專利名稱:Web應(yīng)用評(píng)估方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域�����,具體而言��,涉及一種WEB應(yīng)用評(píng)估方法���。
背景才支術(shù)
互聯(lián)網(wǎng)發(fā)展到今天����,基于WEB和數(shù)據(jù)庫架構(gòu)的應(yīng)用系統(tǒng)已經(jīng)逐漸成為主流���,廣泛應(yīng)用于企業(yè)內(nèi)部和外部的業(yè)務(wù)系統(tǒng)中���。目前網(wǎng)纟各中常見的攻擊已經(jīng)由傳統(tǒng)的系統(tǒng)漏洞攻擊逐沐斤發(fā)展演變?yōu)椤反鐟?yīng)用自身弱點(diǎn)的攻擊���,其中最常見的攻擊才支術(shù)就是針對(duì)WEB應(yīng)用的SQL注入和釣魚-丈擊。
圖1示出了 IT系統(tǒng)架構(gòu)圖�。數(shù)據(jù)是整個(gè)IT系統(tǒng)的核心價(jià)值所在,應(yīng)用系統(tǒng)是數(shù)據(jù)的最直4妄�、最前沿的表現(xiàn)方式和交互平臺(tái)。數(shù)據(jù)的采集�����、獲取��、更新和加工基本都是在應(yīng)用系統(tǒng)中實(shí)現(xiàn)的�����,應(yīng)用系統(tǒng)對(duì)于IT的價(jià)值由此可見一斑��。
伴隨著各種安全規(guī)范的完善����,安全技術(shù)的發(fā)展,安全產(chǎn)品的成熟�����,新的攻擊和漏洞發(fā)掘技術(shù)也在不斷地發(fā)展和被發(fā)現(xiàn),攻擊領(lǐng)域有/人傳統(tǒng)的網(wǎng)絡(luò)和主才幾層面上升到了應(yīng)用層面的趨勢(shì)��。
應(yīng)用系統(tǒng)的弱點(diǎn)和傳統(tǒng)的網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)有著明顯的不同
1.沒有統(tǒng)一性
5操作系統(tǒng)或者網(wǎng)絡(luò)由于其提供商有限�,所以其弱點(diǎn)大部分集中在幾種類型之上, 一般情況下����,廠商都會(huì)提供統(tǒng)一的安全補(bǔ)丁或者解決方案。應(yīng)用系統(tǒng)則不然�,不同的應(yīng)用系統(tǒng)的開發(fā)人員是不一樣的,而且沒有兩個(gè)一才莫一才羊的應(yīng)用系統(tǒng)��,不同應(yīng)用系統(tǒng)中的弱點(diǎn)是沒有共性而言的����,每一個(gè)應(yīng)用系統(tǒng)都是P爭一的���、特有的����,所以里面存在弱點(diǎn)的表現(xiàn)形式也不盡相同�����。
2.處于最高層
傳統(tǒng)的安全防護(hù)方法(例如防火墻、入侵檢測(cè)等)對(duì)于應(yīng)用中弱點(diǎn)無能為力����,這是由應(yīng)用系統(tǒng)的功能屬性所決定的。應(yīng)用系統(tǒng)的弱點(diǎn)存在于OSI模型的最高層�����,而傳統(tǒng)的安全產(chǎn)品都是工作在3-4層的�,/人這一點(diǎn)來i兌,傳統(tǒng)安防產(chǎn)品對(duì)于應(yīng)用的安全問題是沒有4壬何幫助的���。
現(xiàn)有對(duì)應(yīng)用系統(tǒng)弱點(diǎn)的評(píng)估主要集中有以下幾種方法
1��、 文檔分析
評(píng)估這閱讀應(yīng)用系統(tǒng)的開發(fā)文檔�,根據(jù)其經(jīng)驗(yàn)指出可能存在的弱點(diǎn)�。這種方法的不足之處在于對(duì)評(píng)估者自身的要求很高,主觀意識(shí)和經(jīng)-驗(yàn)成為弱點(diǎn)發(fā)現(xiàn)的主要因素��;另外����,通過這種方法發(fā)現(xiàn)的弱點(diǎn)通常都是模糊的����,無法準(zhǔn)確定位弱點(diǎn)的位置����,也無法客觀地說明可能由此帶來的危害。
2�����、 滲透性測(cè)試
