返回
WEB漏洞检测与评估系统实施方案

WEB漏洞检测与评估系统实施方案

ID:38984360

大小:339.30 KB

页数:6页

时间:2019-06-23

WEB漏洞检测与评估系统实施方案_第1页
WEB漏洞检测与评估系统实施方案_第2页
WEB漏洞检测与评估系统实施方案_第3页
WEB漏洞检测与评估系统实施方案_第4页
WEB漏洞检测与评估系统实施方案_第5页
资源描述:

《WEB漏洞检测与评估系统实施方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、WEB漏洞检测与评估系统实施方案一、背景WEB网站是互联网上最为丰富的资源呈现形式,由于其访问简单、拓展性好等优点,目前在资讯、电子政务、电子商务和企业管理等诸多领域得到了广泛的应用。与此同时,WEB网站也面临着数量庞大、种类繁多的安全威胁,操作系统、通信协议、服务发布程序和编程语言等无不存在大量安全漏洞。根据国家互联网应急中心最新监测分析报告的发布,一个令人触目惊心的数据引发各方关注:“1月4日至10日,境内被篡改政府网站数量为178个,与前一周相比大幅增长409%,其占境内被篡改网站总数的比例也大幅增长为31%。”不仅政府网站,近年来各种Web网站攻击事件也是频频发

2、生,网站SQL注入,网页被篡改、信息失窃、甚至被利用成传播木马的载体---Web安全威胁形势日益严峻。Web网站的安全事件频频发生,究其根源,关键原因有二:一是Web网站自身存在技术上的安全漏洞和安全隐患;二是相关的防护设备和防护手段欠缺。Web网站的体系架构一般分为三层,底层是操作系统,中间层是Web服务程序、数据库服务等通用组件,上层是内容和业务相关的网页程序。这三层架构中任何一层出现了安全问题都会导致整个Web网站受到威胁,而这三层架构中任何一层都不可避免地存在安全漏洞,底层的操作系统(不管是Windows还是Linux)都不时会有黑客可以远程利用的安全漏洞被发现

3、和公布;中间层的Web服务器(IIS或Apache等)、ASP、PHP等也常会有漏洞爆出;上层的网页程序有SQL注入漏洞、跨站脚本漏洞等Web相关的漏洞。另一方面,目前很多Web网站的防护设备和防护手段不够完善,虽然大部分网站都部署了防火墙,但针对Web网站漏洞的攻击都是应用层的攻击,都可以通过80端口完成,所以防火墙对这类攻击也是无能为力,另外,有些网站除了部署防火墙外还部署了IDS/IPS,但同样都存在有大量误报情况,导致检测精度有限,为此,攻击性测试成为发现和解决WEB安全问题最有效和最直接的手段。WEB漏洞检测与评估是通过模拟恶意黑客的攻击方法,来评估计算机网络

4、系统安全的一种方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。WEB漏洞检测与评估系统是作为WEB检测的专用系统,用于发现操作系统和任何网络服务,并检查这些网络服务有无漏洞。一、概述WEB漏洞检测与评估系统是集基本信息扫描、操作系统指纹扫描、开放服务扫描、OS漏洞扫描、WEB漏洞扫描于一体的专业自动化扫描系统,并通过扫描插件、知识库和检测结果的可拓展对其检测能力进行扩充,为实施攻击性测试对WEB信息系统进行全面的、深入的、彻底的风险评估和参数获取,全面获得目标系统的基本信息

5、、漏洞信息、服务信息等。二、系统部署与使用用户通过账户和密码登录到扫描服务器系统,进入扫描任务,输入任务名称和扫描目标主机的网址或IP,选择需要进行扫描的模块(主要包括基本信息获取、OS漏洞扫描、WEB漏洞扫描),然后点击开始扫描,这时通过http协议将新建的扫描任务提交给扫描控制中心。扫描控制中心接收到用户提交的任务之后,开始调度扫描模块,同时监控扫描进度,用户可以通过扫描进度查询查看扫描情况。扫描模块完成任务之后,将扫描获取的信息提交给扫描控制中心,扫描控制中心将获取的信息在扫面记录查询中展示出来。在整个执行过程中,如果新建的任务中某个或多个扫描模块超出用户设定的时

6、间,这时扫描控制中心将根据超时机制杀死超时扫描模块的进程,结束超时模块的扫描。用户在使用过程中,如果不想继续扫描下去或者想切换扫描目标,可以选择终止扫描,扫描控制中心将获取的部分信息展现出来。扫描结束之后,用户可以通过查看扫描记录查询,查看扫描结果,同时可以选择导出扫描结果,系统将根据扫描结果生成标准word扫描结果文档,用户下载到本地可以方便查看详细信息。一、产品特点(1)功能集成化本系统首次提出了将多种功能的多个不同扫描工具进行集成的思想。包括了基本信息扫描、操作系统指纹扫描、开放服务扫描、OS漏洞扫描、WEB漏洞扫描等扫描模块,为对被测评的网站进行安全评估提供全面

7、信息支持。对目标系统进行全面、细致、深入的渗透测试。(2)任务并行化为了充分利用多核硬件系统提供的硬件支持,提高系统的运行性能,系统可以通过UI构建多任务,系统自动对任务进行排队处理。在扫描引擎底层实现上,系统使用了并发处理机制,使系统更加高效与方便。(3)结构层次化为了提高系统的可维护性与任务可控性,系统在构建扫描引擎时使用了分层的设计思想,整个系统分为三个层次:UI展示层、任务调度层、扫描功能模块层。这种架构可以大大提高系统的灵活性、可维护性、可扩展性以及系统稳定性。(4)任务灵活化引擎对构建任务具有灵活的支持能力:用户可以构建多任务

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。