漏洞如何检测网站漏洞
如何检测网站漏洞 时间:2021-04-15 阅读:()
44前沿技术1前言随着公众对Web安全的聚焦,越来越多的行业领域,诸如运营商、政府电子政务互动平台、企事业门户网站、教育医疗机构等,都已经开始频繁使用扫描器去评估其风险性,以便提前发现潜在的安全隐患,及时安全加固,保障网站业务的正常持续运转.
而反观扫描器使用群体的变化,由早先的专业安全人士转向更多的网站安全运维人员,扫描器自身的可用性和易用性已到了必须提升的关键时刻.
而扫描器的核心能力,如何帮助用户快速发现漏洞、识别漏洞、定位漏洞以及什么样的验证场景可以确定漏洞真实存在,就成为亟待解决的首要问题.
2现状由于Web安全技术功底的薄弱,在网站安全运维人员眼里,一种可视化的Web漏洞分析方法产品推广部张少奎西安研发中心李菲关键词:Web漏洞漏洞分析漏洞验证可视化场景文件摘要:针对Web扫描器发现的漏洞,如何进行准确性验证.
本文给出了一种可视化分析方法,通过给出漏洞判断标准、执行详情、过程报文,到提供完整的场景分析文件,重现漏洞发现场景,简化漏洞验证工作.
现有的扫描器依然显得过于专业.
一份扫描报告中,大量显示漏洞存在的URL和弱点参数,以及扫描器自身所构造的各种请求等过于晦涩难懂,常常让运维人员不知所云,甚至不得不专请专业人员进行二次解读,况且这种易读性差的扫描报告,不能让运维人员第一时间识别出漏洞风险分布并制定相应漏洞的修补计划,从而无法真正贯彻防微杜渐的安全思路,来保障网站业务安全可靠的运行.
同时,受限于目标网站环境的复杂性、漏洞种类的多样性,扫描器或多或少存在一定的误报,为保证漏洞发现的权威性,增强报告内容的高可信度,扫描器本身必须能够清晰给出:漏洞是如何被发现的,哪些页面、参数有问题,风险详情如何,有无重现该漏洞发现的场景分析文件,向导式的二次验证等.
而关于如何对发现的漏洞进行权威验证这一点,一直是业界持续关注的焦点话题.
45前沿技术图1需要二次解读的扫描报告3可视化漏洞分析基于此,我们提出了一种可视化的Web漏洞分析方法,它依据漏洞种类的不同,从扫描器判断漏洞存在的角度:首先从逻辑层面,给出相关标准,作为判断此漏洞是否存在的条件依据;其次从漏洞触发层面,列出该漏洞发现时的具体交互方式,如通过哪些检测手段,构造哪些URL参数;再从数据支撑层面,列出漏洞检测过程中,所交互的所有数据信息,如扫描器发送的网络请求与站点响应报文,以及对应的具体页面源码文件等;最后,整个漏洞分析过程统一打包成离线场景文件.
此方法,让评估者轻松还原漏洞发现场景,重现漏洞发现的每一步直至全过程,真正实现漏洞分析过程的简单可视、通俗易懂,进而为下一步可能进行的漏洞误报确认提供可视化验证场景,达到准确识别的权威效果.
如图2所示,整个可视化漏洞分析方法为用户提供了一个循序渐进,全面认知漏洞的过程.
1、判断标准Web漏洞的形成有很多因素,根据漏洞的表现形式和产生原因不同,给出针对每种漏洞是否存在的判断标准,让评估者明确知道该漏洞产生的原因以及外在的表现形式.
2、执行详情知道漏洞的形成和表现形式外,就需要构造可以产生这个漏洞的充分必要条件,哪些具体的操作和方法能够触发这个漏洞,使其通过可以理解和直观的现象展示出来,并最终与判断标准相符合.
3、过程报文漏洞的探索和发现不是一蹴而就的,是一个有强烈依赖关系的发包探测、规则匹配的逻辑过程.