滲透性測(cè)試能對(duì)應(yīng)用系統(tǒng)中存在的弱點(diǎn)進(jìn)行深度發(fā)現(xiàn)�,并且能直觀地展現(xiàn)可能帶來的風(fēng)險(xiǎn)。但是由于滲透測(cè)試的目的在于發(fā)現(xiàn)系統(tǒng)中的最脆弱^各徑��,所以決定了滲透測(cè)試無法發(fā)現(xiàn)全部或者大部分的弱點(diǎn)�。滲透測(cè)試適合評(píng)價(jià)一個(gè)應(yīng)用系統(tǒng)的最高風(fēng)險(xiǎn)狀況,但是無 法提供全局的弱點(diǎn)描述和分析���。
3、代碼分析
代碼分析通過對(duì)代碼的閱讀可以纟艮具體�、詳細(xì)地發(fā)現(xiàn)里面存在 的各種安全隱患和弱點(diǎn)。但是代碼分析所花費(fèi)的時(shí)間和人力代價(jià)巨 大�����,對(duì)于大中型的系統(tǒng)來i兌,實(shí)施的可能性幾乎為零�。
在實(shí)現(xiàn)本發(fā)明過程中,發(fā)明人發(fā)現(xiàn)以上現(xiàn)有才支術(shù)的評(píng)估方法都 不適用于對(duì)IT應(yīng)用系統(tǒng)的評(píng)估�。
發(fā)明內(nèi)容
本發(fā)明旨在才是供一種WEB應(yīng)用評(píng)估方法,能夠解決現(xiàn)有4支術(shù) 中評(píng)估方法都不適用于對(duì)IT應(yīng)用系統(tǒng)的評(píng)估的問題�。
在本發(fā)明的實(shí)施例中,提供了一種WEB應(yīng)用評(píng)估方法��,包括 以下步艱《
掃描WEB應(yīng)用系統(tǒng)�,以獲取WEB應(yīng)用系統(tǒng)的弱點(diǎn); 通過弱點(diǎn)對(duì)WEB應(yīng)用系統(tǒng)的后臺(tái)數(shù)據(jù)庫進(jìn)行安全基線審計(jì)�����;
綜合掃描和審計(jì)的結(jié)果來對(duì)WEB應(yīng)用系統(tǒng)進(jìn)行滲透式測(cè)試����, 以評(píng)估WEB應(yīng)用系統(tǒng)的安全現(xiàn)狀。
因?yàn)椴捎蒙鲜黾夹g(shù)方案�,所以克服了現(xiàn)有技術(shù)中評(píng)估方法都不 適用于對(duì)IT應(yīng)用系統(tǒng)的評(píng)估的問題,進(jìn)而實(shí)現(xiàn)了如下技術(shù)效果
1. ^f青確掃描的功能
7可自動(dòng)遍歷整個(gè)WEB架構(gòu)����,實(shí)現(xiàn)深度掃描功能;可自動(dòng)分沖斤 應(yīng)用系統(tǒng)的代碼�����,并驗(yàn)證發(fā)現(xiàn)的弱點(diǎn);可針對(duì)不同數(shù)據(jù)庫的特點(diǎn)嘗 試進(jìn)行數(shù)據(jù)獲取��,證明漏洞的存在���;掃描結(jié)果準(zhǔn)確�����,誤報(bào)和漏報(bào)率 低��;
2. 強(qiáng)大的審計(jì)功能
可基于檢測(cè)出的弱點(diǎn)對(duì)數(shù)據(jù)庫進(jìn)行基線安全配置審計(jì)�����,對(duì)數(shù)據(jù) 字典進(jìn)行獲取�,對(duì)用戶帳號(hào)進(jìn)行強(qiáng)度權(quán)限和強(qiáng)度分析等�����;
3. 靈活的滲透測(cè)試
提供高效���、可靠的滲透測(cè)試框架���,可定制滲透測(cè)試方法,在框 架的支持下進(jìn)行^r測(cè)�。
此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申 請(qǐng)的一部分�,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并 不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定�。在附圖中
圖1示出了 IT系統(tǒng)架構(gòu)圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的WEB應(yīng)用評(píng)估方法的流 程圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的WEB應(yīng)用評(píng)估裝置(簡 稱為WebRavor )的體系結(jié)構(gòu);
