WEB 漏洞检测与评估系统实施方案 一、 背景 WEB 网站是互联网上最为丰富的资源呈现形式,由于其访问简单、拓展性好等优点,目前在资讯、电子政务、电子商务和企业管理等诸多领域得到了广泛的应用。与此同时,WEB 网站也面临着数量庞大、种类繁多的安全威胁,操作系统、通信协议、服务发布程序和编程语言等无不存在大量安全漏洞。根据国家互联网应急中心最新监测分析报告的发布,一个令人触目惊心的数据引发各方关注: “1 月4 日至10 日,境内被篡改政府网站数量为 178 个,与前一周相比大幅增长409%,其占境内被篡改网站总数的比例也大幅增长为 31%。”不仅政府网站,近年来各种 Web 网站攻击事件也是频频发生 ,网站SQL 注入 ,网页 被篡改、信息 失 窃 、甚 至被利 用成 传 播 木 马 的载 体---Web 安全威胁形势 日益 严 峻 。 Web 网站的安全事件频频发生 ,究 其根源,关键 原 因 有 二 :一是Web 网站自 身 存在技 术 上的安全漏洞和安全隐 患 ;二 是相关的防 护 设备 和防 护 手 段 欠 缺 。Web 网站的体 系架 构 一般 分为三 层 ,底 层 是操作系统,中间 层 是 Web 服务程序、数据库 服务等通用组 件,上层 是内容 和业务相关的网页 程序。这 三 层 架 构 中任 何 一层 出 现了安全问题 都会 导 致 整 个 Web 网站受 到威胁,而 这 三 层 架 构 中任 何 一层 都 不可 避免 地 存在安全漏洞,底 层 的操作系统( 不管是 Windows 还 是 Linux)都 不时会 有 黑 客 可 以 远 程利 用的安全漏洞被发现和公 布; 中间 层 的Web 服务器 ( IIS 或 Apache 等)、ASP、PHP 等也常 会 有 漏洞爆 出 ; 上层的网页程序有SQL 注入漏洞、跨站脚本漏洞等 Web 相关的漏洞。另一方面,目前很多 Web 网站的防护设备和防护手段不够完善,虽然大部分网站都部署了防火墙,但针对 Web 网站漏洞的攻击都是应用层的攻击,都可以通过 80 端口完成,所以防火墙对这类攻击也是无能为力,另外,有些网站除了部署防火墙外还部署了 IDS/IPS,但同样都存在有大量误报情况,导致检测精度有限,为此,攻击性测试成为发现和解决 WEB 安全问题最有效和最直接的手段。 WEB 漏洞检测与评估是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞...
