《你的Web系统有多少漏洞?》由会员分享,可在线阅读,更多相关《你的Web系统有多少漏洞?(7页珍藏版)》请在金锄头文库上搜索。
1、你的系统有多少漏洞? 漏洞的存在给Web系统带来了很大隐患,而漏洞扫描能够尽早发觉漏洞,从而使我们能采取有效方法来堵住这些漏洞,将Web系统的风险降到最低,以防范可能造成的损失。 Internet的开放性使得Web系统面临入侵攻击的威胁,而建立一个安全的Web系统一直是大家的目标。一个实用的方法是,建立比较轻易实现的相对安全的系统,同时根据一定的安全策略建立对应的安全辅助系统,漏洞扫描器就是这么一类安全辅助系统。四种漏洞扫描技术漏洞扫描是指对计算机系统或其它网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。作为一个确保Web信息系统和网络安全必不可少的手段,我们有必须仔细研究利用
2、。值得注意的是,漏洞扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又能够有效地防范黑客入侵。漏洞扫描通常采取两种策略,第一个是被动式策略,第二种是主动式策略。所谓被动式策略就是基于主机,对系统中不适宜的设置、脆弱的口令和其它和安全规则抵触的对象进行检验; 而主动式策略则基于网络,它经过实施部分脚本文件模拟对系统进行攻击的行为,并统计系统的反应,从而发觉其中的漏洞。利用被动式策略的扫描称为系统安全扫描,利用主动式的策略扫描称为网络安全扫描。漏洞扫描含有以下四种检测技术:1. 基于应用的检测技术。它采取被动的、非破坏性的措施检验应用软件包的设置,发觉安全漏洞。2. 基于主机的检测技
3、术。它采取被动的、非破坏性的措施对系统进行检测。通常,它包括到系统的内核、文件的属性、操作系统的补丁等。这种技术还包含口令解密、把部分简单的口令剔除。所以,这种技术能够很正确地定位系统的问题,发觉系统的漏洞。它的缺点是和平台相关,升级复杂。3. 基于目标的漏洞检测技术。它采取被动的、非破坏性的措施检验系统属性和文件属性,如数据库、注册号等。经过消息文摘算法,对文件的加密数进行检验。这种技术的实现是运行在一个闭环上,不停地处理文件、系统目标、系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较。一旦发觉改变就通知管理员。4. 基于网络的检测技术。它采取主动的、非破坏性的措施来检验系统是
4、否有可能被攻击。它利用了一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透试验和安全审记。这种技术能够发觉一系列平台的漏洞,也轻易安装。不过,它可能会影响网络的性能。网络漏洞扫描在上述四种方法当中,网络漏洞扫描最为适合我们的Web信息系统的风险评定工作,其扫描原理和工作原理为: 经过远程检测目标主机TCP/IP不一样端口的服务,统计目标的回复。经过这种方法,能够搜集到很多目标主机的多种信息。在取得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后,和网络漏洞扫描系统提供的漏洞库进行匹配,假如满足匹配条件,则视为漏洞存在
5、。另外,经过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,也是扫描模块的实现方法之一。假如模拟攻击成功,则视为漏洞存在。在匹配原理上,网络漏洞扫描器采取的是基于规则的匹配技术,即依据安全教授对网络系统安全漏洞、黑客攻击案例的分析和系统管理员有关网络系统安全配置的实际经验,形成一套标准的系统漏洞库,然后在此基础之上组成对应的匹配规则,由程序自动进行系统漏洞扫描的分析工作。所谓基于规则是基于一套由教授经验事先定义的规则的匹配系统。比如,在对TCP80端口的扫描中,假如发觉“/cgi-bin/phf/cgi-bin/”,依据教授经验和CGI程序的共享性和标准化,能够推
6、知该Web服务存在两个CGI漏洞。应该说明的是,基于规则的匹配系统有其不足,因为作为这类系统的基础的推理规则通常全部是依据已知的安全漏洞进行安排和策划的,而网络系统的很多威胁恰恰来自未知的安全漏洞,这一点和PC杀毒很相同。有种漏洞扫描器是基于B/S结构。它的工作原理是: 当用户经过控制平台发出了扫描命令以后,控制平台即向扫描模块发出对应的扫描请求,扫描模块在接到请求以后立刻开启对应的子功效模块,对被扫描主机进行扫描。经过分析被扫描主机返回的信息进行判定,扫描模块将扫描结果返回给控制平台,再由控制平台最终展现给用户。另一个结构的扫描器是采取插件程序结构。它能够针对某一详细漏洞,编写对应的外部测试
