◆張偉

（濱州市醫(yī)療保險事業(yè)中心 山東 256600）

近幾年，計算機(jī)在諸多領(lǐng)域得到了廣泛應(yīng)用，在網(wǎng)絡(luò)規(guī)模持續(xù)擴(kuò)大的背景下，安全事故發(fā)生頻率也較之前有所增加，一旦網(wǎng)絡(luò)自帶安全系統(tǒng)被不法分子突破，不僅會導(dǎo)致服務(wù)器被病毒入侵，還會使網(wǎng)絡(luò)資源遭受到難以補(bǔ)救的毀滅性打擊，由此可見，要想使計算機(jī)優(yōu)勢得到更充分的發(fā)揮，關(guān)鍵是要對安全風(fēng)險進(jìn)行科學(xué)掃描與評估。而漏洞掃描的關(guān)鍵是以漏洞數(shù)據(jù)庫為基礎(chǔ)，充分利用掃描技術(shù)對系統(tǒng)進(jìn)行全面檢測，確保潛在漏洞可被及時發(fā)現(xiàn)并得到處理，通過弱化系統(tǒng)所具有安全脆弱性的方式，為使用者提供理想的網(wǎng)絡(luò)環(huán)境。

1 研究背景

1.1 什么是漏洞掃描

Web漏洞是指系統(tǒng)、軟件協(xié)議或硬件實(shí)體所應(yīng)用安全策略的弱點(diǎn)，一旦存在Web漏洞，不法分子便能突破系統(tǒng)防護(hù)對其進(jìn)行訪問或破壞，由此來獲取自身所需信息[1]?，F(xiàn)有技術(shù)并不能杜絕漏洞出現(xiàn)，要想最大程度弱化Web漏洞所造成影響，實(shí)證有效的方法便是全面檢查計算機(jī)系統(tǒng)，確保潛在漏洞可盡快得到處理。在此背景下，漏洞掃描技術(shù)應(yīng)運(yùn)而生，該技術(shù)可以簡單地理解為以Web為載體，對主機(jī)、目標(biāo)網(wǎng)絡(luò)所具有弱點(diǎn)及安全性進(jìn)行全面檢測的技術(shù)，具體檢測原理如下：以利用文件、腳本模擬安全審計與攻擊實(shí)驗(yàn)為前提，在深入分析模擬結(jié)果的基礎(chǔ)上，通過掃描漏洞的方式明確服務(wù)器各端口所對應(yīng)服務(wù)類型及分配情況，同時明確各版本軟件和服務(wù)所存在安全漏洞。

1.2 掃描Web漏洞的意義

基于訪問控制視角進(jìn)行分析可知，若安全策略、系統(tǒng)操作存在沖突，則有較大概率出現(xiàn)Web漏洞，而從技術(shù)的角度來看，導(dǎo)致Web較易被外界所攻擊的原因，主要是網(wǎng)絡(luò)協(xié)議、軟件配置不對等。漏洞產(chǎn)生的源頭并不固定，既有可能是系統(tǒng)、應(yīng)用軟件存在缺陷，又有可能是編碼遺留所造成的錯誤，還有可能是業(yè)務(wù)處理流程存在邏輯缺陷或是設(shè)計缺陷。

Web漏洞的影響范圍極廣，既包括系統(tǒng)本身，系統(tǒng)內(nèi)部所安裝防火墻、支撐組件與路由設(shè)備，同時還包括軟硬件設(shè)備?？紤]到系統(tǒng)需要借助信息載體完成交互操作，完美的主機(jī)并不存在，換言之，在不同種設(shè)備間、相同設(shè)備的不同版本間，均有相應(yīng)的漏洞風(fēng)險存在，通過全面掃描的方式，使?jié)撛诼┒幢患皶r發(fā)現(xiàn)并得到處理，其現(xiàn)實(shí)意義有目共睹[2]。

