UnisWASS網(wǎng)站安全掃描系統(tǒng)��,國舜科技研發(fā)UnisWebScanner網(wǎng)站應用安全掃描產(chǎn)品�,對網(wǎng)站應用進行安全性檢測的自動化工具�,并提供相關問題的報表。通過使用UnisWebScanner產(chǎn)品為Web業(yè)務提供專家級應用安全檢測和報表��。
一��、系統(tǒng)簡介
隨著各種各樣的Web應用(電子商務���、論壇�����、新聞�����、博客等)不斷進入人們的生活�,越來越多的動態(tài)元素被加入到Web建設中來。表單����、登錄、信息發(fā)布等動態(tài)內(nèi)容允許訪問者獲得和提交動態(tài)的內(nèi)容�,如果這些Web應用存在不安全的隱患,那么整個數(shù)據(jù)庫甚至是Web站點系統(tǒng)都會面臨安全風險�����。據(jù)統(tǒng)計�,目前75%的網(wǎng)絡攻擊行為都是通過Web來進行的。
對Web應用的安全性進行手工測試和審計是一項復雜且耗時的工作�����,不僅需要極大的耐心還需要專業(yè)的技術經(jīng)驗����。對于一般的Web管理人員來說,基于安全的管理將占用大量工作時間��。自動化的漏洞掃描工具能夠大幅簡化對于未知安全隱患的檢測工作����,有助于Web管理人員將精力轉向如何處理安全風險上。
與其他傳統(tǒng)掃描軟件不同的是����,UnisWebScanner 對廣泛應用的 Web2.0 技術密切關注,并內(nèi)嵌自動 javascript 解析器���,支持復雜的 Web 應用(如 Ajax����、SOAP��、JavaScript�、Flash等)。適用于通過internet�、intranet、extranet進行網(wǎng)上交易或信息發(fā)布的大��、中���、小企業(yè)�,如金融�、證券�、ZF���、電子商務�、電信運營商���、基金����、網(wǎng)游��、科研院所等各類企事業(yè)單位���。
經(jīng)過實踐證明��,UnisWebScanner網(wǎng)站安全掃描系統(tǒng)是Web安全性價比極高的產(chǎn)品���,相比國外的Web安全掃描產(chǎn)品來說,檢測速度快���,并且具備緊密跟蹤國內(nèi)最新網(wǎng)馬等信息的快速響應及更新能力��;相比國內(nèi)的Web安全掃描產(chǎn)品來說�,功能多樣,結果準確����,效率更高,值得信賴�。
二��、功能特性
UnisWebScanner網(wǎng)站安全掃描系統(tǒng)是針對Web安全性進行弱點評估的智能檢測系統(tǒng)����,是多年深入研究當前各類流行Web攻擊手段(如網(wǎng)頁掛馬攻擊、SQL注入漏洞���、跨站腳本攻擊等)的經(jīng)驗結晶�。UnisWebScanner 通過復雜的和全面的方法檢測 Web 應用安全漏洞���,通過并發(fā)爬蟲審計技術對您的網(wǎng)站進行全面的����、深入的�、徹底的風險評估,綜合性的規(guī)則庫(本地漏洞庫����、ActiveX庫�����、網(wǎng)頁木馬庫���、網(wǎng)站代碼審計規(guī)則庫等)以及業(yè)界最為領先的智能化爬蟲技術及SQL注入狀態(tài)檢測技術,使得相比國內(nèi)外同類產(chǎn)品智能化程度更高����,速度更快,結果更準確�。
2.1系統(tǒng)架構
系統(tǒng)架構如下圖所示:
UnisWebScanner自動化工作方式如下:
爬蟲將參考robots.txt和sitemap.xml爬過整站鏈接,對網(wǎng)站結構進行樹形展示�����。
對發(fā)現(xiàn)的每個頁面進行檢查和自動化掃描����。
如果發(fā)現(xiàn)漏洞存在,UnisWebScanner顯示相關的POST字段����、HTTP響應頭�、影響鏈接及解決建議����。
掃描完畢后,可以選擇對存在的漏洞進行漏洞驗證��。如果漏洞真正存在����,可通過手工檢測可獲得數(shù)據(jù)庫的敏感信息�����。
對于每次的掃描任務���,可以保存為工程���,也可以打開已保存的工程繼續(xù)掃描。
報告管理器提供專業(yè)的定制化報告�����。
2.2網(wǎng)站掛馬檢測