圖4示出了沖艮據(jù)本發(fā)明一個(gè)實(shí)施例的WebRavor的掃描過程����, 以才金測(cè)SQL注入為例深度4全測(cè)的流程;圖5示出了圖4的WebRavor獲取用戶表信息的屏幕截圖6示出了圖4的WebRavor檢測(cè)到的數(shù)據(jù)庫信息的屏幕截圖7示出了圖4的WebRavor獲取用戶表的內(nèi)容截圖8示出了圖4的WebRavor提供的審計(jì)策略截圖9示出了圖4的WebRavor的滲透測(cè)試1的屏幕截圖�。
圖10示出了圖4的WebRavor的滲透測(cè)試2的屏幕截圖11示出了圖4的WebRavor的才艮告示例的屏幕截圖。
具體實(shí)施例方式
下面將參考附圖并結(jié)合實(shí)施例���,來詳細(xì)"i兌明本發(fā)明����。
圖2示出了4艮據(jù)本發(fā)明一個(gè)實(shí)施例的WEB應(yīng)用評(píng)估方法的流 禾呈圖����,包4舌以下步-驟
步驟S10,掃描WEB應(yīng)用系統(tǒng)����,以獲取WEB應(yīng)用系統(tǒng)的弱點(diǎn)�;
步驟S20,通過弱點(diǎn)對(duì)WEB應(yīng)用系統(tǒng)的后臺(tái)����;
步驟S30,綜合掃描和審計(jì)的結(jié)果來對(duì)WEB應(yīng)用系統(tǒng)進(jìn)行滲 透式測(cè)試����,以評(píng)估WEB應(yīng)用系統(tǒng)的安全現(xiàn)狀。
該WEB應(yīng)用評(píng)估方法通過首先針對(duì)WEB應(yīng)用系統(tǒng)進(jìn)行掃描����, 分析弱點(diǎn),從而獲取了證據(jù)����,然后可以針對(duì)獲取的證據(jù)執(zhí)行數(shù)據(jù)庫 安全基線審計(jì)以及滲透式測(cè)試,從而得到安全性能評(píng)估����。這樣,就避免了現(xiàn)有才支術(shù)中因?yàn)閃EB應(yīng)用系統(tǒng)沒有統(tǒng)一性或者處于最高 層�,從而無法執(zhí)行數(shù)據(jù)庫安全基線審計(jì)以及滲透式測(cè)試的缺陷。
可選的,在上述的WEB應(yīng)用��;平估方法中���,掃描WEB應(yīng)用系 統(tǒng)具體包4舌
對(duì)WEB應(yīng)用的網(wǎng)頁進(jìn)4亍語法分析;
才艮據(jù)語法分析���,爬行到網(wǎng)頁里面的鏈接���;
對(duì)鏈4妄的網(wǎng)頁4企測(cè)安全弱點(diǎn)。
為了避免鏈接泛濫���,該實(shí)施例只針對(duì)當(dāng)前域名下的鏈接進(jìn)行檢 觀'J��。
比》口一個(gè)網(wǎng)i止是www.abc,com�����, 只會(huì)3于www.abc.com/001 .htm, www.abc.com/08021/002.asp id=l 等等�����。
或者 bbs.abc.com , mail.abc.com等等這樣的鏈接進(jìn)行檢測(cè)���,不會(huì)去才企測(cè)其他的域名���。 采用爬4亍方法,就可以遍歷WEB應(yīng)用系統(tǒng)的所有網(wǎng)頁����;該方法簡 單易行。
可選的��,在上述的WEB應(yīng)用評(píng)估方法中�����,掃描WEB應(yīng)用系 統(tǒng)還包括將網(wǎng)頁基于SSL傳輸?shù)膬?nèi)容轉(zhuǎn)換為明文�����;對(duì)明文4企測(cè)安 全弱點(diǎn)���。例如使用SSL轉(zhuǎn)發(fā)功能�����,截獲所有SSL加密信息�����,并將 其轉(zhuǎn)換為明文��,并自動(dòng)檢測(cè)多種安全弱點(diǎn)����,這可對(duì)網(wǎng)銀等基于 HTTPS協(xié)議的WEB應(yīng)用進(jìn)行安全評(píng)估��。這尤其適用于電子交易等 領(lǐng)域��。HTTPS協(xié)議使用SSL在發(fā)送方把原始數(shù)據(jù)進(jìn)行加密��,然后 在接受方進(jìn)行解密��,加密和解密需要發(fā)送方和接受方通過交換共知 的密鑰來實(shí)現(xiàn)��,因此���,所傳送的數(shù)據(jù)不容易被網(wǎng)絡(luò)黑客截獲和解密��。
