专为复杂web环境设计的安全扫描器UnisWebScanner

【.com 综合消息】随着各种各样的Web应用(电子商务、论坛、新闻、博客等)不断进入人们的生活,越来越多的动态元素被加入到Web建设中来。表单、登录、信息发布等动态内容允许访问者获得和提交动态的内容,如果这些Web应用存在不安全的隐患,那么整个数据库甚至是Web站点系统都会面临安全风险。据统计,目前75%的网络攻击行为都是通过Web来进行的。

对Web应用的安全性进行手工测试和审计是一项复杂且耗时的工作,不仅需要极大的耐心还需要专业的技术经验。对于一般的Web管理人员来说,基于安全的管理将占用大量工作时间。自动化的漏洞扫描工具能够大幅简化对于未知安全隐患的检测工作,有助于Web管理人员将精力转向如何处理安全风险上。

UnisWebScanner 专为当前复杂的Web环境而设计,作为自动化的Web应用安全检测工具,能够对SQL注入、XSS、网站挂马、敏感信息泄漏等风险进行全面审计,适用于通过internet、intranet、extranet进行网上交易或信息发布的大、中、小型应用,如金融、证券、政府、电子商务、电信运营商、基金、网游、科研院所等各类企事业单位。

结构说明

【UnisWebScanner主界面】

 
图 1 主界面

【扫描引擎】

用于对网站进行安全扫描,包含2个步骤:

爬虫 —— 自动分析网站,输出网站结构。

扫描 —— 从攻击者角度思考,智能化扫描。

【漏洞验证】

如果发现有注入点,可以通过漏洞验证模块猜测数据库类型、枚举数据库、表、读取系统文件等。

【辅助工具】

代理测试台提供代理的功能,帮助您截获、检查和修改HTTP客户端到Web服务器的通信,如分析Session ID、越过客户端javascript验证等。

3.5产品许可证

您需要注册后才可使用UnisWebScanner的全部功能。欲购买产品许可证,请联系产品提供商。  #p#

一、安装部署

1.安装需求

 
表1

2.安装过程

获得产品

从产品提供商获得产品及使用手册。 

安装

运行安装程序,直到安装完成。 

提供必要的注册信息

在“关于”->“用户注册”对话框中获取系统信息,并提供自己的名称和网站域名授权信息。 

获得许可证

从产品提供商处获得许可证。 

注册

在“关于”->“用户注册”输入“用户信息”和“注册信息”。 

升级插件在“关于”,点击“升级”,更新漏洞库、规则库到最新版本。

3.卸载

可以在“添加/删除程序”中卸载程序,也可以在开始菜单中通过快捷方式进行卸载。 #p#

二、使用说明

注意事项:根据中华人民共和国相关法律规定,本产品只适用于已获得扫描授权的网站。任何违反法律规定的行为由使用者自行承担,与UnisWebScanner及开发者无关,特此声明。

1.向导

为了方便用户直接使用本产品的功能,UnisWebScanner提供了使用向导,只需您填写或选择一些必要的信息,就可以快速开始(按照系统默认配置,适用于大多数的应用环境)进行扫描。

2.网站扫描

网站扫描是本产品第一大功能,对网站的安全漏洞进行检测,如:SQL注入、跨站脚本、网页挂马、敏感文件泄漏、敏感目录泄漏及后台管理信息泄漏等。

 
图2   网站扫描

对目标网站进行扫描时,需要提供如下的必要信息:

1)输入扫描网站的起始URL

http://XXX

XXX

https://XXX

http://XXX:80 

XXX:80 等

2)输入Cookie

有些网站需要输入用户名、密码后才能登入,在扫描前需要将登陆后的Cookie填入,并将登陆后的URL输入“起始URL”输入框中;其他地方可不必填写。

3)选择扫描策略

可以选择特定的扫描策略模块,也可以选择全部扫描策略模块(在“配置”->“策略配置”中选择全部策略模块中的例外模块)。

4) 点击“开始”进行扫描

扫描过程中右侧的状态窗口中会显示进度及数据统计,下方日志窗口中显示实时的日志信息和错误信息。

5)终止扫描

点击停止按钮,注意查看下方的日志信息,程序会终止工作线程。

在整个扫描过程中,您可以通过扫描状态栏看到当前正在检测的模块,以及检测结果的实时信息,如下图所示: 

