一体化扫描器
技术白皮书
邦(北京)信息技术有限公司
一体化扫描器
1 网站安全现状
Web网站是互联网上最为丰富的资源呈现形式,由于其访问简单、扩展性好等优点,目前在资讯、电子政务、电子商务和企业管理等诸多领域得到了广泛的应用。与此同时,Web网站也面临着数量庞大、种类繁多的安全威胁,操作系统、通信协议、服务发布程序和编程语言等无不存在大量安全漏洞。根据致力于Web应用安全研究的国际权威组织OWASP(Open Web Application Security Project)最新的调查显示,目前排名前十位的Web应用安全隐患如下:
图1 OWASP统计的Web前十大安全隐患
近年来,恶意攻击者通过SQL注入攻击、XSS跨站脚本攻击、CSRF跨站请求伪造等攻击手段造成Web网站遭受损害的安全事故层出不穷,安全防护形式日益严峻。国家互联网应急中心CNCERT/CC的权威报告显示,在2010年,我国境内有大量网站遭到攻击者的恶意篡改:
2 / 9
一体化扫描器
图2 CNCERT/CC关于2010年境内Web网站遭到篡改的统计表
为了保障Web网站运行过程的安全,各信息安全研究机构、安全产品厂商纷纷提出了各种针对Web网站安全威胁的防护技术和防护产品,如:Web应用防火墙、Web网页防篡改系统等,并在Web网站安全防护领域逐渐取代传统的网络防火墙、入侵检测/防御系统(IDS/IPS),成为Web网站安全防护的“生力军”,但与此同时,诸多种类Web安全防护产品的推陈出新,也从侧面反映了Web应用防护的趋势,即:动态化、复杂化。
2 产品开发背景
一体化扫描器系统是本公司技术研究团队多年深入研究当前各类流行Web攻击手段(如网页挂马攻击、SQL注入漏洞、跨站脚本攻击等)的经验结晶。通过本地检测技术与远程检测技术相结合,对您的网站进行全面的、深入的、彻底的风险评估,综合性的规则库(本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等)以及业界最为领先的智能化爬虫技术及SQL注入状态检测技术,检查系统中存在的弱点和漏洞,使得相比国内外同类产品智能化程度更高,速度更快,结果更准确。
一体化扫描器系统简称RayScan,是集Web扫描和漏洞扫描予一体的专业一体化扫描器系统。
3 / 9
一体化扫描器
3 系统特性
全方位多层次检测网站安全漏洞
与目前市面上的其它网站安全类产品单一地考虑系统安全、网页编程安全、SQL注入、跨站漏洞等方面的安全问题不同,本产品从设计网站安全的各个方面来对网站安全状况做出最全面的评估,包括:系统补丁、危险插件、代码审计、恶意网站、网页木马、SQL注入、跨站注入、管理入口以及敏感信息等等。
首款针对网站代码进行本地安全检查的软件
如果说远程SQL注入扫描、跨站漏洞扫描等是针对网站代码进行外部的黑盒测试的话,那么网站代码的安全检查就是针对网站代码进行全面直接的检查,找到SQL注入、跨站漏洞、网马等一系列安全问题。
多年积累的丰富的网马特征库
本软件采用了研究团队多年积累的丰富的网马特征库,不仅包括网马代码特征、而且包括挂马网站的列表,双重检测手段保障网马检测的较低地漏报率和误报率,同时我们保持每周至少一次的特征库的升级。 高效的网页爬虫技术
一体化扫描器系统的网页抓取模块采用广度优先爬虫技术以及网站目录还原技术。广度优先的爬虫技术的不会产生爬虫陷入的问题,网站目录还原技术则去除了无关结果,提高抓取效率。 基于状态扫描的SQL注入扫描技术
一体化扫描器系统不同于传统的针对错误反馈判断是否存在注入漏洞的方式,而采用自主创新的状态检测来判断。所谓状态检测,即:针对某一链接输入不同的参 数,通过对网站反馈的结果使用
4 / 9
一体化扫描器
向量比较算法进行比对判断,从而确定该链接是否为注入点,此方法不依赖于特定的数据库类型、设置以及CGI语言的种类,对于 注入点检测全面,不会产生漏报现象。而常见的SQL注入扫描产品均不具备此项技术。 基于状态比较的注入验证技术
一体化扫描器系统采用状态检测来对数据库的数据进行猜解,无论网站采用什么CGI语言,无论网站是否反馈错误信息,都能进行正常的猜解,而常见的SQL注入扫描产品均不具备此项技术。 基于模糊匹配的管理入口检测技术
