一種基于滲透性測試的Web漏洞掃描系統設計與實現

?CNCERT／CC 2006年的工作報告中顯示，隨著互聯網的快速發展，我國公共互聯網用戶數量已超過1.37億。在網絡發展的同時，互聯網作為一個運行系統和一個社會公共環境，所面對的和隱藏的安全威脅也越來越復雜，越來越嚴重。報告顯示，2006年CNCERT／CC接收國內26 476件非掃描類網絡安全事件報告中有24 477件是由于Web引起的。從2003年～2006年中國Web攻擊事件統計中不難發現，通過Web漏洞進行攻擊事件正在逐年迅速的增長。通過Web漏洞進行攻擊成了網絡漏洞攻擊的主要方式與手段。

??? 國內外的許多學術機構、企業和標準化組織在Web漏洞探測方面做了大量的工作。Web漏洞探測系統日趨成熟，當前，比較成熟的漏洞掃描工具有Whisker及Nikto和Nessus。但由于安全產品特殊應用需求以及各個組織的工具自身的技術與安全防護問題，使得這些產品不能很好地被推廣或普及。對具體項目需求，設計并實現一個Web漏洞掃描系統是非常必要的。

1 Web漏洞掃描原理

??? Web漏洞掃描方法主要有兩類：信息獲取和模擬攻擊。信息獲取就是通過與目標主機TCP／IP的Http服務端口發送連接請求，記錄目標主機的應答。通過目標主機應答信息中狀態碼和返回數據與Http協議相關狀態碼和預定義返回信息做匹配，如果匹配條件則視為漏洞存在。模擬攻擊就是通過使用模擬黑客攻擊的方法，對目標主機Web系統進行攻擊性的安全漏洞掃描，比如認證與授權攻擊、支持文件攻擊、包含文件攻擊、SQL注入攻擊和利用編碼技術攻擊等對目標系統可能存在的已知漏洞進行逐項進行檢查，從而發現系統的漏洞。遠程字典攻擊也是漏洞掃描中模擬攻擊的一種，其原理與其他攻擊相差較大，若攻擊成功，可以直接得到登陸目標主機系統的用戶名和口令。

??? Web漏洞掃描原理就是利用上面的掃描方法，通過分析掃描返回信息，來判斷在目標系統上與測試代碼相關的漏洞是否存在或者相關文件是否可以在某種程度上得以改進，然后把結果反饋給用戶端(即瀏覽端)，并給出相關的改進意見。

2 Web漏洞掃描系統設計與實現

??? Web漏洞掃描系統設計的基本要求是能夠找到Web應用程序的錯誤以及檢測Web服務器以及CGI的安全性，其中也包括認證機制、邏輯錯誤、無意泄露Web內容以及其環境信息以及傳統的二進制應用漏洞(例：緩沖區溢出等)。同時要求漏洞掃描功能能夠更新及時。本系統結合國內外其他Web漏洞掃描系統設計思想的優點，采用Browser／Server／Database(瀏覽器／服務器／數據庫)和模塊化的軟件開發思路，通過滲透性檢測的方法對目標系統進行掃描。

2.1? 系統總體結構設計

??? 本文設計開發的是一個B／S模式的Web漏洞掃描系統。它包括客戶端及服務端兩個部分，運行環境為Linux系統。首先：使用B／S結構使得用戶的操作不再與系統平臺相關，同時使得客戶操作更方便、直觀。其次，系統把漏洞掃描檢測部分從整個系統中分離出來，使用專門的文件庫進行存放(稱為插件)。如果發現新的漏洞并找到了新的檢測方法，只要在相關文件夾中增加一個相應的新的攻擊腳本記錄，即可以實現對漏洞的滲透性測試，同時也實現了及時的升級功能。最后，系統從多個角度來提高漏洞掃描系統的掃描速度以及減少在用客戶端與服務端之間的信息傳輸量，以提高系統的運行效率。其總體結構設計如圖1所示。

??? 圖1中給出了漏洞掃描系統模型的系統結構圖。該漏洞檢測系統主要分成四部分：

??? (1)主控程序。采用多線程處理方式，它接收多個客戶端提交的用戶指令后，再次利用多線程技術調用相關的插件腳本，利用滲透性測試對目標系統進行檢測，并將結果和進程信息傳回客戶端顯示并保存在客戶端本地，以方便用戶查看詳細信息。

