漏洞扫描的实现方法 【技术领域】
本发明涉及一种漏洞扫描的实现方法,具体是一种自动检测远程或本地主机安全性弱点的漏洞扫描的实现方法,属于网络技术领域。
背景技术
经文献检索发现,在IBM(美国国际商用机器公司)公司李志强的《网络漏洞扫描器的设计与实现》一文(出处:IBM《developerWorks专刊》2002年11月)中对漏洞扫描器的技术进行了详细的描述:漏洞扫描器用来自动检测远程或本地主机安全性弱点,分为两种类型:主机漏洞扫描器和网络漏洞扫描器。网络漏洞扫描器通过远程检测目标主机TCP/IP(用于网络的一组通讯协议,包括传输控制协议和网际协议)不同端口的服务,记录目标给予的回答。在获得目标主机TCP/IP端口和其对应的网络访问服务地相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。此外,通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,也是扫描模块的实现方法之一。如果模拟攻击成功,则视为漏洞存在。
漏洞扫描器主要采用的网络扫描技术是通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的回答。存在的不足之处是:常规扫描设计往往在探测到表面漏洞后,不再做进一步的探测处理,因此只能防止一些简单黑客探测和攻击,没有去处理更深一层的漏洞,这会给一些熟练的黑客留下了突破口;另外在漏洞扫描方式单一,对于不同的目标,扫描的方式固定,不够灵活。比如对于Web服务器的扫描测试,一般只是进行简单的GET(浏览网站信息时的一种请求方式)请求,这只能适应一般网站的安全测试要求,对于需要验证客户信息的网站这样的测试是不够全面的,对于需要验证客户信息的网站,还需要进行诸如伪造Cookie(当你访问某个站点时,随某个超文本链接标示语言网页发送到你的浏览器中的一小段信息)进行GET请求测试,这样的扫描测试才能得到待测服务器实际的安全状况。
【发明内容】
本发明的目的在于弥补现有实现方法的局限性,提供一种漏洞扫描的实现方法,使其在探测漏洞后的进一步处理(加强探测的深度)和探测方式的灵活性方面进行改进,为系统和网络的漏洞扫描处理提供了全面有效的解决方案。
本发明是通过以下技术方案实现的,本发明主要针对Web和SMTP服务器的漏洞扫描方法进行改进,方法如下:采用漏洞扫描器,该漏洞扫描器结构包括用户端、浏览器、扫描主机和目标主机四部分,所述的扫描主机部分包含控制平台、扫描模式设置模块、扫描模块和漏洞库,其中扫描模式设置模块包括扫描方式的设置和扫描深度的选择,该模块采用插件的方式嵌入到控制平台中,用户端利用Web浏览器对远程的扫描主机进行远程控制,通过扫描主机上的控制平台由用户设置扫描深度和扫描方式,即选择进行邮件服务的SMTP漏洞扫描或者是Web服务器的HTTP漏洞扫描,并利用扫描模块把扫描的深度从单次扫描扩充到二次扫描甚至更深层次的扫描,设置完毕后则可以利用扫描主机使用其上的漏洞库来对目标机进行漏洞扫描,最后给出扫描测试报告。
扫描主机包含的四个部分中,扫描模式设置模块是添加新的功能块,主要包括扫描方式的设置和扫描深度的选择,该模块采用插件的方式嵌入到控制平台中,利于扫描模式设置的更新,实现扫描方式的灵活性。目前常规扫描实现方法的扫描主机中只考虑了控制平台、扫描模块和漏洞库三个模块,该模块的添加设计是本发明创新的一个方面,其目的是实现扫描方式的灵活性,弥补了常规扫描实现方法的扫描方式单一性的不足。扫描主机部分中扫描模块的功能与常规扫描实现方法中扫描主机的扫描模块一般只实现单次扫描相比,本发明在这方面进行改进,扫描模块可以把扫描的深度从单次扫描扩充到二次扫描甚至更深层次的扫描,并且能生成详细明了的目标主机的安全状况报告。
以下对本发明作进一步的说明,本发明中提到的扫描流程具体如下:
(1)邮件服务的SMTP漏洞扫描流程具体为:
a.用户运行扫描主机中的扫描模块进行网段内SMTP服务初扫描;
b.扫描模块生成初步扫描结果,扫描结果分出授权和未授权的服务;