过程报文还原了整个探测过程中的收发包情况,探测方对被探测Web站点都发送了哪些请求,对方服务器是如何应答的,过程报文都一一记录,为分析漏洞和网站实时响应提供有利数据.
图2可视化漏洞分析方法46前沿技术以下给出了几种常见的漏洞类型,利用本文所介绍的可视化分析方法,一一进行具体阐述.
3.
1XSS漏洞对于基于特征值匹配来进行检测的XSS漏洞类型,它常见的检测逻辑如图3所示,是一个反复探测和验证的过程.
扫描器通过爬虫爬取Web站点的有效链接后,传递给相关插件进行探测扫描.
插件在获取到链接后,需要判断此链接是否有存在该漏洞的条件,抽取所有可能存在漏洞的位置点,构造请求URL和参数值去探测和发包,根据该漏洞的表现形式来判断返回的页面是否存在漏洞.
对应的特征值匹配检测逻辑条件满足后,漏洞发现条件也就形成.
此时,扫描器把尝试探测的URL链接,具体的请求方式,在哪个参数字段上构造的特征值,相关的判断标准,最终构造的请求变量和URL语句函数,执行结果与预期结果的差异,页面请求和响应报文结果等漏洞确认的详情一一罗列出来.
如图4所示,以探测http://demo.
testre.
net/search.
aspxtxtSearch=1是否存在跨站漏洞为例,给出了判断是否存在跨站的标准,能够执行构造的特殊字符串.
判断详情里给出了具体构造的请求URL、修改的参数及参数值.
过程报文中的响应页面内,匹配到注入的字符串afbkyz(ozn),在判断是否可以真正被浏览器执行后,在响应页面中(图5)高亮可以被执行的位置.
图4漏洞分析示例在响应页面中会高亮出注入点,如图5.
图3基于特征值匹配的检测逻辑图5高亮注入点这样,就为此类XSS漏洞的发现,提供了一个完整的检测可视化过程,让47前沿技术评估者清晰知晓XSS漏洞存在的相关判断依据,具体位置,如何验证和结果对比等.
3.
2SQL盲注对于像SQL盲注这样的检测是不能通过特征值匹配来检测的,需要构造多次相似请求,根据返回页面的不同来判断,如图6.
插件在获取到被检测URL后,抽取可能存在漏洞的注入点,会尝试发送三次请求,获取充分条件.
第一次采样,原始请求,将原始页面内容作为采样标准A;第二次采样,伪真页面B;第三次采样,fasle页面C.
SQL盲注的检测,需要计算B/A和C/A之间的相似度,在某个确定的范围内就可以判定是否存在注入.
而若采用本文介绍的可视化漏洞分析方法,如图7-1,扫描器通过提供可视化的漏洞检测过程,在判断标准中给出了插件的检测过程和漏洞表现形式,判断详情中给出了发送的伪真、错误请求URL,以及原始url的请求和对应响应报文.
图6SQL盲注检测逻辑而此基于相似度对比的检测过程,对于评估者来说完全是黑盒的,根本无法获知真假页面之间的区别和差异,直观感受更无从谈起.
图7-1SQL盲注的漏洞展示图7-2展示了发送的原始页面和伪真页面的请求以及两者之间的差异,可以看出差异非常小,只有一行代码不同.
图7-2SQL盲注的漏洞展示图7-3展示了发送的原始页面和错误页面的请求以及两者之间48前沿技术的差异.
3.
3弱口令猜测在检测表单登录是否存在弱口令时,扫描器会根据预配置的弱口令列表或者自定义弱口令字典,通过枚举用户名和口令尝试登录,进行扫描确认.
如图8,在获取到登录页面后,扫描器会根据配置的弱口令进行登录探测.
在检测出弱口令漏洞后,会给出具体的用户名、密码.
评估者可以直接用给出的弱口令尝试登录漏洞URL.
如图9的判断详情中,给出了具体的登录页面,检测出来的弱口令为admin,admin,看到请求响应,发现页面跳转到了主页面,登录成功,表示存在漏洞,从而重现这一探测过程.
