檢測你的Web系統(tǒng)有多少安全漏洞

http://m.yibo1263.com　2009/1/17 9:16:22 　來源:東北IT網(wǎng) 　編輯:葉子

　　另一種結構的掃描器是采用插件程序結構�？梢葬槍δ骋痪唧w漏洞，編寫對應的外部測試腳本。通過調用服務檢測插件，檢測目標主機TCP/IP不同端口的服務，并將結果保存在信息庫中，然后調用相應的插件程序，向遠程主機發(fā)送構造好的數(shù)據(jù)，檢測結果同樣保存于信息庫，以給其他的腳本運行提供所需的信息，這樣可提高檢測效率。如，在針對某FTP服務的攻擊中，可以首先查看服務檢測插件的返回結果，只有在確認目標主機服務器開啟FTP服務時，對應的針對某FTP服務的攻擊腳本才能被執(zhí)行。采用這種插件結構的掃描器，可以讓任何人構造自己的攻擊測試腳本，而不用去了解太多掃描器的原理。這種掃描器也可以用做模擬黑客攻擊的平臺。采用這種結構的掃描器具有很強的生命力，如著名的Nessus就是采用這種結構。這種網(wǎng)絡漏洞掃描器的結構如圖2所示，它是基于客戶端/服務器(C/S)結構，其中客戶端主要設置服務器端的掃描參數(shù)及收集掃描信息。具體掃描工作由服務器來完成。

　　漏洞掃描器的發(fā)展趨勢

　　值得我們注意的是漏洞掃描軟件從最初的專門為UNIX系統(tǒng)編寫的一些只具有簡單功能的小程序，發(fā)展到現(xiàn)在，已經(jīng)出現(xiàn)了多個運行在各種操作系統(tǒng)平臺上的、具有復雜功能的商業(yè)程序。今后的發(fā)展趨勢主要有以下幾點，我們可以根據(jù)實際Web信息系統(tǒng)風險評估的需求進行選用：

　　1.使用插件或者叫做功能模塊技術。每個插件都封裝一個或者多個漏洞的測試手段，主掃描程序通過調用插件的方法來執(zhí)行掃描。僅僅是添加新的插件就可以使軟件增加新功能，掃描更多漏洞。在插件編寫規(guī)范公布的情況下，用戶或者第三方公司甚至可以自己編寫插件來擴充軟件的功能。同時這種技術使軟件的升級維護都變得相對簡單，并具有非常強的擴展性。

　　2.使用專用腳本語言。這其實就是一種更高級的插件技術，用戶可以使用專用腳本語言來擴充軟件功能。這些腳本語言語法通常比較簡單易學，往往用十幾行代碼就可以定制一個簡單的測試，為軟件添加新的測試項。腳本語言的使用，簡化了編寫新插件的編程工作，使擴充軟件功能的工作變得更加容易，也更加有趣。

　　3.由漏洞掃描程序到安全評估專家系統(tǒng)。最早的漏洞掃描程序只是簡單地把各個掃描測試項的執(zhí)行結果羅列出來，直接提供給測試者而不對信息進行任何分析處理。而當前較成熟的掃描系統(tǒng)都能夠將對單個主機的掃描結果整理，形成報表，能夠并對具體漏洞提出一些解決方法。不足之處是對網(wǎng)絡的狀況缺乏一個整體的評估，對網(wǎng)絡安全沒有系統(tǒng)的解決方案。未來的安全掃描系統(tǒng)，應該不但能夠掃描安全漏洞，還能夠智能化地協(xié)助網(wǎng)絡信息系統(tǒng)管理人員評估本網(wǎng)絡的安全狀況，給出安全建議，成為一個安全評估專家系統(tǒng)。

　　Web系統(tǒng)的風險等級評估

　　在實現(xiàn)了對Web信息系統(tǒng)的安全掃描后，便可根據(jù)掃描結果，對Web信息系統(tǒng)的安全性能進行評估，從而給出Web信息系統(tǒng)的風險狀況。這里，風險評估的依據(jù)是根據(jù)掃描結果，根據(jù)Web信息系統(tǒng)所具有的漏洞數(shù)目及漏洞的危害程度，將Web信息系統(tǒng)的安全狀態(tài)進行分級。

　　劃分的風險評估級別如下：

　　l.A級：掃描結果顯示沒有漏洞，但這并不表明系統(tǒng)沒有漏洞，因為有許多漏洞是尚未發(fā)現(xiàn)的，我們只能針對已知的漏洞進行測試。

　　2.B級：具有一些泄漏服務器版本信息之類的不是很重要內容的漏洞，或者提供容易造成被攻擊的服務，如允許匿名登錄，這種服務可能會造成許多其它漏洞。

　　3.C級：具有危害級別較小的一些漏洞，如可以驗證某賬號的存在，可以造成列出一些頁面目錄、文件目錄等，不會造成嚴重后果的漏洞。

　　4.D級：具有一般的危害程度的漏洞。如拒絕服務漏洞，造成Web信息系統(tǒng)不能正常工作；可以讓黑客獲得重要文件的訪問權的漏洞等。

　　5.E級：具有嚴重危害程度的漏洞。如存在緩沖區(qū)溢出漏洞，存在木馬后門，存在可以讓黑客獲得根用戶權限或根用戶的shell漏洞，根目錄被設置一般用戶可寫等一些后果非常嚴重的漏洞。

本新聞共3頁,當前在第2頁 1 2 3

【收藏】【打印】【進入論壇】

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费