例力o, ^吏用上述實(shí)施例的WEB應(yīng)用i平估方法所開發(fā)的專欠4牛 WebRavor�,可以通過自動(dòng)獲取或者手動(dòng)填入證書的CN號(hào)���,讓軟件能夠通過證書來解密SSL加密的數(shù)據(jù)�����。這里�����,WebRavor做了 SSL 轉(zhuǎn)發(fā)中間人�,負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行加密和解密,以實(shí)現(xiàn)SSL的轉(zhuǎn)才灸�。
可選的,在上述的WEB應(yīng)用評(píng)估方法中�,掃描WEB應(yīng)用系 統(tǒng)還包括以下至少之一作為HTTP代理服務(wù)器,在提供WEB應(yīng) 用的網(wǎng)頁的同時(shí)���,4企測(cè)網(wǎng)頁的安全弱點(diǎn)�;在C/S結(jié)構(gòu)的HTTP或者 HTTPS協(xié)議的應(yīng)用系統(tǒng)中啟動(dòng)監(jiān)聽功能�,針對(duì)監(jiān)聽到的所有HTTP 或者HTTPS請(qǐng)求,檢測(cè)安全弱點(diǎn)����。
可選的,在上述的WEB應(yīng)用評(píng)估方法中�����,4企測(cè)安全弱點(diǎn)具體 包括從策略庫中提取策略;根據(jù)提取的策略進(jìn)行安全弱點(diǎn)的檢測(cè)���。 這有利于通過策略庫隨時(shí)調(diào)整策略���。針對(duì)不同的弱點(diǎn)有不同的策 略,主要有注入和^夸站����。比4o判斷注入時(shí)可以在url后面力o and 1 = 1 和and 1=2根據(jù)頁面的返回效果判斷�。另外,在檢測(cè)到注入后���,還 可以判斷后臺(tái)數(shù)據(jù)庫的類型����,在這里面主要是根據(jù)數(shù)據(jù)庫不同的特 征來進(jìn)行甄別���。
可選的�,在上述的WEB應(yīng)用評(píng)估方法中�����,還包括以下至少之
提供用戶編輯接口,通過用戶編輯接口接收用戶的操作���,以對(duì) 策略庫增加�����、刪除�、編輯策略�����、或者修改報(bào)告模板���,使其功能擴(kuò)展
變得非常簡單����;
提供被動(dòng)模式接口�,以接收用戶的點(diǎn)擊,以此激活對(duì)所點(diǎn)擊鏈 4妄的頁面進(jìn)行弱點(diǎn)一全測(cè)�;
提供升級(jí)接口,以接收服務(wù)器的升級(jí)包�,并使用升級(jí)包對(duì)策略 庫增加�����、刪除��、或者編輯策略���,用于進(jìn)行復(fù)雜應(yīng)用的^^測(cè)。
ii這可以實(shí)現(xiàn)對(duì)策略庫的擴(kuò)充���,從而動(dòng)態(tài)適應(yīng)各種變化��,不4又可 以全自動(dòng)地進(jìn)行主動(dòng)模式掃描���,還可以在用戶的干預(yù)下進(jìn)行被動(dòng)才莫 式的掃描�,以1"更對(duì) 一 些復(fù)雜表才各和應(yīng)用進(jìn)行全面^全測(cè)。
可選的��,在上述的WEB應(yīng)用評(píng)估方法中�����,還包括根據(jù)數(shù)字 或者字符的走向趨勢(shì)使用采樣或者回溯等算法����,以對(duì)圖形^r證碼進(jìn) 行識(shí)別�。每個(gè)lt字和字母無i侖怎么變形����,實(shí)際上他們整體形狀是有 規(guī)律可循的,就是根據(jù)這個(gè)我們對(duì)其特征進(jìn)行提取����,來對(duì)圖形驗(yàn)證 碼進(jìn)行判斷和識(shí)別。圖形-瞼證碼的引入是為了防止用工具大量4是交 數(shù)據(jù)的�����。如果計(jì)算出數(shù)字或者字符的規(guī)律���,那么就可以對(duì)圖形驗(yàn)證 碼進(jìn)^f于預(yù)測(cè)或者^皮解�����,乂人而寫成工具大量4是交lt據(jù)����。常見的如i侖壇 灌水,快速注冊(cè)垃圾賬號(hào)等��。
可選的�,在上述的WEB應(yīng)用"i平估方法中,步-驟S20具體包i舌 當(dāng)發(fā)現(xiàn)了存在弱點(diǎn)(比如SQL注入漏洞����,)的代碼之后,沖艮據(jù)不同 數(shù)據(jù)庫的特點(diǎn)嘗試通過弱點(diǎn)對(duì)后臺(tái)數(shù)據(jù)庫進(jìn)行數(shù)據(jù)獲取���,以用事實(shí) 證明漏洞的存在�。用事實(shí)證明漏洞的存在�,從而掃描結(jié)果準(zhǔn)確,誤 報(bào)和漏報(bào)率低��。
