《系统漏洞扫描器技术白皮书》由会员分享,可在线阅读,更多相关《系统漏洞扫描器技术白皮书(9页珍藏版)》请在金锄头文库上搜索。
1、 一体化一体化扫描器扫描器 技术白皮书技术白皮书 邦(北京)信息技术有限公司 一体化扫描器 2 / 9 1 网站安全现状 Web 网站是互联网上最为丰富的资源呈现形式,由于其访问简单、扩展性好等优点,目前在资讯、电子政务、电子商务和企业管理等诸多领域得到了广泛的应用。与此同时,Web 网站也面临着数量庞大、种类繁多的安全威胁,操作系统、通信协议、服务发布程序和编程语言等无不存在大量安全漏洞。根据致力于 Web 应用安全研究的国际权威组织 OWASP (Open Web Application Security Project)最新的调查显示,目前排名前十位的 Web 应用安全隐患如下: 图图
2、1 OWASP1 OWASP 统计的统计的 WebWeb 前十大安全隐患前十大安全隐患 近年来,恶意攻击者通过 SQL 注入攻击、XSS 跨站脚本攻击、CSRF 跨站请求伪造等攻击手段造成 Web 网站遭受损害的安全事故层出不穷, 安全防护形式日益严峻。 国家互联网应急中心 CNCERT/CC的权威报告显示,在 2010 年,我国境内有大量网站遭到攻击者的恶意篡改: 一体化扫描器 3 / 9 图图 2 CNCERT/CC2 CNCERT/CC 关于关于 20102010 年境内年境内 WebWeb 网站遭到篡改的统计表网站遭到篡改的统计表 为了保障 Web 网站运行过程的安全,各信息安全研究机
3、构、安全产品厂商纷纷提出了各种针对Web 网站安全威胁的防护技术和防护产品,如:Web 应用防火墙、Web 网页防篡改系统等,并在Web 网站安全防护领域逐渐取代传统的网络防火墙、入侵检测/防御系统(IDS/IPS) ,成为 Web 网站安全防护的“生力军” ,但与此同时,诸多种类 Web 安全防护产品的推陈出新,也从侧面反映了 Web应用防护的趋势,即:动态化、复杂化。 2 产品开发背景 一体化扫描器系统是本公司技术研究团队多年深入研究当前各类流行 Web 攻击手段(如网页挂马攻击、SQL 注入漏洞、跨站脚本攻击等)的经验结晶。通过本地检测技术与远程检测技术相结合,对您的网站进行全面的、深入
4、的、彻底的风险评估,综合性的规则库(本地漏洞库、ActiveX 库、网页木马库、网站代码审计规则库等)以及业界最为领先的智能化爬虫技术及 SQL 注入状态检测技术,检查系统中存在的弱点和漏洞,使得相比国内外同类产品智能化程度更高,速度更快,结果更准确。 一体化扫描器系统简称 RayScan,是集 Web 扫描和漏洞扫描予一体的专业一体化扫描器系统。 一体化扫描器 4 / 9 3 系统特性 全方位多层次检测网站安全漏洞 与目前市面上的其它网站安全类产品单一地考虑系统安全、网页编程安全、SQL 注入、跨站漏洞等方面的安全问题不同,本产品从设计网站安全的各个方面来对网站安全状况做出最全面的评估,包括
5、:系统补丁、危险插件、代码审计、恶意网站、网页木马、SQL 注入、跨站注入、管理入口以及敏感信息等等。 首款针对网站代码进行本地安全检查的软件 如果说远程 SQL 注入扫描、跨站漏洞扫描等是针对网站代码进行外部的黑盒测试的话,那么网站代码的安全检查就是针对网站代码进行全面直接的检查,找到 SQL 注入、跨站漏洞、网马等一系列安全问题。 多年积累的丰富的网马特征库 本软件采用了研究团队多年积累的丰富的网马特征库, 不仅包括网马代码特征、 而且包括挂马网站的列表, 双重检测手段保障网马检测的较低地漏报率和误报率, 同时我们保持每周至少一次的特征库的升级。 高效的网页爬虫技术 一体化扫描器系统的网页
6、抓取模块采用广度优先爬虫技术以及网站目录还原技术。 广度优先的爬虫技术的不会产生爬虫陷入的问题,网站目录还原技术则去除了无关结果,提高抓取效率。 基于状态扫描的 SQL 注入扫描技术 一体化扫描器系统不同于传统的针对错误反馈判断是否存在注入漏洞的方式, 而采用自主创新的状态检测来判断。所谓状态检测,即:针对某一链接输入不同的参 数,通过对网站反馈的结果使用一体化扫描器 5 / 9 向量比较算法进行比对判断,从而确定该链接是否为注入点,此方法不依赖于特定的数据库类型、设置以及 CGI 语言的种类,对于 注入点检测全面,不会产生漏报现象。而常见的 SQL 注入扫描产品均不具备此项技术。 基于状态比