??? (2)客戶端，即控制平臺。B／S結構比傳統的C／S結構優越的地方在于方便性和與平臺無關性，用戶通過Web瀏覽器設定掃描參數，提交給服務器端，控制服務器端進行掃描工作。同時，對服務器返回的各種檢測結果進行相應的顯示、匯總和保存。

??? (3)插件系統。它保存現在已知各種漏洞檢測方法的插件，合理安排插件之間的執行順序，使掃描按既定的順序進行，以加快掃描速度提高掃描的效率與準確性。

??? (4)數據庫，即探測數據庫，是系統的核心。它保存已知各類Web漏洞的滲透性的探測數據即攻擊代碼或信息獲取代碼，比如SQL注入攻擊、跨站點腳本攻擊、會話攻擊或輸入驗證編碼信息等，逐條給目標發送探測數據，通過把返回信息與預先設定的“返回信息”和狀態碼進行匹配，進而獲得目標返回系統的健壯信息。

??? 在規劃系統體系組成部分的基礎上，如何把這些組成模塊有機地集成為一個系統也是設計本系統的重點。我們要求服務器端同時處理多用戶的連接，因此首先要進行多線程處理。在進行單用戶處理中，當用戶登陸時，檢測服務器對用戶的用戶名和密碼進行認證，判斷用戶是否具有使用權限。用戶認證通過后，檢測服務器給客戶端發送可使用的基本檢測信息。客戶端接收到服務器的這些信息后，根據具體的使用要求選擇和填寫各種檢測腳本要求的參數，或使用默認參數，然后返回給服務器端。服務器端建立新的進程，開始一個新的漏洞檢測任務，對目標系統進行掃描。

2.2客戶端的實現

??? 網絡的發展要求在任何地點進行登陸并進行掃描工作，并且漏洞檢測參數繁多、設置掃描參數具有很高的復雜性，所以選擇現在流行的Web頁面作為客戶端。這樣就可以在世界的任何地點，任何環境使用客戶端，用簡單的圖形化界面進行參數設定和系統的控制工作。

??? 客戶端在認證通過后，開始接收服務器發送過來的各種待設定的參數及相關信息以供用戶選擇。用戶根據相關幫助信息及自己相關的要求設定參數，同時設定目標系統的IP地址(或主機名)和端口號等參數。根據客戶端的參數設定，服務端建立掃描任務，對目標系統進行檢測掃描。

??? 檢測過程中，客戶可以自行設定是否實時顯示服務端掃描狀態信息及結果信息，以及在客戶端是否保存相關信息，便于用戶對掃描任務進行實時的控制，從而制定相應的安全策略。

2.3 通信協議設計

??? 自從1990年以來，人們就用Http協議進行Web數據傳輸，Http協議是一種在TCP／IP之上的request／response型協議。多數Http數據傳輸由請求服務器上的某種資源開始，通過網絡上的一些中介，如代理、網關等到達服務器，而后服務器處理請求并送回應答。但是Http 1.0并不完全支持各層代理、緩沖、持續的連接以及虛擬主機等技術。Http請求及應答數據包如圖2所示。

??? 對于目標系統Web漏洞掃描，使用滲透性的探測方法，滲透性探測方法主要通過更改Http請求信息包中的某些信息，從目標系統的應答信息包中獲取狀態信息及相關內容以判斷目標系統的輸入或軟件錯誤，或其他一些配置信息，所以要求開發者可以自定義Http請求信息包。

??? Libwhisker是一個全面的API，是由一些不同的與Web應用程序相交互的功能模塊構成的數據庫，它有如下的特點：

??? (1)可以與Http 0.9，1.0以及1.1相通信；

??? (2)可以建立持續的連接；
???
??? (3)能有效地支持代理；
???
??? (4)支持Anti-IDS技術；
???
??? (5)支持SSL；

