《检测你的Web系统有多少安全漏洞 .docx》由会员分享,可在线阅读,更多相关《检测你的Web系统有多少安全漏洞 .docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、检测你的Web系统有多少安全漏洞Internet的开放性使得Web系统面临入侵攻击的威胁, 而建立一个安全的Web系统一直是人们的目标。一个实用的 方法是,建立比较容易实现的相对安全的系统,同时按照一 定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这 样一类安全辅助系统。漏洞扫描就是对计算机系统或者其他网络设备开展安 全相关的检测,以找出安全隐患和可被黑客利用的漏洞。作 为一种保证Web信息系统和网络安全必不可少的手段,我们 有必要仔细研究利用。值得注意的是,漏洞扫描软件是把双 刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又可 以有效的防范黑客入侵。四种漏洞扫描技术漏洞扫描通常采用两种
2、策略,第一种是被动式策略,第 二种是主动式策略。所谓被动式策略就是基于主机之上,对 系统中不合适的设置、脆弱的口令以及其他与安全规则抵触 的对象开展检查;而主动式策略是基于网络的,它通过执行 一些脚本文件模拟对系统开展攻击的行为并记录系统的反 应,从而发现其中的漏洞。利用被动式策略的扫描称为系统 安全扫描,利用主动式的策略扫描称为网络安全扫描。漏洞扫描有以下四种检测技术:1 .基于应用的检测技术。它采用被动的、非破坏性的方 法检查应用软件包的设置,发现安全漏洞。2 .基于主机的检测技术。它采用被动的、非破坏性的方 法对系统开展检测。通常,它涉及到系统的内核、文件的属 性、操作系统的补丁等。这种
3、技术还包括口令解密、把一些 简单的口令剔除。因此,这种技术可以非常准确地定位系统 的问题,发现系统的漏洞。它的缺点是与平台相关,升级复 杂。3 .基于目标的漏洞检测技术。它采用被动的、非破坏性 的方法检查系统属性和文件属性,如数据库、注册号等。通 过消息文摘算法,对文件的加密数开展检验。这种技术的实 现是运行在一个闭环上,不断地处理文件、系统目标、系统 目标属性,然后产生检验数,把这些检验数同原来的检验数 相比较。一旦发现改变就通知管理员。4 .基于网络的检测技术。它采用积极的、非破坏性的方 法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚 本模拟对系统开展攻击的行为,然后对结果开展分析。
4、它还 针对已知的网络漏洞开展检验。网络检测技术常被用来开展 穿透实验和安全审记。这种技术可以发现一系列平台的漏洞, 也容易安装。但是,它可能会影响网络的性能。网络漏洞扫描在上述四种方式当中,网络漏洞扫描最为适合我们的 Web信息系统的风险评估工作,其扫描原理和工作原理为: 通过远程检测目标主机TCP/IP不同端口的服务,记录目标 的答复。通过这种方法,可以搜集到很多目标主机的各种信 息(例如:是否能用匿名登录,是否有可写的FTP目录,是 否能用Telnet, httpd是否是用root在运行)。在获得目标主机TCP/IP端口和其对应的网络访问服务 的相关信息后,与网络漏洞扫描系统提供的漏洞库开
5、展匹配, 如果满足匹配条件,则视为漏洞存在。此外,通过模拟黑客 的进攻手法,对目标主机系统开展攻击性的安全漏洞扫描, 如测试弱势口令等,也是扫描模块的实现方法之一。如果模 拟攻击成功,则视为漏洞存在。在匹配原理上,网络漏洞扫描器采用的是基于规则的匹 配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案 例的分析和系统管理员关于网络系统安全配置的实际经验, 形成一套标准的系统漏洞库,然后再在此根底之上构成相应 的匹配规则,由程序自动开展系统漏洞扫描的分析工作。所谓基于规则是基于一套由专家经验事先定义的规则 的匹配系统。例如,在对TCP80端口的扫描中,如果发现 /cgi-bin/phf/cgi-
6、bin/Count. cgi,根据专家经验以及 CGI 程序的共享性和标准化,可以推知该WWW服务存在两个CGI 漏洞。同时应当说明的是,基于规则的匹配系统有其局限性, 因为作为这类系统的根底的推理规则一般都是根据已知的 安全漏洞开展安排和策划的,而对网络系统的很多危险的威 胁是来自未知的安全漏洞,这一点和PC杀毒很相似。这种漏洞扫描器是基于浏览器/服务器(B/S)构造。它的 工作原理是:当用户通过控制平台发出了扫描命令之后,控 制平台即向扫描模块发出相应的扫描请求,扫描模块在接到 请求之后立即启动相应的子功能模块,对被扫描主机开展扫 描。通过分析被扫描主机返回的信息开展判断,扫描模块将 扫描