 
图3   扫描信息

您可以在图3中的漏洞统计信息中查看详细的漏洞列表。为了便于查看,软件将同一链接的漏洞进行了归类显示,这样可以很清楚的看到哪些链接存在安全隐患。如图4和图5所示。

 
图4   漏洞列表信息

 

 
图5   漏洞详细信息

您可以右键点击该漏洞,对该漏洞进行验证,详见漏洞验证相关章节。

 
图6   快捷验证漏洞

 #p#

3.漏洞验证

3.1漏洞基本信息

漏洞基本信息的填写有两种方式:一是右键点击扫描结果中的注入漏洞列表,选择验证漏洞,此时将自动输入漏洞信息;二是手工填写注入漏洞列表,需要填写如下参数。 

 
图7   漏洞基本信息

1)链接

具有注入漏洞的链接地址,如果是GET方式,则该链接必须带参数,即:XXX/XX.XXX?XX=XXX,如果是POST方式则可以带参数也可以不带。

2)Cookie

同网站扫描部分的Cookie,请参考网站扫描部分关于Cookie的说明。

3)方法

选择GET或者POST

4)参数

此处为POST的参数

5)位置

此处为具有注入漏洞的参数的位置号

6)类型

注入漏洞的类型:整数型、字符串型以及搜索行,扫描结果中的注入漏洞列表中会提供相应的信息,如果是手动输入,请手工确认漏洞信息。

7)关键字

关键字必须通过人工的方式来确认(可以通过本软件的辅助工具中的手工测试台),所谓关键字是指当参数后面所跟条件为恒成立时,网站反馈的网页内容中必然包含的字符串,并且是当参数后面所跟条件为恒不成立时,网站反馈的网页内容中必然不包含该字符串,则该字符串为关键字。【请注意阅读此“关键字”部分】

8)数据库类型

填入以上信息后,可以通过点击猜测数据库类型来进行猜测,根据数据库不同的类型可以猜测相应数据库的属性以及数据的内容。

注意: 

MSSQL With Error数据库类型即后台数据库为MSSQL,并且WEB服务器支持错误信息的反馈。 

对于Access数据库类型的猜测只支持带错误显示的Web服务器。

3.2数据库基本信息猜测

当猜测完数据库类型后,可以利用注入漏洞来猜测相应数据库的基本信息,如:数据库名称、版本、账户名称等信息。 

 
图8  数据库基本信息

3.3数据库内容猜测

数据库内容的猜测有两种方式:一是根据数据库自身的字典进行猜测,Oracle、MSSQL、MSSQLWithError属于该类型;二是通过外部字典方式来进行猜解,Access属于该类型,因此对Access数据库的猜测依赖于外部字典的强大,本软件默认使用dict目录下的字典文件,用户可以编辑该文件以增强字典的功能。数据库的猜测顺序为:猜测表名、猜测某一表的列名、猜测某一表某些列的内容。为了提高猜测的性能以及准确度,您需要填写如下信息。

1)编码方式

猜测非中文字符一般不需要指定,采用默认的ASCII码方式即可,如果猜测结果出现乱码或空字符,则可能是由于其中包含中文字符,此时需要更改编码的方式,可以逐一尝试,直到猜测到正确字符为止。

2)猜测条件

当猜测表名、列名以及数据内容时,数据量过大,猜测可能需要花费很长的时间,这时可以通过设定限制条件来进行过滤,如:猜测MSSQLServer数据库的表名时,可以输入:name like '%user%' ,猜测Oracle数据库表名时,可以输入:table_name like '%user%'。

 
图9  数据库内容

 #p#

4.辅助工具

4.1手工测试

通过手动的方式来定制发送到WEB服务器的参数获取网页内容,通过这种方式可以测试漏洞、获取关键字等。

 
图10  手动测试台

其中:

HTTP头,显示服务器反馈的信息头内容。

网页格式,显示浏览器中显示的内容。

网页源代码,即为该网页的原始代码。

5.设置

通常情况下,软件已经默认定制了通用的扫描方式和属性,适应大部分网站扫描。如果遇到一些特殊情况,可以通过设置来定制扫描方式和属性。

5.1  HTTP选项设置

 
图11   HTTP配置选项

UserAgent:扫描网站时在HTTP头设置UserAgent的字符串,如果某些网站限制特定UserAgent的访问,则需要修改默认值。 页面大小:当遇到过大的网页或者其他文件时,网页爬虫就不需要获取,如,爬虫爬到某一比较大的avi文件时,就不需要获取其详细内容。 网络超时:您可以灵活设置。

5.2爬虫设置

 
图12   爬虫设置

文件后缀过滤:爬虫遇到一些二进制文件,由于其中不可能会包含下一级的链接地址,因此不需要获取其具体内容。 

表单内容填写:当爬虫爬到一些需要用户输入的表单内容时,爬虫需要自动填写的内容,软件默认值为:1

5.3检测设置

 
图13   检测设置

参数过滤:某些参数是WEB的一些通用参数,这些参数是某些语言的一些默认参数,因此不需要检测这些参数,以提高检测效率。 

网页检测次数:对于同一网页脚本不同参数,检测结果一般相同,没有必要连续检测过多的次数。

5.4策略配置

 
图14   策略配置

在扫描策略选择时选择全部策略,可能不希望进行某几个模块的检测,可以在这里进行设定。#p# 
 
三、常见问题

Q1: 当输入扫描地址并点击开始后,程序无反应。

A1: 产品没有注册,或没有输入注册码激活,请检查您的许可证。

Q2: 安装完成后,程序不能运行是怎么回事?

A2: UnisWebScanner是基于.NET框架构建进行开发的,运行这样的程序您需要首先安装 .NET框架,当前最新版本是3.5 SP1,可以在

http://msdn.microsoft.com/en-us/netframework/default.aspx处进行下载。

Q3: 开始扫描网站后,马上就结束了,为什么?

3: 指定的目标网站首页可能是flash等文件,请跳过该页,指定一个包含该网站主要导航链接的“首页”进行扫描。

Q4: 网站扫描了快10个小时了,还没完,是不是出错了?A4: 可能是指定的网站较大页面数量较多,也可能是其他的原因,请及时联系我们的技术服务团队。

Q5: 谢谢您们的产品,但我希望能确定网站是否存在漏洞并获得解决方案,能帮助我吗?

A5: 是的。UnisWebScanner团队多年来专注于Web安全研究,您可以随时申请我们专业的服务支持。

四、 附录

附录1:HTTP状态码

摘自HTTP 协议(版本1.1)RFC 2616,详细信息参见

http://www.ietf.org/rfc/rfc2616.txt

100: Continue

101: Switching Protocols

200: OK

201: Created

202: Accepted

203: Non-Authoritative Information

204: No Content

205: Reset Content

206: Partial Content

300: Multiple Choices

301: Moved Permanently

302: Found

303: See Other

304: Not Modified

305: Use Proxy

307: Temporary Redirect

400: Bad Request

401: Unauthorized

402: Payment Required

403: Forbidden

404: Not Found

405: Method Not Allowed

406: Not Acceptable

407: Proxy Authentication Required

408: Request Time-out

409: Conflict

410: Gone

411: Length Required

412: Precondition Failed

413: Request Entity Too Large

414: Request-URI Too Large

415: Unsupported Media Type

416: Requested range not satisfiable

417: Expectation Failed

500: Internal Server Error

501: Not Implemented

502: Bad Gateway

503: Service Unavailable

504: Gateway Time-out

505: HTTP Version not supported extension-code

本文题目:专为复杂web环境设计的安全扫描器UnisWebScanner
本文来源:http://www.shufengxianlan.com/qtweb/news11/323911.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联