WEB漏洞检测与评估系统实施方案

漏洞检测与评估系统实施方案WEB

一、背景网站是互联网上最为丰富的资源呈现形式，由于其访问简洁、WEB拓展性好等优点，目前在资讯、电子政务、电子商务和企业管理等诸多领域得到了广泛的应用与此同时，网站也面临着数量浩大、WEB种类繁多的平安威逼，操作系统、通信协议、服务发布程序和编程语言等无不存在大量平安漏洞依据国家互联网应急中心最新监测分析报告的发布，一个令人骇人动目的数据引发各方关注月日至“1410日，境内被篡改政府网站数量为个，与前一周相比大幅增长178409%,其占境内被篡改网站总数的比例也大幅增长为〃不仅政府网站，31%近年来各种网站攻击事务也是频频发生，网站注入，网页被Web SQL篡改、信息失窃、甚至被利用成传播木马的载体平安威逼形势日-Web益严峻网站的平安事务频频发生，究其根源，关键缘由有二一是Web网站自身存在技术上的平安漏洞和平安隐患；二是相关的防护设Web备和防护手段欠缺网站的体系架构一般分为三层，底层是操作系Web统，中间层是服务程序、数据库服务等通用组件，上层是内容和Web业务相关的网页程序这三层架构中任何一层出现了平安问题都会导致整个网站受到威逼，而这三层架构中任何一层都不行避开地存Web在平安漏洞，底层的操作系统（不管是还是）都时常会Windows Linux有黑客可以远程利用的平安漏洞被发觉和公布；中间层的服务器Web（或等）、、等也常会有漏洞爆出；上层的网页程IIS ApacheASP PHP序有注入漏洞、跨站脚本漏洞等相关的漏洞另一方面，目SQL Web前很多网站的防护设备和防护手段不够完善，虽然大部分网站都Web部署了防火墙，但针对网站漏洞的攻击都是应用层的攻击，都可Web以通过端口完成，所以防火墙对这类攻击也是无能为力，另外，有80些网站除了部署防火墙外还部署了但同样都存在有大量误报IDS/IPS,状况，导致检测精度有限，为此，攻击性测试成为发觉和解决平WEB安问题最有效和最干脆的手段漏洞检测与评估是通过模拟恶意黑客的攻击方法，来评估计WEB算机网络系统平安的一种方法这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用平安漏洞漏洞检测WEB与评估系统是作为检测的专用系统，用于发觉操作系统和任何网WEB络服务，并检查这些网络服务有无漏洞

二、概述漏洞检测与评估系统是集基本信息扫描、操作系统指纹扫描、WEB开放服务扫描、漏洞扫描、漏洞扫描于一体的专业自动化扫描OS WEB系统，并通过扫描插件、学问库和检测结果的可拓展对其检测实力进行扩充，为实施攻击性测试对信息系统进行全面的、深化的、彻WEB底的风险评估和参数获得，全面获得目标系统的基本信息、漏洞信息、服务信息等

三、系统部署与运用用户通过账户和密码登录到扫描服务器系统，进入扫描任务，输入任务名称和扫描目标主机的网址或选择须要进行扫描的模块（主要IP,包括基本信息获得、漏洞扫描、漏洞扫描），然后点击起先扫OS WEB描，这时通过协议将新建的扫描任务提交给扫描限制中心扫描限制中心接收到用户提交的任务之后，起先调度扫描模块，同时监控扫描进度，用户可以通过扫描进度查询查看扫描状况扫描模块完成任务之后，将扫描获得的信息提交给扫描限制中心，扫描限制中心将获得的信息在扫面记录查询中展示出来在整个执行过程中，假如新建的任务中某个或多个扫描模块超出用户设定的时间，这时扫描限制中心将依据超时机制杀死超时扫描模块的进程，结束超时模块的扫描用户在运用过程中，假如不想接着扫描下去或者想切换扫描目标，可以选择终止扫描，扫描限制中心将获得的部分信息呈现出来扫描结束之后，用户可以通过查看扫描记录查询，查看扫描结果，同时可以选择导出扫描结果，系统将依据扫描结果生成标准扫描结word果文档，用户下载到本地可以便利查看详细信息

四、产品特点（）功能集成化1本系统首次提出了将多种功能的多个不同扫描工具进行集成的思想包括了基本信息扫描、操作系统指纹扫描、开放服务扫描、漏OS洞扫描、漏洞扫描等扫描模块，为对被测评的网站进行平安评估WEB供应全面信息支持对目标系统进行全面、细致、深化的渗透测试（）任务并行化2为了充分利用多核硬件系统供应的硬件支持，提高系统的运行性能，系统可以通过构建多任务，系统自动对任务进行排队处理在UI扫描引擎底层实现上，系统运用了并发处理机制，使系统更加高效与便利（）结构层次化3为了提高系统的可维护性与任务可控性，系统在构建扫描引擎时运用了分层的设计思想，整个系统分为三个层次展示层、任务调度UI层、扫描功能模块层这种架构可以大大提高系统的灵敏性、可维护性、可扩展性以及系统稳定性（）任务灵敏化4引擎对构建任务具有灵敏的支持实力用户可以构建多任务，构建任务时可以选择每个任务选择执行哪些扫描功能，可以修改扫描任务的最大执行时间，可以查看任务的执行状态，甚至可以限制任务的执行,扫描引擎对这些功能的支持可以运用户随时对任务进行监测与限制（）报告标准化5在对网站进行漏洞测评时，都须要编写测评报告，报告须要WEB把整个网站的全部漏洞信息和测评结果都说的清清楚楚，目前各种漏洞扫描软件，包括开源的，不开源的都只能导出格式的报WEB XML告，报告的内容多，且比较专业，假如用户想要详细的漏洞信息，就须要自己依据文件，手工编写测评报告，这种方式即繁琐，又低XML效漏洞扫描与评估系统支持标准报告的导出，系统报告以形Web word式供应，用户可以依据须要进行二次编辑，报告自动生成封皮、书目、统计分析表、统计分析图、漏洞排名表、以及详细的漏洞信息标准报告运用定义了文档的模板，在生成报告时，依据数据库XML中的扫描结果，能够自动进行统计分析,在生成详细的漏洞信息时,系统设计了统计分析算法和过滤合并算法,有效降低了同类漏洞的URL多次出现

五、产品界面辅琳年月日20140305Web麟麒评估平用户:娜沮skmskm admin台新融战进度跚源应用管理插件库知识肉肺管理系箱理酗信息务9m例麟任务］m目鼬痢|强朋自议嗯雄息御向外褥摘的新建任务当前日期-201年03月05日Web漏洞检测评估平用户skmskm级别admin=丁台新建任务扫描进度扫描记录应用管理插件席知识库用户管理系统管理帮助信息扫翻记录查询任务信息|基本信息|图表分析|统计分析］稿口信息|web制洞|os舄洞］导出报告|扫痴记录查■风险等级分布图一180110高危漏洞中危漏洞低危漏洞提示信息漏洞分布257025710151015205050。