Web應用漏洞掃描檢測系統(tǒng)

盧志科 康曉鳳 眭楨屹 王昊 劉冀卿 孫沖沖

摘 要：Web應用系統(tǒng)已在生活中得到廣泛應用，針對這些系統(tǒng)的黑客攻擊也十分嚴重。黑客大多是利用已知漏洞進行攻擊，因此如果修補系統(tǒng)存在的已知漏洞，即可防御大多數(shù)攻擊。采用分布式架構與多線程技術設計并實現(xiàn)了一個Web應用漏洞掃描系統(tǒng)，將主動掃描與被動檢測相結合，并通過相應插件對Web系統(tǒng)進行掃描，從而快速識別出owasp10常見漏洞。用戶部署該系統(tǒng)后，可以定期對Web應用進行檢測，以識別Web應用中是否存在漏洞。通過及時發(fā)現(xiàn)漏洞并進行修補，可有效保障Web應用的安全性，將黑客攻擊風險降到最低。

關鍵詞：Web應用;漏洞檢測;黑客攻擊;分布式架構

DOI：10. 11907/rjdk. 182745 開放科學（資源服務）標識碼（OSID）：

中圖分類號：TP309文獻標識碼：A 文章編號：1672-7800（2019）008-0186-05

Web Application Vulnerability Scanning Detection System

LU Zhi-ke， KANG Xiao-feng，SUI Zhen-yi，WANG Hao，LIU Ji-qing，SUN Chong-chong

（Xuzhou Institute of Technology， Xuzhou 221000，China）

Abstract：The advantages of Web application systems make this technology widely used， and hacking attacks against these systems are becoming more serious. Most hackers exploit known vulnerabilities to attack， so if a known vulnerability is fixed in the system， one can defend against most attacks. The Web application vulnerability scanning system implemented by this system adopts distributed architecture and multi-threading technology， combines active scanning and passive detection， and scans the Web system through corresponding plug-ins， which can quickly identify the common vulnerabilities of owasp10 and the famous Know the vulnerabilities. After the user deploys the system， the Web application can be detected periodically and in time identify whether there is a corresponding ensured can be vulnerability in the Web application. Vulnerabilities are discovered instantly and patched so that the security of Web applications， minimizing the risk of hacker attacks and avoiding losses.

Key Words：Web application; Web application; hacking attacks; distributed architecture

基金項目：江蘇省大學生創(chuàng)新創(chuàng)業(yè)訓練項目（xcx2018023）

作者簡介：盧志科（1998-），男，徐州工程學院信電工程學院學生，研究方向為信息安全; 康曉鳳（1978-），女，徐州工程學院信電工程學院副教授，研究方向為信息安全;眭楨屹（1998-），男，徐州工程學院信電工程學院學生，研究方向為信息安全;王昊（1998-），男，徐州工程學院信電工程學院學生，研究方向為信息安全;劉冀卿（1999-），男，徐州工程學院信電工程學院學生，研究方向為信息安全;孫沖沖（1998-），男，徐州工程學院信電工程學院學生，研究方向為信息安全。

0 引言

Web應用系統(tǒng)已在人們日常生活與工作中得到廣泛應用，例如訂票系統(tǒng)、購物網(wǎng)站、酒店管理系統(tǒng)等，但很多Web應用系統(tǒng)中都存在漏洞。根據(jù)國家信息安全漏洞庫（CNNVD）統(tǒng)計，截至2018 年8 月31 日，CNNVD 采集漏洞總量已達114 413 個[1-2]，表明Web應用的安全問題日益突出。因此，國外一些公司推出了Web應用安全漏洞掃描器，以實現(xiàn)快速對Web應用進行漏洞掃描，具體包括：

（1）IBM Security AppScan：可提升 Web 與移動應用的安全性，在部署之前對 Web與移動應用進行測試，幫助識別安全風險、生成報告并獲取修復建議;能對常見的Web應用漏洞進行評估、掃描與檢測，包括XSS跨站腳本、SQL注入、緩沖區(qū)溢出等漏洞，從而降低系統(tǒng)遭受攻擊的可能性。此外，該掃描器可以生成漏洞掃描結果報告，并在報告中提供完善的漏洞處理建議[3]。