图7-3SQL盲注的漏洞展示根据如上两组数据的页面相似度对比结果,可以清楚的看出两者之间的差异,当这个差异落在特定范围内时,就判断SQL盲注存在.
从探测到展示,给评估者提供了重现该漏洞的完整场景.
图8弱口令猜测检测逻辑4结束语通过上述简单介绍的可视化漏洞分析方法,评估者在看到扫描报告时,通过漏洞的判断标准、执行详情、过程报文,再也无须因不了解漏洞成因,困惑为什么Web环境会存在这样的漏洞,或者质疑是否存在误报,相关漏洞到底是如何被发现和确认的.
此外,通过从扫描器给出的离线版漏洞场景文件,可以重现漏洞发现及确认全过程,从而进一步获取漏洞详情,为下一步的漏洞验证、修复漏洞提供更有效的参考数据.
图9弱口令展示
而反观扫描器使用群体的变化,由早先的专业安全人士转向更多的网站安全运维人员,扫描器自身的可用性和易用性已到了必须提升的关键时刻.
而扫描器的核心能力,如何帮助用户快速发现漏洞、识别漏洞、定位漏洞以及什么样的验证场景可以确定漏洞真实存在,就成为亟待解决的首要问题.
2现状由于Web安全技术功底的薄弱,在网站安全运维人员眼里,一种可视化的Web漏洞分析方法产品推广部张少奎西安研发中心李菲关键词:Web漏洞漏洞分析漏洞验证可视化场景文件摘要:针对Web扫描器发现的漏洞,如何进行准确性验证.
本文给出了一种可视化分析方法,通过给出漏洞判断标准、执行详情、过程报文,到提供完整的场景分析文件,重现漏洞发现场景,简化漏洞验证工作.
现有的扫描器依然显得过于专业.
一份扫描报告中,大量显示漏洞存在的URL和弱点参数,以及扫描器自身所构造的各种请求等过于晦涩难懂,常常让运维人员不知所云,甚至不得不专请专业人员进行二次解读,况且这种易读性差的扫描报告,不能让运维人员第一时间识别出漏洞风险分布并制定相应漏洞的修补计划,从而无法真正贯彻防微杜渐的安全思路,来保障网站业务安全可靠的运行.
同时,受限于目标网站环境的复杂性、漏洞种类的多样性,扫描器或多或少存在一定的误报,为保证漏洞发现的权威性,增强报告内容的高可信度,扫描器本身必须能够清晰给出:漏洞是如何被发现的,哪些页面、参数有问题,风险详情如何,有无重现该漏洞发现的场景分析文件,向导式的二次验证等.
而关于如何对发现的漏洞进行权威验证这一点,一直是业界持续关注的焦点话题.
45前沿技术图1需要二次解读的扫描报告3可视化漏洞分析基于此,我们提出了一种可视化的Web漏洞分析方法,它依据漏洞种类的不同,从扫描器判断漏洞存在的角度:首先从逻辑层面,给出相关标准,作为判断此漏洞是否存在的条件依据;其次从漏洞触发层面,列出该漏洞发现时的具体交互方式,如通过哪些检测手段,构造哪些URL参数;再从数据支撑层面,列出漏洞检测过程中,所交互的所有数据信息,如扫描器发送的网络请求与站点响应报文,以及对应的具体页面源码文件等;最后,整个漏洞分析过程统一打包成离线场景文件.
此方法,让评估者轻松还原漏洞发现场景,重现漏洞发现的每一步直至全过程,真正实现漏洞分析过程的简单可视、通俗易懂,进而为下一步可能进行的漏洞误报确认提供可视化验证场景,达到准确识别的权威效果.
如图2所示,整个可视化漏洞分析方法为用户提供了一个循序渐进,全面认知漏洞的过程.
1、判断标准Web漏洞的形成有很多因素,根据漏洞的表现形式和产生原因不同,给出针对每种漏洞是否存在的判断标准,让评估者明确知道该漏洞产生的原因以及外在的表现形式.