可選的����,在上述的WEB應(yīng)用i平估方法中�����,后臺(tái)凝:」梧庫包^"以 下至少之一 oracle �、 DB2 、 Sybase ���、 INFORMIX ��、 MicrosoftSQLServer����、 Access 、 MySQL ����、 PostgreSQL、 Firebird����、 Ingress 和InterDB。這樣做能夠支持絕大多數(shù)的主流數(shù)據(jù)庫���,具有普適的 優(yōu)點(diǎn)�。
可選的���,在上述的WEB應(yīng)用評(píng)估方法中��,數(shù)據(jù)獲取包括以下 至少之一
獲取凄t據(jù)庫用戶帳號(hào)�;獲:f又?jǐn)?shù)據(jù)庫用戶密碼; 獲耳又?jǐn)?shù)據(jù)庫權(quán)限結(jié)構(gòu)���; 獲耳又?jǐn)?shù)據(jù)版本詳細(xì)信息�����; 獲耳又?jǐn)?shù)據(jù)庫存儲(chǔ)過程�����; 獲取lt據(jù)庫安全相關(guān)的配置選項(xiàng)�����;
獲耳又?jǐn)?shù)據(jù)庫用戶密碼HASH,并嘗試是否〗吏用弱口令或者默認(rèn) 密碼����。
圖3示出了4艮據(jù)本發(fā)明一個(gè)實(shí)施例的WEB應(yīng)用評(píng)估裝置(簡 稱為WebRavor)的體系結(jié)構(gòu)�����,其包括
掃描模塊��,提供對(duì)應(yīng)用程序弱點(diǎn)的掃描���;
審計(jì)模塊���,透過弱點(diǎn)對(duì)后臺(tái)數(shù)據(jù)庫進(jìn)行安全基線審計(jì);
滲透測(cè)試沖莫塊��,綜合掃描和審計(jì)的結(jié)果�����,自動(dòng)化地進(jìn)行滲透性 測(cè)試�����;
策略庫��,應(yīng)用弱點(diǎn)的一企測(cè)知識(shí)庫�;
Socket通訊層,提供對(duì)HTTP/HTTPS/PCKS#ll/CryptAPI的支
持����;
用戶編輯4妄口,通過用戶4妻口4妄收用戶的才喿作���,以對(duì)策略庫增 加�、刪除、或者編輯策略���,使其功能擴(kuò)展變得非常簡單�;被動(dòng)模式接口����,以接收服務(wù)器的升級(jí)包,并使用升級(jí)包對(duì)策略 庫增加���、刪除��、或者編輯策略�����,用于進(jìn)4于復(fù)雜應(yīng)用的纟全測(cè)����。
可選的���,WebRavor采用框架設(shè)計(jì)結(jié)構(gòu)�,4企測(cè)內(nèi)容采用類XML 的描述語言描述和配置�����,從而無需改動(dòng)程序代碼可實(shí)現(xiàn)對(duì)WebRavor 的功能的無限擴(kuò)展���。
相關(guān)的工具只是4企測(cè)到當(dāng)前有可能存在SQL注入的漏洞�����,到 這一步就停止進(jìn)一步判斷了 ����。圖4示出了才艮據(jù)本發(fā)明一個(gè)實(shí)施例的 WebRavor的掃描過程�����,以;險(xiǎn)測(cè)SQL注入為例深度4企測(cè)的流程����,包 括
WEBRAVOR在發(fā)現(xiàn)了漏洞后,會(huì)針對(duì)每一個(gè)漏洞來進(jìn)行詳細(xì) 的-驗(yàn)證���,它會(huì)對(duì)每一個(gè)潛在漏洞再次發(fā)送至少30個(gè)的數(shù)據(jù)包來甄 別數(shù)據(jù)庫類型����。如果獲取到了數(shù)據(jù)庫名和數(shù)據(jù)庫連接用戶名稱,表 明這個(gè)漏洞是確實(shí)存在的���,下一步就可以獲耳又整個(gè)凄t據(jù)庫的表結(jié) 構(gòu)��,甚至開始審計(jì)和進(jìn)行滲透測(cè)試等操作�。這種結(jié)果具有不可4氐賴 性��,而其報(bào)告也是在這些詳細(xì)驗(yàn)證的結(jié)果上得來的��。所以可以說�����, 其結(jié)果是準(zhǔn)確無誤的��。