（2）Nessus：作為目前世界上使用人數(shù)最多的系統(tǒng)漏洞掃描與分析軟件，Nessus漏洞掃描器具有規(guī)模龐大的漏洞庫，并能實時更新。使用Nessus進行漏洞掃描，能夠給出詳細的漏洞評估報告，如漏洞描述以及相應解決方案。但在實際使用中，由于其測試時使用的測試代碼風險值較高，可能會發(fā)生在授權測試中誤刪授權企業(yè)數(shù)據(jù)庫信息的現(xiàn)象。

（3）Acunetix Web Vulnarability Scanner：一款知名的Web網(wǎng)絡漏洞掃描工具，該掃描器具有業(yè)內最先進的 SQL 注入與跨站腳本測試手段[4]。

與國外相比，國內開發(fā)的Web應用安全漏洞掃描器種類較少，主要是由各網(wǎng)絡安全公司開發(fā)的漏洞掃描器，如安恒科技的明鑒Web應用弱點掃描器、綠盟科技的綠盟極光遠程安全評估系統(tǒng)等。國內的漏洞檢測軟件性能與國外軟件相比尚存在一定差距，例如不支持并發(fā)掃描，對隱藏在需登錄驗證后才能訪問的網(wǎng)頁無法檢測等[5]。然而，國外很多商業(yè)Web應用漏洞掃描軟件雖然功能強大，但是價格昂貴，且安裝復雜，而眾多中小型企業(yè)僅需要保障基本的Web應用安全即可，因此出于節(jié)省成本考慮，通常不愿意支付高昂的授權費用[6]。

面對各種攻擊手段，企業(yè)除使用Web應用安全掃描器對自身的Web應用進行漏洞檢測外，還有一種傳統(tǒng)防御方法，即在Web應用部署完成后，針對常規(guī)攻擊手法，對應用進行基本的隔離防護。通過一層代理的方式，對用戶提交的請求與輸入內容進行過濾檢測，正常內容即通過代理提交到Web應用中進行處理，而若代理檢測到惡意請求，則立即將其攔截，以防Web應用受到攻擊。常見的采用傳統(tǒng)防御手段的系統(tǒng)主要有安全狗、云鎖、阿里云盾等，但該防御手段最大的弊端在于無法從根本上杜絕Web應用漏洞，而商用的Web應用漏洞掃描器價格高昂，對中小型企業(yè)而言性價比不高。通過對漏洞檢測系統(tǒng)的研究發(fā)現(xiàn)，傳統(tǒng)漏洞檢測系統(tǒng)通常會將所有漏洞都枚舉檢測一遍，不但運行檢測時間長，還會占用過多系統(tǒng)資源，甚至使系統(tǒng)發(fā)生崩潰[7]。本系統(tǒng)在檢測漏洞之前會先對目標進行掃描識別，判斷Web應用系統(tǒng)及服務器類別，之后用戶可選擇性地進行插件配置，從而大大提高了檢測準確率，節(jié)省了時間。此外，對于需要為自身Web應用系統(tǒng)提供安全服務且預算不高的中小型企業(yè)而言，本系統(tǒng)均采用網(wǎng)絡開源的插件框架開發(fā)，并使用免費的MongoDB數(shù)據(jù)庫，UI界面簡潔易用，用戶操作起來十分簡便。通過合理、高效的插件配置方式，可以輕松實現(xiàn)對Web應用的常規(guī)性漏洞檢測掃描，大大降低了黑客攻擊的風險。

1 系統(tǒng)設計

1.1 Python多線程

多線程技術是指在系統(tǒng)中從軟件或硬件角度實現(xiàn)多個線程并發(fā)執(zhí)行的技術。因此，本系統(tǒng)采用多線程技術，以提高掃描效率、節(jié)省掃描時間。Python中由threading模塊提供多線程操作，調用threading類中相應函數(shù)即可實現(xiàn)線程相關操作。