2、执行详情知道漏洞的形成和表现形式外,就需要构造可以产生这个漏洞的充分必要条件,哪些具体的操作和方法能够触发这个漏洞,使其通过可以理解和直观的现象展示出来,并最终与判断标准相符合.
3、过程报文漏洞的探索和发现不是一蹴而就的,是一个有强烈依赖关系的发包探测、规则匹配的逻辑过程.
过程报文还原了整个探测过程中的收发包情况,探测方对被探测Web站点都发送了哪些请求,对方服务器是如何应答的,过程报文都一一记录,为分析漏洞和网站实时响应提供有利数据.
图2可视化漏洞分析方法46前沿技术以下给出了几种常见的漏洞类型,利用本文所介绍的可视化分析方法,一一进行具体阐述.
3.
1XSS漏洞对于基于特征值匹配来进行检测的XSS漏洞类型,它常见的检测逻辑如图3所示,是一个反复探测和验证的过程.
扫描器通过爬虫爬取Web站点的有效链接后,传递给相关插件进行探测扫描.
插件在获取到链接后,需要判断此链接是否有存在该漏洞的条件,抽取所有可能存在漏洞的位置点,构造请求URL和参数值去探测和发包,根据该漏洞的表现形式来判断返回的页面是否存在漏洞.
对应的特征值匹配检测逻辑条件满足后,漏洞发现条件也就形成.
此时,扫描器把尝试探测的URL链接,具体的请求方式,在哪个参数字段上构造的特征值,相关的判断标准,最终构造的请求变量和URL语句函数,执行结果与预期结果的差异,页面请求和响应报文结果等漏洞确认的详情一一罗列出来.
如图4所示,以探测http://demo.
testre.
net/search.
aspxtxtSearch=1是否存在跨站漏洞为例,给出了判断是否存在跨站的标准,能够执行构造的特殊字符串.
判断详情里给出了具体构造的请求URL、修改的参数及参数值.
过程报文中的响应页面内,匹配到注入的字符串afbkyz(ozn),在判断是否可以真正被浏览器执行后,在响应页面中(图5)高亮可以被执行的位置.
图4漏洞分析示例在响应页面中会高亮出注入点,如图5.
图3基于特征值匹配的检测逻辑图5高亮注入点这样,就为此类XSS漏洞的发现,提供了一个完整的检测可视化过程,让47前沿技术评估者清晰知晓XSS漏洞存在的相关判断依据,具体位置,如何验证和结果对比等.
3.
2SQL盲注对于像SQL盲注这样的检测是不能通过特征值匹配来检测的,需要构造多次相似请求,根据返回页面的不同来判断,如图6.
插件在获取到被检测URL后,抽取可能存在漏洞的注入点,会尝试发送三次请求,获取充分条件.
第一次采样,原始请求,将原始页面内容作为采样标准A;第二次采样,伪真页面B;第三次采样,fasle页面C.
SQL盲注的检测,需要计算B/A和C/A之间的相似度,在某个确定的范围内就可以判定是否存在注入.
而若采用本文介绍的可视化漏洞分析方法,如图7-1,扫描器通过提供可视化的漏洞检测过程,在判断标准中给出了插件的检测过程和漏洞表现形式,判断详情中给出了发送的伪真、错误请求URL,以及原始url的请求和对应响应报文.
图6SQL盲注检测逻辑而此基于相似度对比的检测过程,对于评估者来说完全是黑盒的,根本无法获知真假页面之间的区别和差异,直观感受更无从谈起.
图7-1SQL盲注的漏洞展示图7-2展示了发送的原始页面和伪真页面的请求以及两者之间的差异,可以看出差异非常小,只有一行代码不同.
图7-2SQL盲注的漏洞展示图7-3展示了发送的原始页面和错误页面的请求以及两者之间48前沿技术的差异.
3.
3弱口令猜测在检测表单登录是否存在弱口令时,扫描器会根据预配置的弱口令列表或者自定义弱口令字典,通过枚举用户名和口令尝试登录,进行扫描确认.