1.3 研發(fā)全新掃描技術(shù)的必要性

Web漏洞庫是確保漏洞掃描相關(guān)操作得以有序開展的前提，而確認(rèn)系統(tǒng)漏洞的操作，通常需要依托系統(tǒng)所提供規(guī)則庫才能取得應(yīng)有效果。由系統(tǒng)所提供規(guī)則庫往往存在以下局限：其一，若規(guī)則庫所采取設(shè)計方案存在漏洞，則無法保證預(yù)報結(jié)果準(zhǔn)確。其二，規(guī)則庫通常以現(xiàn)有安全漏洞為依據(jù)，對相關(guān)操作進(jìn)行規(guī)劃，但網(wǎng)絡(luò)系統(tǒng)所遭受安全威脅多源于未知漏洞，只有及時更新規(guī)則庫內(nèi)容，才能使預(yù)報準(zhǔn)確度達(dá)到理想水平。其三，漏洞庫所能覆蓋范圍有限，無法保證各類系統(tǒng)漏洞均有觸發(fā)條件對應(yīng)，不觸發(fā)規(guī)則的漏洞自然無法得到及時且準(zhǔn)確的檢測。由此可見，通過定期擴(kuò)充并修正規(guī)則庫的方式，確保漏洞庫得到完善極為重要，未來相方面關(guān)工作將是業(yè)內(nèi)人士研究的重點(diǎn)。

2 Web漏洞的掃描原理

2.1 掃描方式

2.1.1 被動掃描

該策略需要配合中間代理或其他方式，才能對漏洞進(jìn)行準(zhǔn)確掃描。實(shí)踐所積累經(jīng)驗(yàn)表明，被動掃描對主機(jī)具有極強(qiáng)的依賴性，既能夠被用來對系統(tǒng)所存在弱口令和非法設(shè)置進(jìn)行掃描，又可以保證不符合安全規(guī)則的軟硬件設(shè)備及服務(wù)得到處理，為系統(tǒng)打造安全且理想的運(yùn)行環(huán)境，使其價值得到充分實(shí)現(xiàn)。

2.1.2 主動掃描

主動策略強(qiáng)調(diào)直接發(fā)出掃描請求并完成掃描工作。該策略通常以智能網(wǎng)絡(luò)為載體，通過借助現(xiàn)有腳本文件對系統(tǒng)攻擊進(jìn)行模擬，同時對系統(tǒng)映射進(jìn)行序列化處理的方式，確保潛在漏洞能夠被及時發(fā)現(xiàn)并得到有效處理。

2.2 探測分析

2.2.1 檢測主機(jī)

該技術(shù)強(qiáng)調(diào)以被動掃描策略為基礎(chǔ)，對系統(tǒng)潛在漏洞進(jìn)行全面檢測。該技術(shù)的優(yōu)點(diǎn)在于能夠深入系統(tǒng)內(nèi)核，針對操作系統(tǒng)所存在修復(fù)及更新補(bǔ)丁、文件基本屬性展開檢測。加之該技術(shù)新增了口令解密，可使簡單弱口令得到有效篩除，確保系統(tǒng)所存在問題能夠得到準(zhǔn)確且快速的定位，以免Web漏洞造成更嚴(yán)重的后果。當(dāng)然，該技術(shù)也有較為明顯的不足存在，具體表現(xiàn)為日常應(yīng)用需要投入大量精力與時間進(jìn)行維護(hù)，同時技術(shù)優(yōu)勢往往難以得到充分發(fā)揮，導(dǎo)致上述問題出現(xiàn)的原因，主要是對相關(guān)技術(shù)進(jìn)行設(shè)計并應(yīng)用，通常需要對軟硬件條件加以考慮，且技術(shù)應(yīng)用效果極易被外界因素所影響[3]。

2.2.2 檢測網(wǎng)絡(luò)