7、脚本。经过调用服务检测插件,检测目标主机TCP/IP不一样端口的服务,并将结果保留在信息库中,然后调用对应的插件程序,向远程主机发送结构好的数据,检测结果一样保留于信息库,以给其它的脚本运行提供所需的信息,这么可提升检测效率。如,在针对某FTP服务的攻击中,能够首先查看服务检测插件的返回结果,只有在确定目标主机服务器开启FTP服务时,对应的针对某FTP服务的攻击脚本才能被实施。采取这种插件结构的扫描器,能够让一般人结构自己的攻击测试脚本,而不用去了解太多扫描器的原理。这种扫描器也能够用做模拟黑客攻击的平台。采取这种结构的扫描器含有很强的生命力,如著名的Nessus就是采取这种结构。漏洞扫描器的
8、发展趋势值得我们注意的是漏洞扫描软件从最初的专门为Unix系统编写的部分只含有简单功效的小程序,发展到现在,已经出现了运行在多种操作系统平台上的、含有复杂功效的商业程序。以后的发展趋势关键有以下几点,我们能够依据实际Web信息系统风险评定的需求进行选取:1. 使用插件或叫做功效模块技术。每个插件全部封装一个或多个漏洞的测试手段,主扫描程序经过调用插件的方法来实施扫描。只要添加新的插件就能够使软件增加新功效,扫描更多漏洞。在插件编写规范公布的情况下,用户或第三方企业甚至能够自己编写插件来扩充软件的功效。同时这种技术使软件的升级维护变得相对简单,并含有很强的扩展性。2. 使用专用脚本语言。这其实就
9、是一个更高级的插件技术,用户能够使用专用脚本语言来扩充软件功效。这些脚本语言语法通常比较简单易学,往往用十几行代码就能够定制一个简单的测试或为软件添加新的测试项。脚本语言的使用,简化了编写新插件的编程工作,使扩充软件功效的工作变得愈加轻易,也愈加有趣。3. 由漏洞扫描程序到安全评定教授系统。最早的漏洞扫描程序只是简单地把各个扫描测试项的实施结果罗列出来,直接提供给测试者而不对信息进行任何分析处理。而目前较成熟的扫描系统全部能够对单个主机的扫描结果进行整理,形成报表,并能够对详细漏洞提出部分处理方法。其不足之处是对网络的情况缺乏整体的评定,对网络安全没有系统的处理方案。未来的安全扫描系统,应该不
10、仅能够扫描安全漏洞,还能够智能化地帮助网络信息系统管理人员评定本网络的安全情况,给出安全提议,成为一个安全评定教授系统。Web系统的风险等级评定在实现了对Web系统的安全扫描后,便可依据扫描结果对Web系统的安全性能进行评定,从而给出Web系统的风险情况。这里,风险评定的依据是扫描结果,依据Web信息系统的漏洞数目及漏洞的危害程度,对Web系统的安全状态进行分级。划分的风险评定等级以下:A级: 扫描结果显示没有漏洞,但这并不表明系统没有漏洞,因为有很多漏洞是还未发觉的,我们只能针对已知的漏洞进行测试。B级: 含有部分泄漏服务器版本信息之类的不是很主要内容的漏洞,或提供轻易造成被攻击的服务,如许
11、可匿名登录,这种服务可能会造成很多其它漏洞。C级: 含有危害等级较小的部分漏洞,如能够验证某账号的存在,但不会造成严重后果。D级: 含有通常危害程度的漏洞。如拒绝服务漏洞、造成Web系统不能正常工作、可能让黑客取得主要文件的访问权的漏洞等。E级: 含有严重危害程度的漏洞。如存在缓冲区溢出漏洞、存在木马后门、存在能够让黑客取得根用户权限、根目录被设置成通常用户可写等部分后果很严重的漏洞。这里我们需要强调的是: 漏洞的产生关键源于Web系统的不正当配置和其提供的服务本身的弱点。前面我们具体介绍了怎样使用漏洞扫描来进行风险评定,其实还有一个很主要的问题我们不能忽略,那就是需要检测Web系统到底提供了
12、哪些服务,因为它直接关系到系统的漏洞的产生和危害。首先,Web系统为用户提供了多个优质的网络服务,包含s、ftp、smtp、pop3等; 其次,服务的增多意味着更多的风险。因为每种服务本身全部必定存在着一些缺点,而这些缺点很有可能被高明的黑客利用来对系统进行攻击。因此,提供特定服务的服务器应该只开放必不可少的端口,而将和服务无关的端口关闭。比如: 一台作为和ftp服务器的机器,应该只开放80和25端口,而将其它无关的服务关掉,以降低系统漏洞。为此,我们有必须针对Web系统的实际用途使用相关的工具来对系统开放的网络服务及其端口等进行有效的检测和适时的处理,并立即关闭那些无须要的服务和端口,以免为黑客和不法用户利用,从而侵入信息系统。显然,这是一项很艰巨的工作,管理者们需要在技术和管理两个层面上投入相当的物力和财力,从而确保Web系统的安全性。