一体化扫描器系统管理入口检测模块不仅采用常规管理入口检测技术,即:使用常用的管理入口库进行逐一匹配检查,而且还采用了模糊匹配的方式来检测管理入口,所谓的模糊匹配即软件使用模糊匹配的方式来对网站所有链接进行匹配,从而最大可能找出所有管理入口。 自定义的检测库文件
用户除了可以使用软件默认提供的检测库外,也可以添加自定义的规则库,我们提供了规则库的转换和合并等功能。 丰富的漏洞知识资源储备
一体化扫描器系统以国内最权威、最全面的中文漏洞知识库(CNCVE)为支撑,蕴含着丰富的研
究经验和深厚的知识积累,能够为客户提持续的、高品质的产品应用价值。 覆盖面最广的漏洞库
一体化扫描器系统可扫描的漏洞数量超过2300种,分为32个大类,覆盖了当前网络环境中重要
的,流行的系统和数据库漏洞,并且能够根据网络环境的变化及时调整更新,确保漏洞识别的全面性和时效性。 全方位的网络对象支持
5 / 9
一体化扫描器
网络主机:服务器、客户机、网络打印机等;
操作系统:Microsoft Windows 9X/NT/2000/XP/2003、Sun Solaris、HP Unix、IBM AIX、IRIX、
Linux、BSD等;
网络设备:Cisco、3Com、Checkpoint等主流厂商网络设备; 应用系统:数据库、Web、FTP、电子邮件等。 漏洞信息的准确识别和判断
一体化扫描器系统采用渐进式扫描分析方法,融合最新的操作系统指纹识别、智能端口服务识别等
技术,能够准确识别被扫描对象的各种信息,如操作系统、网络名、用户信息、非常规端口上开放的服务等。 强有力的扫描效率保证
一体化扫描器系统综合运用预探测、渐进式、多线程的扫描技术,能够快速发现目标网络中的存活
主机,然后根据渐进式探测结果选择适合的扫描策略,启动多个线程进行并发扫描,从而保证了扫描任务可以迅速完成。 多样化的结果报表呈现
一体化扫描器系统能够生成面向多个用户角色的客户化报表,并以图、表、文字说明等多种形式
进行展现,同时支持以PDF、XML、HTML、EXCEL、WORD等多种格式导出结果报表。
4 系统功能
技术指标 支持HTTP 1.0和1.1标准的WEB应用系统 应用类型 支持Web 2.0/Ajax 应用 支持静态及动态页面
6 / 9
一体化扫描器
支持Web Services应用 支持Web底层支撑系统 支持认证方式(Cookie、NTLM等基本认证方式) 支持HTTPS的WEB应用系统 支持SQL注入检测 支持跨站脚本检测 支持表单类型检测 支持Cookie安全问题检测 漏洞类型 支持CGI 漏洞检测 支持GOOGLE-HACK检测 支持伪造跨站点请求 支持无效链接发现 支持敏感文件检测 支持Web Services误配置检测 支持智能爬虫技术 功能特性
支持多线程、多任务并发扫描 支持数据分析及报表呈现 5 性能
对于中等规模的网站,国外的同类产品扫描时间在2个小时左右,而一体化扫描器系统网站安全检测系统仅需要20分钟的时间。
从结果分析来看,国外的同类产品在漏洞判断上通常会有上千条的报警,但这里面不全是真正能成功的注入点,会产生大量的噪音,给管理员带来很大的压力。而一体化扫描器系统网站安全检测系统仅报告真正意义上风险点,让管理员更能集中精力来解决问题。
7 / 9
一体化扫描器
6 产品规格
型号 设备接口 网络接口 外部接口 性能指标 S1000 RayVAS ≥4个千兆以太网口 1个RJ-45串口,2个USB2.0接口 适用于中小型企业的网络,支持网络漏洞扫描和WEB漏64个IP地址,8个Web网站扫描; 洞扫描 C类网段扫描器, 64个Web站点适用于中型企业的网络,支持网络漏洞扫描和WEB漏洞扫描; 扫描 B类地址扫描;256个Web站点扫适用于大型企业的网络,支持网络漏洞扫描和WEB漏洞描; 扫描 适用于大型企业的分布式网络,支持网络漏洞扫描和无限IP扫描,无限Web站点扫描 WEB漏洞扫描 电源特性 交流电源 功耗 物理/机械特性 外形尺寸(mm) 环境要求
8 / 9
220V,50Hz ≤100W 1U,2U 一体化扫描器
温度 湿度 维修特性 平均故障间隔时间(MTBF)
工作温度:-15℃~+45℃;存储温度:-40℃~+65℃ 工作湿度:40%~90%;存储湿度:30%~98% ≥9999小时(100%负荷)
9 / 9
因篇幅问题不能全部显示,请点此查看更多更全内容