7、较的注入验证技术 一体化扫描器系统采用状态检测来对数据库的数据进行猜解,无论网站采用什么 CGI 语言,无论网站是否反馈错误信息,都能进行正常的猜解,而常见的 SQL 注入扫描产品均不具备此项技术。 基于模糊匹配的管理入口检测技术 一体化扫描器系统管理入口检测模块不仅采用常规管理入口检测技术, 即: 使用常用的管理入口库进行逐一匹配检查, 而且还采用了模糊匹配的方式来检测管理入口, 所谓的模糊匹配即软件使用模糊匹配的方式来对网站所有链接进行匹配,从而最大可能找出所有管理入口。 自定义的检测库文件 用户除了可以使用软件默认提供的检测库外, 也可以添加自定义的规则库, 我们提供了规则库的转换和合并
8、等功能。 丰富的漏洞知识资源储备 一体化扫描器系统以国内最权威、最全面的中文漏洞知识库(CNCVE)为支撑,蕴含着丰富的研究经验和深厚的知识积累,能够为客户提持续的、高品质的产品应用价值。 覆盖面最广的漏洞库 一体化扫描器系统可扫描的漏洞数量超过 2300 种,分为 32 个大类,覆盖了当前网络环境中重要的,流行的系统和数据库漏洞,并且能够根据网络环境的变化及时调整更新,确保漏洞识别的全面性和时效性。 全方位的网络对象支持 一体化扫描器 6 / 9 网络主机:服务器、客户机、网络打印机等; 操作系统: Microsoft Windows 9X/NT/2000/XP/2003、 Sun Sola
9、ris、 HP Unix、 IBM AIX、 IRIX、Linux、BSD 等; 网络设备:Cisco、3Com、Checkpoint 等主流厂商网络设备; 应用系统:数据库、Web、FTP、电子邮件等。 漏洞信息的准确识别和判断 一体化扫描器系统采用渐进式扫描分析方法, 融合最新的操作系统指纹识别、 智能端口服务识别等技术,能够准确识别被扫描对象的各种信息,如操作系统、网络名、用户信息、非常规端口上开放的服务等。 强有力的扫描效率保证 一体化扫描器系统综合运用预探测、渐进式、多线程的扫描技术,能够快速发现目标网络中的存活主机,然后根据渐进式探测结果选择适合的扫描策略,启动多个线程进行并发扫描
10、,从而保证了扫描任务可以迅速完成。 多样化的结果报表呈现 一体化扫描器系统能够生成面向多个用户角色的客户化报表,并以图、表、文字说明等多种形式进行展现,同时支持以 PDF、XML、HTML、EXCEL、WORD 等多种格式导出结果报表。 4 系统功能 技术技术指标指标 应用类型 支持 HTTP 1.0 和 1.1 标准的 WEB 应用系统 支持 Web 2.0/Ajax 应用 支持静态及动态页面 一体化扫描器 7 / 9 支持 Web Services 应用 支持 Web 底层支撑系统 支持认证方式(Cookie、NTLM 等基本认证方式) 支持 HTTPS 的 WEB 应用系统 漏洞类型 支
11、持 SQL 注入检测 支持跨站脚本检测 支持表单类型检测 支持 Cookie 安全问题检测 支持 CGI 漏洞检测 支持 GOOGLE-HACK 检测 支持伪造跨站点请求 支持无效链接发现 支持敏感文件检测 支持 Web Services 误配置检测 功能特性 支持智能爬虫技术 支持多线程、多任务并发扫描 支持数据分析及报表呈现 5 性能 对于中等规模的网站,国外的同类产品扫描时间在 2 个小时左右,而一体化扫描器系统网站安全检测系统仅需要 20 分钟的时间。 从结果分析来看, 国外的同类产品在漏洞判断上通常会有上千条的报警, 但这里面不全是真正能成功的注入点,会产生大量的噪音,给管理员带来很
12、大的压力。而一体化扫描器系统网站安全检测系统仅报告真正意义上风险点,让管理员更能集中精力来解决问题。 一体化扫描器 8 / 9 6 产品规格 型号 S1000 RayVAS 设备接口 网络接口 4 个千兆以太网口 外部接口 1 个 RJ-45 串口,2 个 USB2.0 接口 性能指标 64 个 IP 地址, 8 个 Web 网站扫描; 适用于中小型企业的网络,支持网络漏洞扫描和 WEB 漏洞扫描 C 类网段扫描器, 64 个 Web 站点扫描; 适用于中型企业的网络,支持网络漏洞扫描和 WEB 漏洞扫描 B 类地址扫描;256 个 Web 站点扫描; 适用于大型企业的网络,支持网络漏洞扫描和 WEB 漏洞扫描 无限 IP 扫描,无限 Web 站点扫描 适用于大型企业的分布式网络,支持网络漏洞扫描和WEB 漏洞扫描 电源特性 交流电源 220V,50Hz 功耗 100W 物理/机械特性 外形尺寸(mm) 1U,2U 环境要求 一体化扫描器 9 / 9 温度 工作温度:-15+45;存储温度:-40+65 湿度 工作湿度:40%90%;存储湿度:30%98% 维修特性 平均故障间隔时间(MTBF) 9999 小时(100%负荷)