圖5示出了圖4的WebRavor獲取用戶表信息的屏幕截圖��;圖 6示出了圖4的WebRavor檢測(cè)到的數(shù)據(jù)庫信息的屏幕截圖�����;圖7 示出了圖4的WebRavor獲取用戶表的內(nèi)容截圖�。
用戶可以根據(jù)需要自行訂制或者開發(fā)新的審計(jì)策略,無須對(duì)代 碼進(jìn)4亍任何改動(dòng)���。圖8示出了圖4的WebRavor提供的審計(jì)策略截圖���。
WebRavor還^是供了一個(gè)高效����、可靠的滲透測(cè)試框架��,可以才艮 據(jù)需要自行定制滲透測(cè)試方法�,在框架的支持下進(jìn)行檢測(cè)����。作為常見的實(shí)例,目前纟是供了一些常見的測(cè)纟式手4殳和0-day �。 包括
.HTMLDB;
.權(quán)限提升;
.執(zhí)行系統(tǒng)命令���;
.更新數(shù)據(jù)庫等�。
圖9示出了圖4的WebRavor的滲透測(cè)試1的屏幕截圖�����。
圖10示出了圖4的WebRavor的滲透測(cè)試2的屏幕截圖�����。
可選的,WebRavor提供強(qiáng)大的報(bào)告支持���,報(bào)告的內(nèi)容和格式 都可以自4亍進(jìn)4亍定義���,以適應(yīng)不同的受眾。,人全面風(fēng)險(xiǎn)和克述和具體 的技術(shù)細(xì)節(jié)都可以進(jìn)行選擇����。
可選的,WebRavor的報(bào)告模板可以采用可視化工具進(jìn)行自行 i殳計(jì)和編輯��,可以滿足用戶的不同需要����。
可選的,提供XML和CSV兩種才各式的導(dǎo)出�,大部分評(píng)估數(shù)據(jù) 都可以單獨(dú)導(dǎo)出,為其他第三方系統(tǒng)*提供#1據(jù)支持����。
圖11示出了圖4的WebRavor的才艮告示例的屏幕截圖。
基于WebRavorTM,還可以^艮容易i也對(duì)應(yīng)用系統(tǒng)進(jìn)4亍人工庫it助 分析,對(duì)應(yīng)用系統(tǒng)進(jìn)行全面分析��,包括但不限于
,凄t字驗(yàn)i正碼強(qiáng)度分析���;
15.HTTPHajack,截獲HTTP的傳輸�,對(duì)里面的內(nèi)容進(jìn)行詳細(xì)描 述和分析����;
.Workshop,提供一個(gè)可視化的應(yīng)用調(diào)適平臺(tái),對(duì)復(fù)雜應(yīng)用的 測(cè)試可以4故所改即所見�;
.密碼強(qiáng)度測(cè)試對(duì)某些類型的數(shù)據(jù)密碼提供強(qiáng)度檢測(cè);
.GoogleHacking,嘗i式l吏用Google只于應(yīng)用系統(tǒng)進(jìn)4亍�����,敏感'hi文 件發(fā)現(xiàn)����;
.惡意網(wǎng)頁4企測(cè)��;
.CGI腳本掃描��,提供超過6000條規(guī)則的常見CGI弱點(diǎn)》見則����; .報(bào)告模板����;
.有英語和中文兩種界面�����。
上述實(shí)施例的WEB應(yīng)用i平估方法實(shí)3見了
.準(zhǔn)確的弱點(diǎn)掃描��,可以直觀提供證據(jù)���,對(duì)安全風(fēng)險(xiǎn)進(jìn)行客觀 評(píng)價(jià)����;
.支持復(fù)雜應(yīng)用的全面4企測(cè)�,例如ERP系統(tǒng);
.對(duì)SSL的全面支持��,包括使用證書的系統(tǒng)�;
,策略開》文,用戶可以4壬意增加��、^修改3見有的方法����;
,可視化的報(bào)告模板設(shè)計(jì)�,可以自行設(shè)計(jì)報(bào)告風(fēng)格���;
16.具有自動(dòng)和半自動(dòng)兩種工作才莫式����,可以對(duì)深層次的問題進(jìn)4亍
分析���,例如會(huì)話欺騙等�����。
從以上的描述中����,可以看出���,本發(fā)明上述的實(shí)施例實(shí)現(xiàn)了如下 技術(shù)效果
1. 4青確掃描的功能
可自動(dòng)遍歷整個(gè)WEB架構(gòu),實(shí)J見深度掃4苗功能����;可自動(dòng)分卄斤 應(yīng)用系統(tǒng)的代碼,并驗(yàn)證發(fā)現(xiàn)的弱點(diǎn);可針對(duì)不同數(shù)據(jù)庫的特點(diǎn)嘗 試進(jìn)行數(shù)據(jù)獲取����,證明漏洞的存在。掃描結(jié)果準(zhǔn)確��,誤報(bào)和漏報(bào)率 低�。