c.根据用户的要求和b操作生成的扫描结果,依据用户的设置判断是否需要进行进一步扫描;
d.在c操作中当用户选择进行深入扫描或是b扫描的目标服务器得到的结果是授权的服务,则对目标服务器的某个邮件地址发送测试邮件,进而判断目标服务器是否具有限制邮件附件大小、是否有邮件接续、是否有病毒过滤等功能,即进行e、f、g,否则给出当前扫描网段的测试报告;
本发明设计发送5种测试邮件,参考的是RFC(请求注解,Internet标准(草案))2045-2048,邮件采用BASE64编码:(1)无附件的一封信,(2)携带0.1M附件的一封信,(3)携带1M附件的一封信,(4)携带2M附件的一封信,(5)携带标准病毒测试文件的一封信。
e.扫描模块进行深入测试之一,测试是否限制邮件附件大小功能;
f.扫描模块进行深入测试之二,测试是否有邮件接续功能;
g.扫描模块进行深入测试之三,测试是否有病毒过滤功能;
h.经过e、f、g测试后扫描模块生成深入扫描的测试报告。
在进行到判断是否进行进一步扫描操作时,初步扫描结果给出目标系统的分析,给用户选择下一步的操作,依据的策略是目标主机是否允许未授权就可以发信和用户是否需要进行进一步的测试,两则策略都满足时则进行e,f,g的操作,两则中缺少一则或都缺少时只进行生成当前扫描网段初步测试报告操作。此外e,f,g操作为并行过程,用户可以根据需要选择进行处理,可以选择一种或多种测试(默认设置为选择3种测试)。
(2)Web服务器的HTTP漏洞扫描流程具体为:
a.用户通过运行扫描主机的控制平台进行简单的GET请求测试;
b.如果用户事先在扫描主机的扫描模式设置模块中设置要求进行严格扫描的参数,则扫描模块直接进行要求严格扫描方式的扫描测试,转入f操作,否则转入c操作;
c.扫描模块生成简单GET请求测试结果供用户查看系统的安全状况;
d.根据c生成的结果和用户当前在扫描模式模块中设置的扫描参数,判断是否需要采用更严格的扫描模式,选择需要严格再扫描转入f操作,否则转入e操作;
e.根据d的选择,扫描模块生成待测系统安全状况的测试报告。
f.根据d的选择,扫描模块进行严格扫描模式的扫描测试;
g.扫描模块生成深入扫描后的测试报告。
本发明经过探测后再处理,能够根据初步测试的结果进一步探测,克服原有扫描技术的片面性,可以全面的扫描并分析目标主机的漏洞情况;灵活的扫描模式设计方式,在原有单一扫描方式的基础上,添加了扫描模式设置模块,用户可以根据需求进行扫描模式的设置,灵活选择多种扫描方式,从而达到更准确测试目标主机安全状况的目的。整个远程扫描过程中操作方便,与常见扫描系统相比,本发明添加了扫描模式设置模块,可以根据不同的请求和针对不同的目标主机的安全要求进行扫描模式的设置,提供了灵活的扫描方式。实践显示改设计方案在漏洞扫描方面带来的效果是明显的,给漏洞维护和管理提供了详细的报告,为系统维护人员提供了目标主机的全面的安全状况测试报告。
【附图说明】
图1是本发明方法原理图。
图2是本发明的邮件测试流程示意图。
图3是本发明的Web测试流程示意图。
【具体实施方式】
本漏洞扫描实现方法应用于S219东方网服务器安全增强平台,主要进行漏洞扫描等模拟攻击测试。
漏洞扫描测试主要包括常见的HTTP、CGI(公共网关接口)等Web服务漏洞和POP(电子邮件的接收)、SMTP之类的邮件服务漏洞。本发明的扫描方法的原理示意图见图1。
如图1所示:用户利用Web浏览器对远程的扫描主机进行远程控制,通过扫描主机上的控制平台由用户设置扫描深度和扫描方式(即选择进行SMTP扫描或者是Web服务器的HTTP漏洞扫描),并利用扫描模块的功能,把扫描的深度从单次扫描扩充到二次扫描甚至更深层次的扫描;设置完毕后则可以利用扫描主机使用其上的漏洞库来对目标机进行漏洞扫描。
如图2所示,邮件服务的SMTP漏洞扫描流程具体为:
a.用户运行扫描主机中的扫描模块进行网段内SMTP服务初步扫描;
b.扫描模块生成初步扫描结果,扫描结果分出授权和未授权的服务;
c.根据用户的要求和b操作生成的扫描结果,依据用户的设置判断是否需要进行进一步扫描;
