(nèi)容,檢測網(wǎng)頁威脅,同時(shí)漏洞通過多種途徑驗(yàn)證,通過掃描和驗(yàn)證環(huán)節(jié)的優(yōu)化,降低掃描誤報(bào)率,為客戶提供精準(zhǔn)風(fēng)險(xiǎn)檢測。。
SAAS服務(wù)免安裝
無需安裝掃描器軟件,選用浪潮云掃描服務(wù)即用即掃,網(wǎng)絡(luò)可達(dá)即可掃描,不限制云內(nèi)或云外網(wǎng)站資產(chǎn),都能得到持續(xù)性安全監(jiān)控。自動(dòng)升級(jí)最新各類掃描規(guī)則,突發(fā)攻擊事件發(fā)生時(shí),及時(shí)進(jìn)行響應(yīng)與處理,構(gòu)建完善的網(wǎng)站安全體系。
Web漏洞掃描產(chǎn)品功能
漏洞檢測
對(duì)企業(yè)與個(gè)人的多種資產(chǎn)進(jìn)行專業(yè)的漏洞掃描
網(wǎng)頁內(nèi)容檢測
提供網(wǎng)頁文字多種違規(guī)風(fēng)險(xiǎn)的檢測
篡改檢測
通過遠(yuǎn)程對(duì)比對(duì)網(wǎng)站頁面被篡改進(jìn)行告警
專業(yè)掃描報(bào)告
對(duì)安全漏洞歸類、數(shù)量,詳情提供專業(yè)的掃描報(bào)告
多樣任務(wù)管理
提供按次、定時(shí)、周期性等多種任務(wù)模式