2. 強(qiáng)大的審計(jì)功能
可基于檢測(cè)出的弱點(diǎn)對(duì)數(shù)據(jù)庫進(jìn)4于基線安全配置審計(jì),對(duì)數(shù)據(jù) 字典進(jìn)行獲取�����,對(duì)用戶帳號(hào)進(jìn)行強(qiáng)度權(quán)限和強(qiáng)度分析等��。
3. 靈活的滲透測(cè)試
提供高效�、可靠的滲透測(cè)試框架,可定制滲透測(cè)試方法����,在框 架的支持下進(jìn)行4企測(cè)。
顯然���,本領(lǐng)域的技術(shù)人員應(yīng)該明白����,上述的本發(fā)明的各模塊或 各步驟可以用通用的計(jì)算裝置來實(shí)現(xiàn),它們可以集中在單個(gè)的計(jì)算 裝置上�����,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上��,可選地���,它們 可以用計(jì)算裝置可沖丸^于的程序代碼來實(shí)現(xiàn)���,乂人而可以將它們存^f諸在
存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行,或者將它們分別制作成各個(gè)集成電 路模塊����,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊 來實(shí)現(xiàn)。這樣����,本發(fā)明不限制于任何特定的-更件和軟件結(jié)合。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已���,并不用于限制本發(fā) 明,對(duì)于本領(lǐng)域的技術(shù)人員來說���,本發(fā)明可以有各種更改和變化����。 凡在本發(fā)明的精神和原則之內(nèi),所作的任何》務(wù)改���、等同替換�、改進(jìn) 等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�����。
18
權(quán)利要求
1. 一種WEB應(yīng)用評(píng)估方法����,其特征在于,包括以下步驟掃描WEB應(yīng)用系統(tǒng)���,以獲取所述WEB應(yīng)用系統(tǒng)的弱點(diǎn)�����;通過所述弱點(diǎn)對(duì)所述WEB應(yīng)用系統(tǒng)的后臺(tái)數(shù)據(jù)庫進(jìn)行安全基線審計(jì)�;綜合所述掃描和所述審計(jì)的結(jié)果來對(duì)所述WEB應(yīng)用系統(tǒng)進(jìn)行滲透式測(cè)試,以評(píng)估WEB應(yīng)用系統(tǒng)的安全現(xiàn)狀��。
2. 根據(jù)權(quán)利要求1所述的WEB應(yīng)用評(píng)估方法���,其特征在于����,掃 描WEB應(yīng)用系統(tǒng)具體包括對(duì)所述WEB應(yīng)用的網(wǎng)頁進(jìn)4亍語法分析����;沖艮據(jù)所述語法分析,爬4亍到所述網(wǎng)頁里面的當(dāng)前域名下 的鏈接����;對(duì)所述《連4妄的網(wǎng)頁沖全測(cè)安全弱點(diǎn)。
3. 根據(jù)權(quán)利要求2所述的WEB應(yīng)用評(píng)估方法��,其特征在于��,掃 描WEB應(yīng)用系統(tǒng)還包括將所述網(wǎng)頁基于SSL傳輸?shù)膬?nèi)容轉(zhuǎn)換為明文����;對(duì)所述明文^r測(cè)安全弱點(diǎn)。
4. 根據(jù)權(quán)利要求2所述的WEB應(yīng)用評(píng)估方法,其特征在于�,掃 描WEB應(yīng)用系統(tǒng)還包4舌以下至少之一作為HTTP代理月良務(wù)器��,在4是供所述WEB應(yīng)用的網(wǎng)頁的 同時(shí)�,4企測(cè)所述網(wǎng)頁的安全弱點(diǎn);在C/S結(jié)構(gòu)的HTTP或者HTTPS協(xié)i義的應(yīng)用系統(tǒng)中啟動(dòng) 監(jiān)聽功能����,針對(duì)監(jiān)聽到的所有HTTP或者HTTPS請(qǐng)求,^r測(cè) 安全弱點(diǎn)��。