??? (6)支持Basic和NTLM認證。

??? 所以使用Libwhisker與Http通信，以通過Libwhisker來自定義Http協議信息包以及提供相應的支持。

2.4 特征信息數據庫

??? 此漏洞掃描系統的核心就是特征信息數據庫，特征信息數據庫保存了遠程Web系統可能存在的各類Web隱患和漏洞的獲取或攻擊信息或代碼。通過給遠程Web系統發送此數據庫中的數據以獲得目標Web系統的安全性。

??? 考慮到信息的共性與個性、方便性等因素，特征數據庫信息大體分為以下幾類：

??? (1)Web系統軟件版本信息數據庫：此類信息以檢測當前Web系統相應軟件的版本隱患及其漏洞信息，以及Web系統相應軟件版本最新信息，并給出相關的提示。

??? (2)Web系統授權信息：此類信息以檢測當前Web相應系統資源的授權情況以及漏洞信息。

??? (3)漏洞控測信息數據庫：此類數據庫是最主要的信息數據庫，包含各類Web服務器中存在的各種隱患和漏洞探測信息。具體而言分為以下幾個大類：認證攻擊、授權攻擊、識別“支持”文件、識別包含文件、目錄攻擊、識別錯誤、一般的輸入驗證、源代碼泄露、URL編碼、Unicode編碼、Base64編碼、識別請求方法、SQL注入、會話攻擊、目錄遍歷攻擊以及跨站點腳本攻擊等。

??? 特征信息數據庫各記錄分別為：

??? Web服務器類別、檢測目標URI、預設返回信息、Http方法、描述信息。

2.5 Web漏洞掃描系統的實現

??? 由于允許多用戶同時使用服務器端，要求針對不同目標的掃描、檢測任務同時進行，所以執行掃描機制就成了服務器端設計中的首要問題。根據服務器并行處理的理論，而且使用B／S的總體結構，考慮到開發語言和開發環境，對于掃描服務器的構架選擇Linux平臺下的PERL開發語言，使用并發服務器的模型。

??? 并發服務器的思想是每一個客戶的請求并不由服務器直接處理，而是由服務器創建相應的子進程進行處理。對于每一個子進程而言，客戶可以設定其掃描范圍包括不只一個目標地址，同樣由服務器創建相應的子進程(即二級進程)來處理，以提高系統的掃描速度。利用Linux下的fork函數來完成一、二級進程處理功能。其流程如圖3所示。

??? 另外，由于PERL本身的效率問題，為進一步提高漏洞掃描系統的性能，對目標系統首先利用現階段已經非常成熟的工具NMAP進行端口掃描，以獲得開放的端口，在此基礎上進行進一步的端口掃描，以判斷在此端口上是否提供的是Web服務。

??? 為進一步加快掃描速度，系統使用掃描知識庫來保存已掃描過的主機信息，在獲取用戶請求以后，首先檢測知識庫，若有知識庫中保存相關信息，則不進行新的掃描工作，只需調用相關的知識庫信息返回給用戶即可。

??? 在對端口滲透性探測的實現方式上，使用插件腳本的方式來進行。用戶可以通過參數選取相應的插件執行，以進行更為完整的漏洞掃描。插件可以動態地升級，其實現方式是每次升級插件時都將已升級的插件根據既定的順序添加在插件調用清單當中，在插件執行過程中，主控程序根據插件調用清單中的插件執行順序依次調用插件。插件的執行結果擴充了各類數據庫探測信息，這樣即可以增加各類特殊的信息，進行更為深入的掃描目標Web系統以發現更新、更多的漏洞信息。

3 結語

??? 提出對Web系統進行安全掃描的必要性，以及Web漏洞掃描的基本原理，在此基礎上提出并設計了一個完整的Web漏洞掃描系統，介紹了它的協議基礎以及組成模塊。

????本文設計的Web漏洞掃描系統已經完全實現，并經過測試，該掃描器基于瀏覽器／服務器結構，可以掃描UNIX／Windows等多種平臺下的Web系統，與同類產品相比，可以看出該掃描器具有如下特點：利用多進程／知識庫等技術加快了掃描速度；掃描封裝在插件中使系統具有可擴展性；使用B／S結構使得用戶操作方便，掃描結果詳盡。此掃描系統實現了Web隱患掃描和漏洞檢測，并可以提供漏洞的修補建議，將會在很大程度上確保Web系統安全。