基于主動掃描策略對系統(tǒng)脆弱性進(jìn)行檢驗(yàn)，根據(jù)檢驗(yàn)結(jié)果推測出系統(tǒng)對外界攻擊所具有的抵抗能力。借助腳本文件對系統(tǒng)可能遭遇的攻擊行為進(jìn)行模擬，在深入分析模擬所得結(jié)果的基礎(chǔ)上，完成對已知漏洞進(jìn)行檢驗(yàn)的工作。

2.2.3 檢測應(yīng)用

相關(guān)技術(shù)的掃描原理如下：以被動掃描策略為依托，通過對應(yīng)用軟件包當(dāng)前設(shè)置、軟件包內(nèi)部所存儲信息進(jìn)行檢查的方式，達(dá)到發(fā)現(xiàn)潛在安全漏洞的目的。

2.2.4 檢測目標(biāo)漏洞

該技術(shù)同樣屬于被動掃描技術(shù)，通常需要在相關(guān)策略的驅(qū)使下，才能完成對文件參數(shù)、系統(tǒng)內(nèi)部屬性進(jìn)行檢測的工作。在實(shí)際操作中，有關(guān)人員需借助消息文摘算法對文件實(shí)際加密數(shù)進(jìn)行校驗(yàn)，該算法的特點(diǎn)是可實(shí)現(xiàn)閉環(huán)運(yùn)行，即：在運(yùn)行期間重復(fù)進(jìn)行業(yè)務(wù)處理——目標(biāo)設(shè)定——目標(biāo)屬性設(shè)定等操作，獲得閉環(huán)內(nèi)所對應(yīng)標(biāo)志值后，通過對比初始標(biāo)志值、閉環(huán)內(nèi)所對應(yīng)標(biāo)志值的方式，得出最終結(jié)論。若二者數(shù)值不匹配，則表明系統(tǒng)有漏洞存在，此時，便需要盡快通知管理人員及使用者，以免造成更嚴(yán)重的后果。

3 掃描技術(shù)的研發(fā)步驟

3.1 收集信息

掃描系統(tǒng)借助爬蟲程序?qū)φ麄€網(wǎng)站進(jìn)行掃描，由此來獲得網(wǎng)站敏感信息、相關(guān)鏈接、指紋信息還有子域名。爬蟲程序是指按照特定規(guī)則，對萬維網(wǎng)信息進(jìn)行自動抓取的腳本及程序。作為可對網(wǎng)頁進(jìn)行自動提取的程序，爬蟲程序?qū)λ阉饕嬲＿\(yùn)行具有重要作用，目前，得到廣泛應(yīng)用的爬蟲程序主要分為通用爬蟲以及聚焦爬蟲兩類，其中，通用程序的運(yùn)行原理如下：通過對網(wǎng)頁URL進(jìn)行抓取的方式，得到相應(yīng)URL隊列，待URL數(shù)量達(dá)到系統(tǒng)要求，方可停止抓取。聚焦程序則需要以網(wǎng)頁分析算法為依據(jù)，在對無關(guān)鏈接進(jìn)行過濾的前提下，將相關(guān)鏈接放入URL隊列，隨后，基于特定搜索策略對網(wǎng)頁URL進(jìn)行篩選，直至RUL隊列滿足系統(tǒng)條件，方可停止抓取操作。由爬蟲所抓取網(wǎng)頁均會被存儲在系統(tǒng)內(nèi)，經(jīng)過分析與過濾后，通過建立相關(guān)索引的方式，為日后的檢索及查詢操作提供便利。由聚焦程序所得出分析結(jié)論，還可被用來為后續(xù)抓取操作提供指導(dǎo)，要想使聚焦程序優(yōu)勢得到充分發(fā)揮，關(guān)鍵要解決以下問題：首先是準(zhǔn)確定義抓取目標(biāo)。其次是快速分析并準(zhǔn)確過濾網(wǎng)頁數(shù)據(jù)。最后是基于URL特征對相應(yīng)搜索策略進(jìn)行制定。