d.在c操作中当用户选择不进行深入扫描或是b扫描的目标服务器得到的结果是未授权的服务则不深入扫描,给出当前扫描网段的测试报告,否则转e、f、g;
e.扫描模块进行深入测试之一,测试是否限制邮件附件大小功能;
f.扫描模块进行深入测试之二,测试是否有邮件接续功能;
g.扫描模块进行深入测试之三,测试是否有病毒过滤功能;
h.经过e、f、g测试后扫描模块生成深入扫描的测试报告。
e,f,g操作为并行过程,根据需要选择一种或多种测试进行,默认设置为选择三种测试。
以对网段192.0.0.1-192.0.0.255内的IP进行SMTP扫描为例,具体实施情况如下描述。
1.用户A对内网网段1920.0.1-192.0.0.255内的IP(网络地址)进行初步扫描;
2.扫描结果中IP为192.168.0.42的服务器的SMTP服务不需要验证就能发信,此时将服务器的危险等级初步定为中级;
3.对192.168.0.42进行深入扫描测试,向服务器发a.无附件的一封信;b.携带0.1M附件的一封信;c.携带1M附件的一封信;d.携带2M附件的一封信;e.携带标准病毒测试文件的一封信,共5封信。
4.显示5封信的发送成功与否情况,对测试服务器192.168.0.42进行安全评估,如果5封测试信件均能发送成功,则将服务器的危险等级评测为高级。
如图3所示,Web服务器的HTTP漏洞扫描流程具体为:
a.用户通过运行扫描主机的控制平台进行简单的GET请求测试;
b.如果用户事先在扫描主机的扫描模式设置模块中设置要求进行严格扫描的参数,则扫描模块直接进行要求严格扫描方式的扫描测试,转入f操作,否则转入c操作;
c.扫描模块生成简单GET请求测试结果供用户查看系统的安全状况;
d.根据c生成的结果和用户当前在扫描模式模块中设置的扫描参数,判断是否需要采用更严格的扫描模式,选择需要严格再扫描转入f操作,否则转入e操作;
e.根据d的选择,扫描模块生成待测系统安全状况的测试报告。
f.根据d的选择,扫描模块进行严格扫描模式的扫描测试;
g.扫描模块生成深入扫描后的测试报告。
该实施例中通过深入再扫描和灵活的扫描模式设计方式对目标主机的扫描处理,进而给出反映目标主机安全状况全面的测试报告。
以进行URL漏洞检查扫描为例,按照上面描述的流程扫描主机通过提取漏洞库中的可疑URL(互联网的万维网服务程序上用于指定信息位置的表示方法),目标主机的IP为192.168.0.10,实施情况如下:
1.用户A通过IE浏览器访问扫描主机,在扫描模块设置目标主机的IP为192.168.0.10,扫描模式为简单的GET请求扫描测试,开始进行初步扫描操作;
2.初步扫描产生对192.168.0.10进行简单GET请求的测试结果,被测服务器为IIS,操作系统为Win2000+sp4(2000视窗操作系统+第4代补丁包),根据目标服务器的返回判断目标服务器的安全状态。例如:识别出Web服务器为IIS(因特网服务管理器),则向其发出Http(超文本传输协议)请求:
“GET/iissamples/exair/howitworks/codebrws.asp”,如果返回“200 OK”的HTTP应答,则表明目标主机存在“http IIS samples”漏洞,则系统的安全危险级别低,目标主机存在漏洞,可进行深入扫描,此时若没有漏洞或者选择不深入扫描则生成初步扫描结果
3.对目标服务器进行深入再测试,在GET请求中添加User-Agent(用户代理)、Host(主机)、伪造Cookie等属性,对192.168.0.10再次扫描测试;将扫描模式设置为伪造Cookie请求的方式(一种更严格的漏洞扫描测试方式),在GET的请求参数中添加Cookie选项,进而可以检查目标服务器的Web服务的验证设置是否可靠。
4.生成深入扫描的测试结果,如果伪造Cookie发出的请求能够读取到未授权的资料,则将该服务器的安全危险级别评为中级。
本发明方法实施的效果是明显的,给漏洞维护和管理提供了详细的报告,为系统维护人员提供了目标主机的全面的安全状况测试报告。