安全自评
体检项目
体验报告
体验流程
如何购买
 
   
 
   
您目前所在的位置:网站首页>体检中心>体检项目
 
 
 
 
 
  WEB漏洞检测
 
1、什么是网页漏洞
2、安星检查的典型网页漏洞类型和描述
3、安星网页漏洞检查原理
4、安星的交付件—网页漏洞检查报告
5、安星的客户价值是什么
6、为何选择安星

1、什么是网页漏洞
    日益增长的网络业务应用为脆弱的web应用提供了漏洞滋生的土壤。如银行、政府机构和在线商务企业都使用了web技术提供服务。这些机构往往自己开发整套的web应用程序(ASP、JSP和CGI等),而这些开发者由于没有获得过专业训练,导致这些自产web软件漏洞百出,这些漏洞统称为网页漏洞。
    网页漏洞的存在意味着网页中任何传递给浏览器的信息都可能被用户利用和操纵,恶意用户可以查看、修改或者插入敏感信息(包括价格、会话跟踪信息甚至是脚本执行代码)。



2 、安星检查的典型网页漏洞类型和描述

漏洞类型

描述

跨站脚本

跨站脚本(即XSS)漏洞允许攻击者向其他用户发送恶意代码(通常是Javascript格式的)。浏览器不能判断该脚本是否可被信任,因此会在用户上下文中执行此脚本。恶意人员可利用跨站脚本构造诱骗页面,诱骗用户登陆,进而获取登陆者的用户名称、密码等敏感信息,进行非法活动。

 

SQL注入

web应用程序接收的用户输入在没有对输入的字符进行恶意字符过滤的前提下,直接用来拼接SQL语句,造成了SQL注入漏洞。攻击者利用此注入漏洞,通过对数据库的猜解,可得到网站管理员的用户名和密码,进而获取站点的上传权限得到webshell,利用权限提升控制服务器,对整个外部和内部网络系统造成重大损失。

SQL注入是目前互联网中应用最普遍的一个应用层攻击。

代码执行

让程序将输入的内容作为代码来执行,从而获得远程系统的访问权限。

目录遍历

由于WEB服务器配置不正确或WEB服务器自身存在漏洞,可导致非法人员下载服务器端的文件。攻击者利用此漏洞可遍历服务器目录,造成诸如网站源代码、内网地址等相关重要信息泄露,并由此可能暴露出更严重的安全漏洞,为非法者进一步攻击提供了可能的机会。

文件包含

脚本在包含文件时,直接使用用户提交上来的数据作为文件名。这些数据在使用前并没有进行适当的验证。

脚本源码泄露

把脚本文件名作为参数可能读取该脚本的源代码。该脚本在包含文件时,直接使用用户提交上来的数据作为文件名。这些数据在使用前并没有进行适当的过滤

CRLF注入

攻击者可以通过在一段数据中加入CRLF命令来改变接受这个数据的应用程序处理这个数据的方式,从而执行CRLF注入攻击,最基本的例子包括向记录文件中增加伪造的记录。

物理路径泄漏

远程攻击者可以利用这类漏洞获得服务器物理路径信息。当客户端请求一个不存在的文件时,会返回一些出错信息,这可能允许攻击者了解服务器的配置情况,可能有助于发动进一步攻击。