在對掃描漏洞所用爬蟲程序鏈接進(jìn)行設(shè)計時，下列內(nèi)容需要引起重視：其一是對計劃訪問的URL進(jìn)行定義，借助urllib2模塊對相關(guān)內(nèi)容進(jìn)行讀取，基于Beautiful Soup庫完成URL解析的操作，確保當(dāng)前網(wǎng)頁與標(biāo)簽相關(guān)的屬性值均能夠得到快速且精準(zhǔn)的提取。其二是對特定網(wǎng)頁鏈接信息進(jìn)行獲取，將所獲取鏈接視為全新定義的URL，通過遞歸查詢的方式，得出其他漏洞判斷所需信息。其三是對數(shù)據(jù)庫進(jìn)行設(shè)計，對網(wǎng)站目錄進(jìn)行導(dǎo)入并生成相應(yīng)字典，在將已存字典導(dǎo)出后，便可完成后續(xù)的爬取操作。

3.2 發(fā)現(xiàn)漏洞

對發(fā)現(xiàn)漏洞技術(shù)進(jìn)行設(shè)計時，研究人員應(yīng)對以下模塊引起重視：其一，面向端口模塊——對端口服務(wù)進(jìn)行識別并爆破。其二，面向文件模塊——對備份目錄及文件進(jìn)行審查，提煉并整合跨站腳本攻擊、高頻訪問文件，同時對潛在腳本錯誤進(jìn)行展示。其三，面向版本模塊——該模塊所涵蓋內(nèi)容主要有Web服務(wù)器和該服務(wù)器所使用各項(xiàng)技術(shù)。其四，面向目錄模塊——定期瀏覽常見文件，對敏感目錄、文件加以確定，保證路徑所存在跨站腳本攻擊能夠被及時發(fā)現(xiàn)并得到處理。其五，面向URL模塊——對代碼執(zhí)行、跨站腳本攻擊以及注入攻擊等參數(shù)進(jìn)行識別。其六，面向CMS模塊——對指紋進(jìn)行識別，通過入庫匹配的方式，獲得指紋對應(yīng)POS。其七，面向HTTP模塊——該模塊主要負(fù)責(zé)改變參數(shù)并完成Fuzz。事實(shí)證明，只有立足實(shí)際對上述模塊進(jìn)行科學(xué)設(shè)計，確保各模塊均能夠發(fā)揮出應(yīng)有作用，才能使Web漏洞得到全面且準(zhǔn)確的掃描，鑒于此，這一環(huán)節(jié)需要有關(guān)人員引起重視。

4 如何高效掃描Web漏洞

4.1 新增功能插件

插件是應(yīng)用程序接口遵循相應(yīng)規(guī)范所編寫的程序，此類程序只能依托指定系統(tǒng)平臺運(yùn)行，而不具備單獨(dú)運(yùn)行的功能，這是因?yàn)榇祟惓绦蛞氚l(fā)揮出應(yīng)有作用，通常要對純凈系統(tǒng)現(xiàn)有數(shù)據(jù)、函數(shù)庫進(jìn)行調(diào)用[4]。

本文所討論技術(shù)新增了漏洞發(fā)現(xiàn)及漏洞利用插件，運(yùn)行流程如下：以漏洞發(fā)現(xiàn)插件采集并提供信息為依據(jù)，根據(jù)信息分析所得結(jié)論，對漏洞利用插件進(jìn)行科學(xué)調(diào)用?？晒┫嚓P(guān)技術(shù)調(diào)用的插件較多，主要有利用Python腳本對網(wǎng)站是否存在XSS漏洞進(jìn)行檢測的插件，利用腳本對網(wǎng)站是否存在CSRF漏洞、DDOS漏洞進(jìn)行檢測的插件，對SQL注入及LDAP注入情況進(jìn)行檢測的插件，對SQL盲注進(jìn)行檢測的插件，對文件是否存在上傳漏洞進(jìn)行檢測的插件，對緩沖區(qū)是否存在溢出漏洞存在進(jìn)行檢測的插件。在實(shí)際應(yīng)用中，有關(guān)人員可視情況對其他插件進(jìn)行增設(shè)，確保Web漏洞得到系統(tǒng)且全面的掃描。

