WEB漏洞检测与评估系统实施方案.docxVIP

WEB漏洞检测与评估系统实施方案

WEB漏洞检测与评估系统实施方案

背景

WEB网站是互联网上最为丰富的资源呈现形式，由于其访问简单、拓展性好等优点，目前在资讯、电子政务、电子商务和企业管理等诸多领域得到了广泛的应用。与此同时，WEB网站也面临着数量庞大、种类繁多的安全威胁，操作系统、通信协议、服务发布程序和编程语言等无不存在大量安全漏洞。根据国家互联网应急中心最新监测分析报告的发布，一个令人触目惊心的数据引发各方关注：“1月4日至10日，境内被篡改政府网站数量为178个，与前一周相比大幅增长409%，其占境内被篡改网站总数的比例也大幅增长为31%。”不仅政府网站，近年来各种Web网站攻击事件也是频频发生，网站SQL注入，网页被篡改、信息失窃、甚至被利用成传播木马的载体---Web安全威胁形势日益严峻。

Web网站的安全事件频频发生，究其根源，关键原因有二：一是Web网站自身存在技术上的安全漏洞和安全隐患；二是相关的防护设备和防护手段欠缺。Web网站的体系架构一般分为三层，底层是操作系统，中间层是Web服务程序、数据库服务等通用组件，上层是内容和业务相关的网页程序。这三层架构中任何一层出现了安全问题都会导致整个Web网站受到威胁，而这三层架构中任何一层都不可避免地存在安全漏洞，底层的操作系统（不管是Windows还是Linux）都不时会有黑客可以远程利用的安全漏洞被发现和公布；中间层的Web服务器（IIS或Apache等）、ASP、PHP等也常会有漏洞爆出；上层的

用户通过账户和密码登录到扫描服务器系统，进入扫描任务，输入任务名称和扫描目标主机的网址或IP，选择需要进行扫描的模块（主要包括基本信息获取、OS漏洞扫描、WEB漏洞扫描），然后点击开始扫描，这时通过http协议将新建的扫描任务提交给扫描控制中心。

扫描控制中心接收到用户提交的任务之后，开始调度扫描模块，同时监控扫描进度，用户可以通过扫描进度查询查看扫描情况。扫描模块完成任务之后，将扫描获取的信息提交给扫描控制中心，扫描控制中心将获取的信息在扫面记录查询中展示出来。在整个执行过程中，如果新建的任务中某个或多个扫描模块超出用户设定的时间，这时扫描控制中心将根据超时机制杀死超时扫描模块的进程，结束超时模块的扫描。用户在使用过程中，如果不想继续扫描下去或者想切换扫描目标，可以选择终止扫描，扫描控制中心将获取的部分信息展现出来。

扫描结束之后，用户可以通过查看扫描记录查询，查看扫描结果，同时可以选择导出扫描结果，系统将根据扫描结果生成标准word扫描结果文档，用户下载到本地可以方便查看详细信息。

产品特点

（1）功能集成化

本系统首次提出了将多种功能的多个不同扫描工具进行集成的思想。包括了基本信息扫描、操作系统指纹扫描、开放服务扫描、OS漏洞扫描、WEB漏洞扫描等扫描模块，为对被测评的网站进行安全评估提供全面信息支持。对目标系统进行全面、细致、深入的渗透测试。

（2）任务并行化

为了充分利用多核硬件系统提供的硬件支持，提高系统的运行性能，系统可以通过UI构建多任务，系统自动对任务进行排队处理。在扫描引擎底层实现上，系统使用了并发处理机制，使系统更加高效与方便。

（3）结构层次化

为了提高系统的可维护性与任务可控性，系统在构建扫描引擎时使用了分层的设计思想，整个系统分为三个层次：UI展示层、任务调度层、扫描功能模块层。这种架构可以大大提高系统的灵活性、可维护性、可扩展性以及系统稳定性。

（4）任务灵活化

引擎对构建任务具有灵活的支持能力：用户可以构建多任务，构建任务时可以选择每个任务选择执行哪些扫描功能，可以修改扫描任务的最大执行时间，可以查看任务的执行状态，甚至可以控制任务的执行，扫描引擎对这些功能的支持可以使用户随时对任务进行监测与控制。

（5）报告标准化

在对WEB网站进行漏洞测评时，都需要编写测评报告，报告需要把整个网站的所有漏洞信息和测评结果都说的清清楚楚，目前各种WEB漏洞扫描软件，包括开源的，不开源的都只能导出XML格式的报告，报告的内容多，且比较专业，如果用户想要详细的漏洞信息，就需要自己根据XML文件，手工编写测评报告，这种方式即繁琐，又低效。

Web漏洞扫描与评估系统支持标准报告的导出，系统报告以word形式提供，用户可以根据需要进行二次编辑，报告自动生成封皮、目录、统计分析表、统计分析图、漏洞排名表、以及详细的漏洞信息。

标准报告使用XML定义了文档的模板，在生成报告时，根据数据库中的扫描结果，能够自动进行统计分析，在生成具体的漏洞信息时，系统设计了URL统计分析算法和过滤合并算法，有效降低了同类漏洞的多次出现。

产品界面

新建任务