7、结果返回给控制平台,再由控制平台最终呈现给用户。另一种构造的扫描器是采用插件程序构造。可以针对某 一具体漏洞,编写对应的外部测试脚本。通过调用服务检测 插件,检测目标主机TCP/IP不同端口的服务,并将结果保 存在信息库中,然后调用相应的插件程序,向远程主机发送 构造好的数据,检测结果同样保存于信息库,以给其他的脚 本运行提供所需的信息,这样可提高检测效率。如,在针对 某FTP服务的攻击中,可以首先查看服务检测插件的返回结 果,只有在确认目标主机服务器开启FTP服务时,对应的针 对某FTP服务的攻击脚本才能被执行。采用这种插件构造的 扫描器,可以让任何人构造自己的攻击测试脚本,而不用去 了解太
8、多扫描器的原理。这种扫描器也可以用做模拟黑客攻 击的平台。采用这种构造的扫描器具有很强的生命力,如著 名的Nessus就是采用这种构造。这种网络漏洞扫描器的构 造如图2所示,它是基于客户端/服务器(C/S)构造,其中客 户端主要设置服务器端的扫描参数及收集扫描信息。具体扫 描工作由服务器来完成。漏洞扫描器的发展趋势值得我们注意的是漏洞扫描软件从最初的专门为UNIX 系统编写的一些只具有简单功能的小程序,发展到现在,已 经出现了多个运行在各种操作系统平台上的、具有复杂功能 的商业程序。今后的发展趋势主要有以下几点,我们可以根 据实际Web信息系统风险评估的需求开展选用:1 .使用插件或者叫做功能
9、模块技术。每个插件都封装一 个或者多个漏洞的测试手段,主扫描程序通过调用插件的方 法来执行扫描。仅仅是添加新的插件就可以使软件增加新功 能,扫描更多漏洞。在插件编写规范公布的情况下,用户或 者第三方公司甚至可以自己编写插件来扩大软件的功能。同 时这种技术使软件的升级维护都变得相对简单,并具有非常 强的扩展性。2 .使用专用脚本语言。这其实就是一种更高级的插件技 术,用户可以使用专用脚本语言来扩大软件功能。这些脚本 语言语法通常比较简单易学,往往用十几行代码就可以定制 一个简单的测试,为软件添加新的测试项。脚本语言的使用, 简化了编写新插件的编程工作,使扩大软件功能的工作变得 更加容易,也更加有
10、趣。3 .由漏洞扫描程序到安全评估专家系统。最早的漏洞扫 描程序只是简单地把各个扫描测试项的执行结果罗列出来, 直接提供应测试者而不对信息开展任何分析处理。而当前较 成熟的扫描系统都能够将对单个主机的扫描结果整理,形成 报表,能够并对具体漏洞提出一些解决方法。缺陷之处是对 网络的状况缺乏一个整体的评估,对网络安全没有系统的解 决方案。未来的安全扫描系统,应该不但能够扫描安全漏洞, 还能够智能化地协助网络信息系统管理人员评估本网络的 安全状况,给出安全建议,成为一个安全评估专家系统。Web系统的风险等级评估在实现了对Web信息系统的安全扫描后,便可根据扫描 结果,对Web信息系统的安全性能开展评
11、估,从而给出Web 信息系统的风险状况。这里,风险评估的依据是根据扫描结 果,根据Web信息系统所具有的漏洞数目及漏洞的危害程度, 将Web信息系统的安全状态开展分级。划分的风险评估级别如下:LA级:扫描结果显示没有漏洞,但这并不说明系统没 有漏洞,因为有许多漏洞是尚未发现的,我们只能针对已知 的漏洞开展测试。4 .B级:具有一些泄漏服务器版本信息之类的不是很重 要内容的漏洞,或者提供容易造成被攻击的服务,如允许匿 名登录,这种服务可能会造成许多其它漏洞。5 .C级:具有危害级别较小的一些漏洞,如可以验证某 账号的存在,可以造成列出一些页面目录、文件目录等,不 会造成严重后果的漏洞。6 .D级
12、:具有一般的危害程度的漏洞。如拒绝服务漏洞, 造成Web信息系统不能正常工作;可以让黑客获得重要文件 的访问权的漏洞等。7 .E级:具有严重危害程度的漏洞。如存在缓冲区溢出 漏洞,存在木马后门,存在可以让黑客获得根用户权限或根 用户的shell漏洞,根目录被设置一般用户可写等一些后果 非常严重的漏洞。另外,我们需要强调的是:漏洞的产生主要源于Web信 息系统的不正当配置以及其提供的服务自身的弱点。前面我 们详细介绍了如何使用漏洞扫描来开展风险评估。其实还有 一个非常重要的问题我们不能忽略,那就是需要检测Web信 息系统到底提供了哪些服务,因为它直接关系到系统的漏洞 的产生以及危害。一方面,We
13、b信息系统为用户提供了多种 优质的网络服务,包括Http、Ftp、Smtp、Pop3等;另一方 面,服务的增多意味着更多的风险。每种服务本身都必然存 在着某些缺陷,而这些缺陷很有可能被*的黑客利用来对 系统开展攻击。所以,提供特定服务的服务器应该尽可能开 放提供服务必不可少的端口,而将与服务器服务无关的服务 关闭,比方:一台作为WWW和ftp服务器的机器,应该只开 放80和25端口,而将其他无关的服务如关掉,以减少系统 漏洞。因此,我们需要针对Web系统的实际用途使用相关的工 具来对系统开放的网络服务及其端口等开展有效地检测和 适时的处理,以及时关闭那些不必需要的服务和端口,以免 为黑客和不法用户利用,从而侵入信息系统。显然,这是一 项非常艰巨和长期的工作,管理者们需要在技术和管理两个 层面上投入相当的物力和财力,从而保证Web信息系统的安 全性。