WEB應(yīng)用風險掃描的研究與應(yīng)用(1)

掃描技術(shù)是一類重要的信息安全技術(shù)，與防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高信息系統(tǒng)WEB應(yīng)用層的安全性。通過對WEB應(yīng)用的深度掃描，WEB應(yīng)用的管理員或開發(fā)商可以快速了解WEB應(yīng)用存在的安全漏洞，客觀評估WEB應(yīng)用的風險等級，在黑客攻擊前進行有效防范。

1. 研究背景

1.1 WEB應(yīng)用安全現(xiàn)狀

隨著互聯(lián)網(wǎng)的發(fā)展，金融網(wǎng)上交易、政府電子政務(wù)、企業(yè)門戶網(wǎng)站、社區(qū)論壇、電子商務(wù)等各類基于HTML文件格式的信息共享平臺（WEB應(yīng)用系統(tǒng)）越發(fā)完善，深入到人們生活中的點點滴滴。然而WEB應(yīng)用共享平臺為我們的生活帶來便利的同時，也面臨著前所未有的挑戰(zhàn)：WEB應(yīng)用系統(tǒng)直接面向Internet，以WEB應(yīng)用系統(tǒng)為跳板入侵服務(wù)器甚至控制整個內(nèi)網(wǎng)系統(tǒng)的攻擊行為已成為最普遍的攻擊手段。據(jù)Gartner的最新調(diào)查，目前75%以上的攻擊行為都基于WEB應(yīng)用層面而非網(wǎng)絡(luò)層面；同時數(shù)據(jù)顯示，三分之二的WEB站點都相當脆弱，易受攻擊。

據(jù)中國互聯(lián)網(wǎng)應(yīng)急中心最新統(tǒng)計顯示，2009年我國大陸地區(qū)政府網(wǎng)頁遭篡改事件呈大幅增長趨勢，被篡改網(wǎng)站的數(shù)量就達到52225個。2009年8月份，公安部對國內(nèi)政府網(wǎng)站的進行安全大檢查，發(fā)現(xiàn)40%存在嚴重安全漏洞，包括SQL注入、跨站腳本漏洞等。由此導(dǎo)致的網(wǎng)頁篡改、網(wǎng)頁掛馬、機密數(shù)據(jù)外泄等安全事件頻繁發(fā)生，不但嚴重影響對外形象，有時甚至會造成巨大的經(jīng)濟損失，或者嚴重的社會問題，嚴重危及國家安全和人民利益。

網(wǎng)頁篡改：一些不法分子的重點攻擊對象。組織門戶網(wǎng)站一旦被篡改（加入一些敏感的顯性內(nèi)容），引發(fā)較大的影響，嚴重甚至造成政治事件。

網(wǎng)頁掛馬：網(wǎng)頁內(nèi)容表面上沒有任何異常，實際被偷偷的掛上了木馬程序。網(wǎng)頁掛馬未必會給網(wǎng)站帶來直接損害，但卻會給瀏覽網(wǎng)站的用戶帶來巨大損失。網(wǎng)站一旦被掛馬，其權(quán)威性和公信力將會受到打擊。

機密數(shù)據(jù)外泄：在線業(yè)務(wù)系統(tǒng)中，總是需要保存一些企業(yè)、公眾的相關(guān)資料，這些資料往往涉及到企業(yè)秘密和個人隱私，一旦泄露，會造成企業(yè)或個人的利益受損，可能會給單位帶來嚴重的法律糾紛。

1.2 傳統(tǒng)安全防護方法

企業(yè) WEB 應(yīng)用的各個層面，都已使用不同的技術(shù)來確保安全性。為了保護客戶端機器的安全，用戶會安裝防病毒軟件；為了保證用戶數(shù)據(jù)傳輸?shù)狡髽I(yè) WEB 服務(wù)器的傳輸安全，通信層通常會使用 SSL技術(shù)加密數(shù)據(jù)；防火墻和 IDS/IPS來保證僅允許特定的訪問，不必要暴露的端口和非法的訪問，在這里都會被阻止；同時企業(yè)采用一定的身份認證機制授權(quán)用戶訪問 WEB 應(yīng)用。

但是，即便有防病毒保護、防火墻和 IDS/IPS，企業(yè)仍然不得不允許一部分的通訊經(jīng)

過防火墻，保護措施可以關(guān)閉不必要暴露的端口，但是 WEB 應(yīng)用所必須的端口，必須開放。順利通過的這部分通訊，可能是善意的，也可能是惡意的，很難辨別。同時，WEB 應(yīng)用是由軟件構(gòu)成的，那么，它一定會包含漏洞，這些漏洞可能被惡意的用戶利用，他們通過執(zhí)行各種惡意的操作，或者偷竊、或者操控、或者破壞 WEB 應(yīng)用中的重要信息。

1.3 本文研究觀點

網(wǎng)站是否存在WEB 應(yīng)用程序漏洞，往往是被入侵后才能察覺；如何在攻擊發(fā)動之前主動發(fā)現(xiàn)WEB應(yīng)用程序漏洞？答案就是：主動防御，即利用WEB應(yīng)用弱點掃描技術(shù)，主動實現(xiàn)對WEB應(yīng)用的安全防護。

本文主要針對B/S架構(gòu)WEB應(yīng)用系統(tǒng)中典型漏洞、流行的攻擊技術(shù)、AJAX的隱藏資源獲取、驗證碼圖片識別等進行研究，提出了一種新的面向WEB的漏洞檢測技術(shù)，能夠較完整得提取出AJAX的資源，有效識別驗證碼。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]