1.2 OWASP TOP10漏洞介紹

OWASP（Open Web Application Security Project）開放式Web應用程序安全項目是一個非營利組織，旨在分析每年的Web應用漏洞，并從中歸納出現(xiàn)次數(shù)最多的Web應用漏洞類型，其中排名前10的分別為SQL注入、失效的身份認證與會話管理、跨站腳本（XSS）、不安全的直接對象引用、安全配置錯誤、敏感信息泄漏、功能級訪問控制缺失、跨站請求偽造（CSRF）、使用含有已知漏洞的組件、未驗證的重定向與轉發(fā)[8]。該組織每年都會發(fā)布一份詳細的Web應用十大威脅安全報告，權威性極高。

1.3 端口掃描

端口掃描采用SYN掃描技術，掃描節(jié)點向待檢測主機特定端口發(fā)送請求連接的SYN包，掃描節(jié)點收到SYN/ACK包后，則發(fā)送RST包請求斷開連接，而不是相應的ACK包。因此，TCP三次握手將無法完成，正常連接也無法進行。同時，此次探測也不會進行系統(tǒng)日志記錄。SYN掃描不會在待檢測主機上留下痕跡，屬于比較隱蔽的一種掃描方式。其掃描流程為：SYN給目標主機發(fā)送初始SYN數(shù)據(jù)包，如果端口開放，則響應SYN-ACK數(shù)據(jù)包;如果關閉，則響應RST數(shù)據(jù)包。

1.4 指紋識別

指紋識別可用于探測目標服務器類型，幫助人們進一步探測服務器級別的漏洞，并從該級別進行滲透測試。指紋識別通常采用的技術為Banner抓取，Banner抓取是最簡單、基礎的指紋識別技術，而且不需要其它專門工具即可進行。其操作簡單，獲取的信息通常也相對準確。通過telnet獲取Banner信息如圖1所示。

圖1 通過telnet獲取Banner信息

然而，越簡單的方法越容易被防御，如今該方法成功率也越來越低。數(shù)據(jù)包分析則是另一種較為復雜的識別方式，通過發(fā)送特殊構造的數(shù)據(jù)包到目標服務器，目標服務器會返回一定結構的響應包。掃描節(jié)點分析響應數(shù)據(jù)包特定結構后，與事先配置的指紋數(shù)據(jù)庫進行對比，從而識別出相應服務或服務器[9]。所有黑客攻擊最初必然是對目標系統(tǒng)進行信息搜集，重點為探測服務器類型，確定服務器內容后即可確定攻擊范圍，甚至直接找到攻擊方法。本系統(tǒng)采用Banner抓取與數(shù)據(jù)包分析相結合的方式進行識別檢測，從而提高指紋識別準確度。

1.5 分布式架構

分布式系統(tǒng)（Distributed System）是建立在網(wǎng)絡之上的軟件系統(tǒng)，其具有以下幾個特性：①內聚性：指每一個數(shù)據(jù)庫分布節(jié)點高度自治，并具有本地的數(shù)據(jù)庫管理系統(tǒng);②透明性：指每一個數(shù)據(jù)庫分布節(jié)點對用戶應用都是透明的，無法看出是本地還是遠程。在分布式數(shù)據(jù)系統(tǒng)中，用戶感覺不到數(shù)據(jù)是分布式的，即用戶不需要知道關系是否分割、有無副本、數(shù)據(jù)存在于哪個站點，以及在哪個站點上執(zhí)行分布式架構能夠有效解決傳統(tǒng)掃描檢測系統(tǒng)運行緩慢、效率低下等問題，從而能夠最大程度上合理利用服務器資源，從根本上提高企業(yè)工作效率，還能確保漏洞檢測的準確性，同時保證檢測質量與效率[10] 。

2 系統(tǒng)實現(xiàn)