4.2 新增人工智能

近幾年，人工智能逐漸走進(jìn)人們的生活，越來越多領(lǐng)域選擇對該技術(shù)加以應(yīng)用。對漏洞掃描而言，人工智能的作用主要體現(xiàn)在以下方面：通過智能清洗并系統(tǒng)過濾相關(guān)數(shù)據(jù)的方式，對網(wǎng)站敏感內(nèi)容進(jìn)行提取，根據(jù)敏感內(nèi)容對其所屬風(fēng)險等級進(jìn)行評估。待分析網(wǎng)絡(luò)的環(huán)節(jié)告一段落，便可生成相應(yīng)的漏洞報告，確保漏洞情況得到清晰羅列，為使用者向漏洞網(wǎng)站反饋漏洞風(fēng)險提供便利。

4.3 新增數(shù)據(jù)庫

數(shù)據(jù)庫是指以數(shù)據(jù)結(jié)構(gòu)為依據(jù)，對數(shù)據(jù)進(jìn)行組織、管理并存儲的“倉庫”，其特點(diǎn)可被概括為可共享、有組織以及能夠統(tǒng)一管理。作為以數(shù)據(jù)結(jié)構(gòu)為基礎(chǔ)開展各項(xiàng)工作的軟件系統(tǒng)，數(shù)據(jù)庫這一概念往往包括兩方面含義：一是將數(shù)據(jù)庫視為對數(shù)據(jù)進(jìn)行科學(xué)保管的實(shí)體“倉庫”，使用者可將需要管理的數(shù)據(jù)信息存放在倉庫內(nèi)。二是將數(shù)據(jù)庫視為對數(shù)據(jù)進(jìn)行管理的技術(shù)方法，該方法具有能夠科學(xué)組織數(shù)據(jù)、有效維護(hù)數(shù)據(jù)、全面管控數(shù)據(jù)、充分利用數(shù)據(jù)的特點(diǎn)。對本技術(shù)而言，新增數(shù)據(jù)庫的關(guān)鍵是將MySQL打造成后端數(shù)據(jù)庫，先對采集所得URL進(jìn)行存儲，再對標(biāo)志字段進(jìn)行添加，以此來說明URL的掃描及爬取情況。隨后，基于正則表達(dá)式完成匹配操作，以免出現(xiàn)重復(fù)掃描相同網(wǎng)站的問題，導(dǎo)致資源系統(tǒng)出現(xiàn)不必要的浪費(fèi)。

4.4 生成掃描報告

待上述掃描技術(shù)投入應(yīng)用，相關(guān)掃描系統(tǒng)可對掃描數(shù)量、已發(fā)現(xiàn)漏洞數(shù)量、漏洞類型及相關(guān)信息、分析結(jié)果等參數(shù)進(jìn)行實(shí)時顯示，同時根據(jù)使用者的需求，自動生成Excel或HTML報告，確保漏洞信息能夠得到完整且直觀的顯示。隨后，借助該系統(tǒng)所具有插件功能，對可有效解決此類漏洞的方案加以顯示，使掃描過程變得更加完善。而新增多任務(wù)UI的作用，主要是確保計算機(jī)所具有硬件資源能夠得到最大程度的利用。

綜上，基于智能網(wǎng)絡(luò)所設(shè)計主動掃描技術(shù)，新增實(shí)時檢測、自動爬蟲功能，無需工作人員手動進(jìn)行配置，便可對網(wǎng)絡(luò)空間進(jìn)行自動掃描。另外，該技術(shù)還新增了智能分析功能，確保潛在漏洞能夠被及時發(fā)現(xiàn)，將漏洞提交至對應(yīng)網(wǎng)站，由專業(yè)人員對其加以解決。