系統(tǒng)通過特征匹配及沙箱驗證技術對網(wǎng)站頁面進行分析�����,以檢測頁面是否被惡意攻擊者植入網(wǎng)馬。一般的掃描系統(tǒng)僅能通過頁面代碼特征進行關鍵字的匹配檢測�,而UnisWebScanner不僅包含了基于頁面特征的檢測方式更集成了驗證頁面行為的沙箱環(huán)境,能夠準確判斷出彈出式廣告�����、浮動廣告等在代碼特征上類似掛馬的非威脅內(nèi)容�,并且能夠模擬用戶訪問頁面時的內(nèi)存及瀏覽器操作,使檢出率顯著提升�����,同時大大降低誤報率�����。
2.3SQL注入漏洞檢測及驗證
系統(tǒng)使用了先進的基于狀態(tài)檢測的SQL注入漏洞掃描技術�����,不同于目前國內(nèi)外產(chǎn)品常用的基于錯誤的簡單檢測技術��,加上先進的向量比較算法,使得結果更加精確�����。
系統(tǒng)包含完整的SQL注入漏洞驗證機制����,采用基于狀態(tài)檢測的技術對數(shù)據(jù)庫進行滲透,以驗證漏洞可能對站點造成的風險威脅��。驗證系統(tǒng)支持任意語言編寫的站點�����,同時支持反饋及不反饋錯誤信息的SQL注入漏洞驗證�����。使得管理人員對站點的安全狀況能夠有真正準確的了解�。
2.4XSS跨站腳本漏洞檢測
跨站腳本漏洞的危害越來越大���,攻擊者通過跨站攻擊可以獲得管理員�、高級用戶的信任關系����,劫持用戶的cookie驗證狀態(tài)�����,甚至可能直接執(zhí)行有害的攻擊代碼����。UnisWebScanner系統(tǒng)用夠針對各種編碼方式生成的變量進行跨站腳本漏洞檢測�,并將HTTP頭及相關信息進行記錄,對進一步分析漏洞的成因及危害性提供判斷資料�。
2.5其他風險漏洞檢測
目前很多的網(wǎng)站基于內(nèi)容管理系統(tǒng)(CMS)構建,但是攻擊者往往通過尋找管理的方式來獲得對后臺的控制����。管理檢查功能用來檢查網(wǎng)站管理設置是否安全,是否容易遭受攻擊�����。
系統(tǒng)支持SSL協(xié)議站點頁面及使用證書的應用系統(tǒng)����,如網(wǎng)上等。
系統(tǒng)支持掃描密碼自動完成漏洞��,即能夠對非用戶輸入正確用戶相關信息時產(chǎn)生的繞過認證機制獲得訪問權限的漏洞檢測。
系統(tǒng)支持對站點敏感信息泄漏的檢測���,能夠檢查站點的錯誤提示頁等是否將服務器及相關系統(tǒng)敏感信息泄漏����。防止惡意攻擊者利用相關信息對站點實施進一步攻擊��。
三��、技術特性
3.1先進的網(wǎng)頁抓取爬蟲技術
UnisWebScanner系統(tǒng)的網(wǎng)頁抓取模塊采用先進的廣度優(yōu)先爬蟲技術以及網(wǎng)站目錄還原技術��。廣度優(yōu)先的爬蟲技術的不會產(chǎn)生爬蟲陷入的問題��,網(wǎng)站目錄還原技術則去除了無關結果���,提高抓取效率����。同時����,系統(tǒng)可針對同類型網(wǎng)頁的策略進行設置��,大大降低重復掃描工作。
3.2基于狀態(tài)的SQL注入漏洞檢測技術
不同于傳統(tǒng)的針對錯誤反饋判斷是否存在注入漏洞的方式�����,系統(tǒng)采用自主創(chuàng)新的狀態(tài)檢測機制���。所謂狀態(tài)檢測�,即針對某一鏈接輸入不同的參數(shù)����,通過對網(wǎng)站反饋的結果使用向量比較算法進行比對判斷,從而確定該鏈接是否為注入點�����,此方法不依賴于特定的數(shù)據(jù)庫類型�����、設置以及CGI語言的種類���,對于注入點檢測全面���,避免了注入漏洞的漏報現(xiàn)象��。
3.3沙箱與特征庫相結合的掛馬檢測
系統(tǒng)集成了沙箱驗證環(huán)境��,即能夠模擬真實的用戶訪問及網(wǎng)頁運行環(huán)境��,通過對網(wǎng)頁在該環(huán)境中的運行狀態(tài)來檢測其行為�����,從而發(fā)現(xiàn)可疑的惡意代碼�����,檢測站點頁面是否存在掛馬現(xiàn)象��。
3.4多種檢測向量
系統(tǒng)集成了大量的站點安全測試用例�����,支持對多種向量進行檢測����,包含:SQL 注入�、Blind SQL 注入�����、XSS、CSRF���、遠程文件包含(RFI)注入���、服務器端包含(SSI)注入、本地文件包含(LFI)��、OS 命令注入��、不充分的認證�、不充分的 session 過期、SSL 協(xié)議安全性���、服務器錯誤配置���、目錄索引與枚舉、目錄遍歷����、URL 重定向攻擊、Cookie 安全性�、Ajax 審計����、敏感文件枚舉���、敏感信息泄漏��、網(wǎng)頁掛馬等���。