2.1 系統(tǒng)實現(xiàn)目的與意義

針對中小型企業(yè)進行的攻擊大多是黑客為了獲取服務器權限而進行的，黑客通常會利用互聯(lián)網(wǎng)上的已知漏洞編寫自動化的漏洞利用代碼，以批量地對互聯(lián)網(wǎng)上未打補丁的Web應用系統(tǒng)進行攻擊，攻擊成功后通過植入惡意程序實現(xiàn)對服務器的控制，從而盜取錢財。如果及時發(fā)現(xiàn)并修補該漏洞，這些攻擊代碼則會失去作用，從而成功抵御黑客攻擊。

然而，對于黑客而言，最大的漏洞是人本身，企業(yè)內部人員有時為了方便記憶，密碼設置很簡單，因而黑客通過弱口令即可輕松進入系統(tǒng)。本文使用定制漏洞模塊中的ssh弱口令檢測進行掃描演示，新增掃描任務與ssh弱口令檢測結果如圖5、圖6所示。

圖5 新增掃描任務

圖6 ssh弱口令檢測結果

2.4 信息統(tǒng)計模塊

信息統(tǒng)計主要是對掃描檢測后的結果進行分類統(tǒng)計，并用圖表方式進行顯示。通過系統(tǒng)Web端界面可以直觀地看到相應網(wǎng)絡資產(chǎn)、內網(wǎng)分布情況以及漏洞信息，以方便用戶使用。該模塊首先讀取數(shù)據(jù)庫Info集合中的記錄，之后通過View.py中的Analysis（）函數(shù)分析顯示在頁面analysis.html上。信息統(tǒng)計模塊能夠對掃描檢測后的結果進行分類統(tǒng)計[18]，如圖7所示。

圖7 信息統(tǒng)計結果

2.5 插件管理模塊

插件管理主要分為掃描規(guī)則配置與檢測插件配置兩大模塊。掃描規(guī)則配置主要用于系統(tǒng)掃描最大線程、連接超時時間、資產(chǎn)探測周期、識別規(guī)則、端口探測列表等配置;檢測插件配置分為在線更新插件、單機更新插件兩種。在線更新插件通過網(wǎng)絡下載獲取指定網(wǎng)站的插件腳本，單擊更新插件需要用戶具有一定編程能力，能夠自己編寫相應檢測腳本。用戶按照系統(tǒng)規(guī)定格式進行漏洞檢測Poc的編寫，并將其上傳到掃描節(jié)點，然后將其配置到相應檢測節(jié)點，即可對特定漏洞進行檢測。插件上傳成功后，可在vulscan目錄下找到該插件。插件管理模塊頁面上所有插件名稱，點擊插件名稱會顯示插件詳細信息。新增插件分為JSON格式與腳本格式，插件模塊界面如圖8-圖10所示。

圖8 插件管理模塊

圖9 新增JSON插件界面

圖10 新增腳本插件界面

3 結語

很多公司對Web應用的安全問題并沒有足夠重視，只有在漏洞被攻擊并造成嚴重損失后才會重視安全問題。在最新的《中華人民共和國網(wǎng)絡安全法》中規(guī)定[19]：網(wǎng)絡產(chǎn)品與服務提供者應為其產(chǎn)品、服務持續(xù)提供安全服務。由于漏洞具有復雜多變等特點，人工檢測費時費力，因此可通過一款自動化的Web應用漏洞檢測軟件進行輔助檢測，以提高檢測效率。William等提出了典型的“信息收集—攻擊生成—響應分析” Web安全漏洞掃描技術流程，很多掃描技術都可歸納在該流程框架中。大多數(shù)掃描器首先通過信息收集，分析出目標的Web服務器、Web容器與其使用的Web開發(fā)框架。根據(jù)搜集到的信息配置相應參數(shù)并生成攻擊載荷，最后根據(jù)返回的響應判斷是否存在漏洞[20]。本系統(tǒng)的掃描技術流程也遵循該規(guī)律，例如檢測SQL注入，首先通過爬蟲爬取目標相應鏈接，然后將批量注入語句通過post或get請求發(fā)送到相應鏈接，之后對其返回包進行分析，檢測是否存在SQL注入漏洞。Web安全掃描技術屬于黑盒測試方法，測試人員一般會在有用戶輸入的地方輸入一些敏感信息，根據(jù)回顯判斷是否存在漏洞。漏洞掃描系統(tǒng)本質上相當于安全人員手工測試漏洞的抽象模型，雖然在測試結果分析方面，掃描系統(tǒng)往往不如安全人員靈活，但隨著人工智能技術的飛速發(fā)展，也有研究者提出將人工智能技術與漏洞掃描技術相結合的方案。若能將兩種技術成功融合，將會對漏洞掃描分析技術帶來重大變革，對滲透測試領域也將產(chǎn)生重要影響。