应用错误信息

这种漏洞会泄漏一些WEB的内部信息,这些信息可能会包括WEB开发使用的语言、中间件、开发框架、数据库的名称、版本号等,这些信息都会有助于黑客进行进一步的准确攻击

备份文件

备份文件通常是开发人员为备份他们的工作而创建的,web server上备份文件可能包含敏感信息,从而被攻击者利用



3 、安星网页漏洞检查原理
    网页漏洞扫描是利用专用的Web应用漏洞扫描程序构建的自动化扫描平台,模拟Web前端可以与实际的Web应用程序通信,从而可以发现Web应用程序中的安全缺陷。其工作原理非常类似一个黑匣子测试器,也就是说它并不需要访问源代码,真正实现远程的安全检测。
    网页漏洞扫描通常包括如下三个阶段:
    一、网站结构分析:通过爬虫技术远程完整而详细的分析出目标网站系统程序的分布结构,获得详细的网站目录和内容结构窗体,精确地得到网站程序结构;并能够对所有可浏览页面进行内容检索和分析,从中找到所有与客户端/服务器交互相关的动态内容(例如表单);
    二、网页漏洞分析功能:分析来自网站程序结构中的每一个网站功能脚本程序的应用状况,借助于专用的漏洞检测数据库,能够自动构造各种类型的“异常”提交参数,能够对响应消息进行内容分析,结合状态码,判断测试结果。同时,还会模拟大多数普遍存在的WEB攻击手段,探测各种已知漏洞和未知漏洞,针对所有可能为黑客所利用的项目进行多样化多层次的探测和分析。
    结果审核输出阶段:测试结果最终形成安全隐患报告。和大多数检测工具一样,自动化的Web应用漏洞扫描程序的扫描结果也存在相应的误报,因此对于网页漏洞扫描的结果还需要通过安全专家的精心审核,最终保证安星网页漏洞检测的真实性。



4 、安星的交付件—网页漏洞检查报告
    安星是一种远程检查服务,不是软件、也不是硬件设备。那么安星对客户的交付件是什么呢?就是一个定期的检查报告。周期与客户购买的检查周期相同。比如客户买的是一周检查一次网页挂马,则安星为客户每周提供一次检查报告。
    报告内容包括:检查的域名、检查的时间、检查的页面数量、检查的结果(是否存在漏洞)。如果存在漏洞,有多少页面存在漏洞,具体存在在哪些页面。最后是web漏洞修补的建议。



5、安星的客户价值是什么
    安星的三大客户价值:
    变单纯被动防御为主动检测+被动防御
    传统的网站安全,多数是部署了IPS、防火墙等设备,很多网管人员认为这样就够了,但这仅仅是被动防御,就好像守城的军队只是一味的加高、加宽城墙,却不了解什么地方有可能存在问题,敌人最有可能从哪里进攻,甚至是否已经被入侵了。
 


    有了安星,则增加了一种住的那个检测的手段,使得防御更具备针对性,能及时的将短木板补上,甚至能将已经被入侵的地方暴露出来。
降低运营成本
    没有安星,客户要想对自己Web服务做安全检查则有两种手段:请专业的安全服务团队检查、购买Web扫描产品自己检查。前者的成本是非常高的,因为需要专业的安全团队到用户现场做检查,而且通常为期很长,对用户的正常web业务是有影响的。后者则是需要承担昂贵的Web扫描工具产品,且还要长期聘用专业的安全维护人员来使用该产品,这些都是成本。
 


    而有了安星,则以上两种方式都可以不需要,因为启明星辰的安星是基于近10年的检查经验基础上发展起来的安全服务,并且有专业的服务团队在做支撑,相当于客户每天都请专业服务团队在为自己的web安全做检查。
    远程服务,业务隔离
    安星是远程服务,因此也就无需在用户侧安装设备、无需更改用户网络、无需做网络割接,自然也就没有性能瓶颈。



6、为何选择安星
    选择安星的几大理由:
    安星是在启明星辰近10年的检测经验积累基础上发展起来的安全服务,现在已经有超过2000个检测类的客户。
    安星是启明星辰国内首家推出的远程安全检查服务,并能同时关注网页挂马和Web漏洞。
    安星可以配合启明星辰其它的安全产品和服务,比如IPS、M2S的服务为网络用户提供一揽子安全解决方案。
    安星基于强大的安全服务团队,包括启明星辰的M2S、ADLAB、VCERT,这些都是业界最专业的安全服务团队,承担着大量的国家重要安全项目。

   


 



     
联系我们 | 网站地图 | 服务热线:800-810-6038 © 启明星辰 2008 版权所有 京IPC备05032414号