Web漏洞扫描:场景可视化重现技术(上)
近年来,针对运营商、政府电子政务互动平台、企事业门户网站及教育医疗机构的拖库、挂马与防篡改事件越发频繁,Web安全成为公众关注焦点。
大多受害单位已经部署并使用扫描器去评估其风险性,以便提前发现潜在安全隐患,及时安全加固以保障网站业务的正常持续运转。反观扫描器使用群体的变化,已由专业安全人士更多地转向网站安全运维人员,这就给扫描器自身的可用性和易用性提出高要求。而扫描器的核心能力,如何帮助用户快速发现漏洞、识别漏洞并定位漏洞,以及什么样的验证场景可以确定漏洞真实存在就成为亟待解决的首要问题。
易读性差的现状
由于受限于目标网站环境的复杂性、漏洞种类的多样性,扫描器或多或少存在误报。为保证漏洞发现的权威性,增强报告内容的可信度,扫描器本身必须能清晰地给出:漏洞是如何被发现的,哪些页面及参数有问题,风险详情如何,有无重现该漏洞发现的场景分析文件,向导式的二次验证等。而如何对发现的漏洞进行权威验证这一点,一直是业界关注的焦点话题。
图1需要二次解读的扫描报告
可视化漏洞分析
基于现状,绿盟科技提出一种可视化的Web漏洞分析方法。该方法依据漏洞种类的不同,从扫描器判断漏洞存在的角度:
首先从逻辑层面给出相关标准,作为判断此漏洞是否存在的条件依据;
其次从漏洞触发层面列出该漏洞发现时的具体交互方式,如通过哪些检测手段,构造哪些URL参数;再从数据支撑层面列出漏洞检测过程中所交互的所有数据信息,如扫描器发送的网络请求与站点响应报文以及对应的具体页面源码文件等;
最后,整个漏洞分析过程统一打包成离线场景文件。此方法可让评估者轻松还原漏洞发现场景,重现漏洞发现的每一步直至全过程,真正实现漏洞分析过程的简单可视、通俗易懂,进而为下一步可能进行的漏洞误报确认提供可视化验证场景,达到准确识别的权威效果。如图2所示,整个可视化漏洞分析方法为用户提供了一个循序渐进,全面认知漏洞的过程。
1)判断标准
Web漏洞的形成有很多因素,不同漏洞的表现形式和产生原因差异很大,扫描器在确认漏洞的同时,需要给出针对该漏洞的判断标准和参考依据。
2)执行详情
知道漏洞的产生原因和表现形式外,还需要构造可以产生这个漏洞的充分必要条件,明确哪些具体的操作和方法能够触发这个漏洞,使其通过可理解的直观现象展示出来,并最终与判断标准相符合。
3)过程报文
漏洞的探索和发现不是一蹴而就的,是一个有强烈依赖关系的发包探测、规则匹配的逻辑过程。过程报文还原了整个探测过程中的收发包情况,探测方对被探测Web站点都发送了哪些请求,对方服务器是如何应答的,过程报文都一一记录,为分析漏洞和网站实时响应提供有利数据。
图2 可视化漏洞分析方法
本篇介绍了可视化的分析方法与web安全的现状,下篇将针对几种常见漏洞类型,利用本篇所介绍的可视化分析方法分别进行具体阐述。
评论