系统漏洞扫描器技术白皮书

一体化扫描器技术白皮书

1 网站安全现状

Web 网站是互联网上最为丰富的资源呈现形式，由于其访问简单、扩展性好等优点，目前在资讯、电子政务、电子商务和企业管理等诸多领域得到了广泛的应用。与此同时，Web 网站也面临着数量庞大、种类繁多的安全威胁，操作系统、通信协议、服务发布程序和编程语言等无不存在大量安全漏洞。根据致力于Web 应用安全研究的国际权威组织OWASP （O pen W eb A pplication S ecurity P roject ）最新的调查显示，目前排名前十位的Web 应用安全隐患如下：

图1 OWASP 统计的Web 前十大安全隐患

近年来，恶意攻击者通过SQL 注入攻击、XSS 跨站脚本攻击、CSRF 跨站请求伪造等攻击手段造成Web 网站遭受损害的安全事故层出不穷，安全防护形式日益严峻。国家互联网应急中心CNCERT/CC 的权威报告显示，在2010年，我国境内有大量网站遭到攻击者的恶意篡改：

图2 CNCERT/CC关于2010年境内Web网站遭到篡改的统计表

为了保障Web网站运行过程的安全，各信息安全研究机构、安全产品厂商纷纷提出了各种针对Web网站安全威胁的防护技术和防护产品，如：Web应用防火墙、Web网页防篡改系统等，并在Web网站安全防护领域逐渐取代传统的网络防火墙、入侵检测/防御系统（IDS/IPS），成为Web网站安全防护的“生力军”，但与此同时，诸多种类Web安全防护产品的推陈出新，也从侧面反映了Web 应用防护的趋势，即：动态化、复杂化。

2产品开发背景

一体化扫描器系统是本公司技术研究团队多年深入研究当前各类流行Web攻击手段（如网页挂马攻击、SQL注入漏洞、跨站脚本攻击等）的经验结晶。通过本地检测技术与远程检测技术相结合，对您的网站进行全面的、深入的、彻底的风险评估，综合性的规则库（本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等）以及业界最为领先的智能化爬虫技术及SQL注入状态检测技术，检查系统中存在的弱点和漏洞，使得相比国内外同类产品智能化程度更高，速度更快，结果更准确。

一体化扫描器系统简称RayScan，是集Web扫描和漏洞扫描予一体的专业一体化扫描器系统。

3系统特性

全方位多层次检测网站安全漏洞

与目前市面上的其它网站安全类产品单一地考虑系统安全、网页编程安全、SQL注入、跨站漏洞等方面的安全问题不同，本产品从设计网站安全的各个方面来对网站安全状况做出最全面的评估，包括：系统补丁、危险插件、代码审计、恶意网站、网页木马、SQL注入、跨站注入、管理入口以及敏感信息等等。

首款针对网站代码进行本地安全检查的软件

如果说远程SQL注入扫描、跨站漏洞扫描等是针对网站代码进行外部的黑盒测试的话，那么网站代码的安全检查就是针对网站代码进行全面直接的检查，找到SQL注入、跨站漏洞、网马等一系列安全问题。

多年积累的丰富的网马特征库

本软件采用了研究团队多年积累的丰富的网马特征库，不仅包括网马代码特征、而且包括挂马网站的列表，双重检测手段保障网马检测的较低地漏报率和误报率，同时我们保持每周至少一次的特征库的升级。

高效的网页爬虫技术

一体化扫描器系统的网页抓取模块采用广度优先爬虫技术以及网站目录还原技术。广度优先的爬虫技术的不会产生爬虫陷入的问题，网站目录还原技术则去除了无关结果，提高抓取效率。

基于状态扫描的SQL注入扫描技术

一体化扫描器系统不同于传统的针对错误反馈判断是否存在注入漏洞的方式，而采用自主创新的状态检测来判断。所谓状态检测，即：针对某一链接输入不同的参数，通过对网站反馈的结果使用

向量比较算法进行比对判断，从而确定该链接是否为注入点，此方法不依赖于特定的数据库类型、设置以及CGI语言的种类，对于注入点检测全面，不会产生漏报现象。而常见的SQL注入扫描产品均不具备此项技术。

基于状态比较的注入验证技术

一体化扫描器系统采用状态检测来对数据库的数据进行猜解，无论网站采用什么CGI语言，无论网站是否反馈错误信息，都能进行正常的猜解，而常见的SQL注入扫描产品均不具备此项技术。 基于模糊匹配的管理入口检测技术

一体化扫描器系统管理入口检测模块不仅采用常规管理入口检测技术，即：使用常用的管理入口库进行逐一匹配检查，而且还采用了模糊匹配的方式来检测管理入口，所谓的模糊匹配即软件使用模糊匹配的方式来对网站所有链接进行匹配，从而最大可能找出所有管理入口。

自定义的检测库文件

用户除了可以使用软件默认提供的检测库外，也可以添加自定义的规则库，我们提供了规则库的转换和合并等功能。

丰富的漏洞知识资源储备

一体化扫描器系统以国内最权威、最全面的中文漏洞知识库（CNCVE）为支撑，蕴含着丰富的研究经验和深厚的知识积累，能够为客户提持续的、高品质的产品应用价值。

覆盖面最广的漏洞库

一体化扫描器系统可扫描的漏洞数量超过2300种，分为32个大类，覆盖了当前网络环境中重要的，流行的系统和数据库漏洞，并且能够根据网络环境的变化及时调整更新，确保漏洞识别的全面性和时效性。

全方位的网络对象支持

●网络主机：服务器、客户机、网络打印机等；

●操作系统：Microsoft Windows 9X/NT/2000/XP/2003、Sun Solaris、HP Unix、IBM AIX、IRIX、

Linux、BSD等；

●网络设备：Cisco、3Com、Checkpoint等主流厂商网络设备；

●应用系统：数据库、Web、FTP、电子邮件等。

漏洞信息的准确识别和判断

一体化扫描器系统采用渐进式扫描分析方法，融合最新的操作系统指纹识别、智能端口服务识别等技术，能够准确识别被扫描对象的各种信息，如操作系统、网络名、用户信息、非常规端口上开放的服务等。

强有力的扫描效率保证

一体化扫描器系统综合运用预探测、渐进式、多线程的扫描技术，能够快速发现目标网络中的存活主机，然后根据渐进式探测结果选择适合的扫描策略，启动多个线程进行并发扫描，从而保证了扫描任务可以迅速完成。

多样化的结果报表呈现

一体化扫描器系统能够生成面向多个用户角色的客户化报表，并以图、表、文字说明等多种形式进行展现，同时支持以PDF、XML、HTML、EXCEL、WORD等多种格式导出结果报表。

4系统功能