5. 根據(jù)權(quán)利要求2-4任一項(xiàng)所述的WEB應(yīng)用評(píng)估方法�,其特征 在于,4企測(cè)安全弱點(diǎn)具體包才舌乂人策略庫中才是耳又策略���;根據(jù)提取的策略進(jìn)行安全弱點(diǎn)的檢測(cè)���。
6. 才艮據(jù)權(quán)利要求5所述的WEB應(yīng)用評(píng)估方法,其特征在于�,還 包4舌以下至少之一"t是供用戶編輯-接口,通過所述用戶編輯4妄口接收用戶的 操作���,以對(duì)所述策略庫增加���、刪除����、編輯策略�、或者修改報(bào)告 模板;才是供^皮動(dòng)才莫式4妾口 ���,以4妄收用戶的點(diǎn)擊���,以此激活對(duì)所 點(diǎn)擊鏈接的頁面進(jìn)行弱點(diǎn)檢測(cè)��;提供升級(jí)接口����,以*接收服務(wù)器的升級(jí)包��,并〗吏用所述升 級(jí)包對(duì)所述策略庫增加�����、刪除�、或者編輯策略。
7. 根據(jù)權(quán)利要求5所述的WEB應(yīng)用評(píng)估方法�����,其特征在于,還 包括以對(duì)圖形-驗(yàn)證碼進(jìn)行識(shí)別��。
8. 根據(jù)權(quán)利要求1所述的WEB應(yīng)用評(píng)估方法�,其特征在于���,通過所述弱點(diǎn)對(duì)所述WEB應(yīng)用系統(tǒng)的后臺(tái)凄t據(jù)庫進(jìn)行安全基線 審計(jì)具體包括當(dāng)發(fā)現(xiàn)了存在所述弱點(diǎn)的代碼之后��,根據(jù)不同數(shù)據(jù)庫的 特點(diǎn)嘗試通過所述弱點(diǎn)對(duì)所述后臺(tái)數(shù)據(jù)庫進(jìn)行數(shù)據(jù)獲取����,以用 事實(shí)"i正明漏洞的存在��。
9. 根據(jù)權(quán)利要求8所述的WEB應(yīng)用評(píng)估方法��,其特征在于�����,所 述后臺(tái)數(shù)據(jù)庫包括以下至少之一oracle ����、 DB2、 Sybase 、 INFORMIX ���、 MicrosoftSQLServer�����、 Access ����、 MySQL ���、 PostgreSQL�、 Firebird �����、 Ingress和InterDB����。
10. 根據(jù)權(quán)利要求8所述的WEB應(yīng)用評(píng)估方法,其特征在于��,所 述數(shù)據(jù)獲取包括以下至少之一 獲取數(shù)據(jù)庫用戶帳號(hào)�����;獲取lt據(jù)庫用戶密碼;獲耳又?jǐn)?shù)據(jù)庫權(quán)限結(jié)構(gòu)���;獲耳又?jǐn)?shù)據(jù)版本詳細(xì)信息����;獲取數(shù)據(jù)庫存儲(chǔ)過程��;獲取數(shù)據(jù)庫安全相關(guān)的配置選項(xiàng)��;獲取數(shù)據(jù)庫用戶密碼HASH,并嘗試是否使用弱口令或 者,默i人密^馬���。
全文摘要
本發(fā)明提供了一種WEB應(yīng)用評(píng)估方法,包括以下步驟掃描WEB應(yīng)用系統(tǒng)�,以獲取WEB應(yīng)用系統(tǒng)的弱點(diǎn);通過弱點(diǎn)對(duì)WEB應(yīng)用系統(tǒng)的后臺(tái)數(shù)據(jù)庫進(jìn)行安全基線審計(jì)�����;綜合掃描和審計(jì)的結(jié)果來對(duì)WEB應(yīng)用系統(tǒng)進(jìn)行滲透式測(cè)試����,以評(píng)估WEB應(yīng)用系統(tǒng)的安全現(xiàn)狀���。本發(fā)明的WEB應(yīng)用評(píng)估方法實(shí)現(xiàn)了掃描精確、審計(jì)功能強(qiáng)大和滲透測(cè)試靈活的技術(shù)效果�。
文檔編號(hào)H04L9/00GK101483514SQ20091007854
公開日2009年7月15日 申請(qǐng)日期2009年2月25日 優(yōu)先權(quán)日2009年2月25日
發(fā)明者鐘仲剛 申請(qǐng)人:北京安域領(lǐng)創(chuàng)科技有限公司