參考文獻：

[1] 中國信息安全測評中心. 國家信息安全漏洞通報[J]. 中國信息安全，2018（9）：112-117.

[2] 孫冰. 網(wǎng)絡黑產(chǎn)變形升級，你中招了嗎？[J]. 中國經(jīng)濟周刊，2018（30）：37-40.

[3] ANTUNES N， VIEIRA M. Detecting vulnerabilities in service oriented architectures[C]. Dallas：IEEE International Symposium on Software Reliability Engineering Workshops. IEEE， 2013.

[4] 高曉峰. 漏洞你先知，電腦更安全[J]. 計算機與網(wǎng)絡，2016，42（13）：51.

[5] 顧明昌，王丹，趙文兵，等. 一種基于攻擊向量自動生成的XSS漏洞滲透測試方法[J].? 軟件導刊，2016， 15（7）：？173-177.

[6] 孫曉飛. Web應用漏洞分析與檢測的研究[D]. 北京：北京郵電大學，2016.

[7] MAKINO Y，KLYUEV V. Evaluation of Web vulnerability scanners[C]. Warsaw：2015 IEEE Internation Conference on Intelligent Acquisition and Advanced Computing Systems： Technology and Applications， 2015：399-402.

[8] 王文君，李建蒙. Web應用安全威脅與防治：基于OWASP TOP10與ESAPI[M]. 北京：電子工業(yè)出版社，2013.

[9] 劉璇. 白帽子講Web掃描[M]. 北京：電子工業(yè)出版社，2017.

[10] 李彥鵬，楊彪. 分布式服務架構：原理、設計與實戰(zhàn)[M]. 北京：電子工業(yè)出版社，2017.

[11] MICHAEL S， ADAM G. 模糊測試：強制性安全漏洞發(fā)掘[M]. 黃隴，于莉莉，李虎，等，譯. 北京：機械工業(yè)出版社，2009.

[12] PATRICK E. 滲透測試實踐指南：必知必會的工具與方法[M]. 姚軍，姚明，譯.? 北京：機械工業(yè)出版社，2013.

[13] STUART M. 黑客大曝光網(wǎng)絡安全機密與解決方案 [M]. 第7版. 趙軍，等，譯. 北京：清華大學出版社，2012.

[14] 張炳帥. Web安全深度剖析[M]. 北京：電子工業(yè)出版社，2015.

[15] WEINBERGER J，SAXENA P，AKHAWE D，et al. A systematic analysis of XSS sanitization in Web application frameworks[M]. Berlin：Springer Berlin Heidelberg， 2011.

[16] JUSTIN S.Python 黑帽子：黑客與滲透測試編程之道[M]. 孫松柏，李聰，潤秋，譯.? 北京：電子工業(yè)出版社，2015.

[17] ARMANDO F. Python數(shù)據(jù)分析[M]. 韓波，譯. 北京：人民郵電出版社，2018.

[18] 全國人民代表大會常務委員會. 中華人民共和國網(wǎng)絡安全法[M]. 北京：人民出版社，2016：1-36.

[19] HALFOND W G， CHOUDHARY S R， ORSO A. Improving penetration testing through? static? and? dynamic? analysis[J]. Software? Testing，? Verification? andReliability， 2011，21（3）： 195-214.

[20] LWIN K S， LIONEL C， et al. Application vulnerability prediction using hybrid program analysis and machine learning[J]. IEEE Transactions on Dependable and Secure Computing，2015，12（6）：688-707.

（責任編輯：黃 健）