如图8,在获取到登录页面后,扫描器会根据配置的弱口令进行登录探测.
在检测出弱口令漏洞后,会给出具体的用户名、密码.
评估者可以直接用给出的弱口令尝试登录漏洞URL.
如图9的判断详情中,给出了具体的登录页面,检测出来的弱口令为admin,admin,看到请求响应,发现页面跳转到了主页面,登录成功,表示存在漏洞,从而重现这一探测过程.
图7-3SQL盲注的漏洞展示根据如上两组数据的页面相似度对比结果,可以清楚的看出两者之间的差异,当这个差异落在特定范围内时,就判断SQL盲注存在.
从探测到展示,给评估者提供了重现该漏洞的完整场景.
图8弱口令猜测检测逻辑4结束语通过上述简单介绍的可视化漏洞分析方法,评估者在看到扫描报告时,通过漏洞的判断标准、执行详情、过程报文,再也无须因不了解漏洞成因,困惑为什么Web环境会存在这样的漏洞,或者质疑是否存在误报,相关漏洞到底是如何被发现和确认的.
此外,通过从扫描器给出的离线版漏洞场景文件,可以重现漏洞发现及确认全过程,从而进一步获取漏洞详情,为下一步的漏洞验证、修复漏洞提供更有效的参考数据.
图9弱口令展示
- 漏洞如何检测网站漏洞相关文档
- 漏洞如何检测网站漏洞
- 服务如何检测网站漏洞
- 地址如何检测网站漏洞
- 爬虫如何检测网站漏洞
- 漏洞如何检测网站漏洞
- 技术如何检测网站漏洞
TTcloud(月$70)E3-1270V3 8GB内存 10Mbps带宽 ,日本独立服务器
关于TTCLOUD服务商在今年初的时候有介绍过一次,而且对于他们家的美国圣何塞服务器有过简单的测评,这个服务商主要是提供独立服务器业务的。目前托管硬件已经达到5000台服务器或节点,主要经营圣何塞,洛杉矶以及日本东京三个地区的数据中心业务。这次看到商家有推出了新上架的日本独立服务器促销活动,价格 $70/月起,季付送10Mbps带宽。也可以跟进客户的需求进行各种DIY定制。内存CPU硬盘流量带宽价...
hostkey俄罗斯、荷兰GPU显卡服务器/免费Windows Server
Hostkey.com成立于2007年的荷兰公司,主要运营服务器出租与托管,其次是VPS、域名、域名证书,各种软件授权等。hostkey当前运作荷兰阿姆斯特丹、俄罗斯莫斯科、美国纽约等数据中心。支持Paypal,信用卡,Webmoney,以及支付宝等付款方式。禁止VPN,代理,Tor,网络诈骗,儿童色情,Spam,网络扫描,俄罗斯色情,俄罗斯电影,俄罗斯MP3,俄罗斯Trackers,以及俄罗斯法...
ZJI:台湾CN2/香港高主频服务器7折每月595元起,其他全场8折
ZJI原名维翔主机,是原来Wordpress圈知名主机商家,成立于2011年,2018年9月更名为ZJI,提供香港、日本、美国独立服务器(自营/数据中心直营)租用及VDS、虚拟主机空间、域名注册业务。ZJI今年全新上架了台湾CN2线路服务器,本月针对香港高主频服务器和台湾CN2服务器提供7折优惠码,其他机房及产品提供8折优惠码,优惠后台湾CN2线路E5服务器月付595元起。台湾一型CPU:Inte...
如何检测网站漏洞为你推荐
-
物理化学flash配置用于Windowscss加载失败网易邮箱登陆显示CSS加载失败,怎么办?急,在线等。linux防火墙设置LINUX系统怎么关闭防火墙centos6.5centos 6.5 安装哪些软件conn.aspconn.asp 在哪打开?应该怎样打开?mysql下载Navicat for mysql怎么安装重庆400年老树穿楼生长重庆的树为什么都长胡须?河南省全民健康信息平台建设指引(试行)北京大学cuteftp