銥迅Web漏洞掃描系統(tǒng)白皮書(shū)

2017-03-27

7716

銥迅Web 漏洞掃描系統(tǒng)產(chǎn)品白皮書(shū)南京銥迅信息技術(shù)有限公司Nanjing Yxlink Information Technologies Co.,Ltd. ,注意銥迅Web

銥迅Web 漏洞掃描系統(tǒng)

產(chǎn)品白皮書(shū)

南京銥迅信息技術(shù)有限公司

Nanjing Yxlink Information Technologies Co.,Ltd.

注意

銥迅Web 漏洞掃描系統(tǒng)產(chǎn)品白皮書(shū)

● 本手冊(cè)沒(méi)有任何形式的擔(dān)保、立場(chǎng)表達(dá)或其他暗示。若有任何因本手冊(cè)或其所提到之產(chǎn)品信息，所引起直接或間接的數(shù)據(jù)流失、利益損失或事業(yè)終止，銥迅信息不承擔(dān)任何責(zé)任。

● 銥迅信息保留可隨時(shí)更改手冊(cè)內(nèi)所記載之硬件及軟件規(guī)格的權(quán)利，而無(wú)須事先通知。

● 本公司已竭盡全力來(lái)確保手冊(cè)內(nèi)載之信息的準(zhǔn)確性和完善性。如果您發(fā)現(xiàn)任何錯(cuò)誤或遺漏，請(qǐng)向銥迅信息反映，對(duì)此，我們深表感謝。

商標(biāo)信息

銥迅信息、銥迅Web 應(yīng)用防護(hù)系統(tǒng)的標(biāo)志為南京銥迅信息技術(shù)有限公司的商標(biāo)或注冊(cè)商標(biāo)。本手冊(cè)或隨銥迅信息產(chǎn)品所附的其他文件中所提及的所有其他商標(biāo)名稱，分別為其相關(guān)所有者所持有的商標(biāo)或注冊(cè)商標(biāo)。

1 產(chǎn)品簡(jiǎn)介 .............................................. 4

2 Web 漏洞掃描介紹 ....................................... 5

2.1 Web漏洞的危害 . .................................... 5

2.2 Web漏洞掃描與傳統(tǒng)主機(jī)掃描的區(qū)別 ................... 6

2.3 Web漏洞掃描需要解決的關(guān)鍵性問(wèn)題 ................... 6

3 銥迅Web 漏洞掃描系統(tǒng) ................................... 7

3.1 體系架構(gòu) ......................................... 7

3.1 產(chǎn)品功能 ......................................... 7

3.1.1 任務(wù)管理 ..................................... 7

3.1.2 漏洞查詢 ..................................... 8

3.1.3 報(bào)表管理 ..................................... 8

3.2 產(chǎn)品特色 ......................................... 9

3.2.1 批量掃描 ..................................... 9

3.2.2 龐大漏洞庫(kù)支撐 .............................. 10

3.2.3 掃描加速 .................................... 10

4 部署方式 ............................................. 11

產(chǎn)品購(gòu)買(mǎi)咨詢 ............................................ 11

1 產(chǎn)品簡(jiǎn)介

銥迅Web 漏洞掃描系統(tǒng)（簡(jiǎn)稱：銥迅Web 漏掃，英文：Yxlink Web Vul Scanner）, 是檢查Web 應(yīng)用存在漏洞的專(zhuān)業(yè)掃描系統(tǒng)，是目前唯一的支持IP 地址段反查DNS 域名的漏洞掃描器。支持檢測(cè)網(wǎng)站中如SQL 注入、跨站腳本、木馬上傳、代碼執(zhí)行、遠(yuǎn)程本地包含、信息泄露等漏洞。

通過(guò)部署銥迅Web 漏洞掃描系統(tǒng)，能夠降低與緩解Web 應(yīng)用中的漏洞造成的威脅與損失，快速掌握Web 應(yīng)用中存在的脆弱點(diǎn)。

銥迅Web 漏洞掃描系統(tǒng)可以廣泛用于新聞發(fā)布網(wǎng)站、OA 辦公網(wǎng)站、Web 郵件系統(tǒng)、電子商務(wù)、在線交易等平臺(tái)。

圖表 1 銥迅Web 漏洞掃描系統(tǒng) 設(shè)備圖

圖表 2 銥迅Web 漏洞掃描系統(tǒng) 設(shè)備首頁(yè)

2 Web 漏洞掃描介紹

2.1 Web 漏洞的危害

根據(jù)CNCERT 的監(jiān)測(cè)，2010年中國(guó)大陸有3.5萬(wàn)個(gè)網(wǎng)站被黑客篡改，數(shù)量較上年下降21.5，但其中被篡改的政府網(wǎng)站高達(dá)4635個(gè)，比上年上升67.6。政府網(wǎng)站安全性如果不能進(jìn)一步提高，將不僅影響政府形象和電子政務(wù)的開(kāi)展，也會(huì)給不法分子發(fā)布虛假信息造成可乘之機(jī)。

此外，CNCERT 去年共接到網(wǎng)絡(luò)釣魚(yú)事件舉報(bào)1597件，較上年增長(zhǎng)33.1。報(bào)告認(rèn)為，金融行業(yè)網(wǎng)站正成為不法分子騙取錢(qián)財(cái)和竊取隱私的重點(diǎn)目標(biāo)。

圖表 3 OWASP 漏洞 TOP10

圖表 4 Web漏洞占比分析

2.2 Web 漏洞掃描與傳統(tǒng)主機(jī)掃描的區(qū)別

傳統(tǒng)的漏洞掃描系統(tǒng)，主要用于掃描用戶主機(jī)的操作系統(tǒng)及其第三方安裝軟件的漏洞。例如微軟操作系統(tǒng)的緩沖區(qū)溢出、操作系統(tǒng)的弱口令等漏洞。隨著越來(lái)越多的應(yīng)用轉(zhuǎn)移到Web 上面，傳統(tǒng)的主機(jī)掃描系統(tǒng)無(wú)法對(duì)Web 程序中的漏洞做深層次的挖掘，如發(fā)現(xiàn)SQL 注入、跨站腳本攻擊、木馬上傳能漏洞。

SQL 注入XSS 跨站

Web 漏洞掃描

2.3 Web 漏洞掃描需要解決的關(guān)鍵性問(wèn)題

Web 漏洞掃描系統(tǒng)需要解決如何自動(dòng)的分析網(wǎng)站的架構(gòu)，并且通過(guò)蜘蛛遍歷的方式去模擬正常用戶去訪問(wèn)并測(cè)試網(wǎng)站的每一個(gè)頁(yè)面，試圖從中去發(fā)現(xiàn)在Web 應(yīng)用方面的問(wèn)題。圖表

5 銥迅Web 漏洞掃描的漏洞類(lèi)型

如何遍歷Web 頁(yè)面

如何反查IP 對(duì)應(yīng)域名

如何判斷漏洞存在

如何批量漏洞掃描

圖表 6 Web漏洞掃描的關(guān)鍵問(wèn)題

3 銥迅Web 漏洞掃描系統(tǒng)

3.1 體系架構(gòu)

圖表 7 銥迅Web 漏洞掃描系統(tǒng)架構(gòu)

3.1 產(chǎn)品功能

3.1.1 任務(wù)管理

管理掃描任務(wù)的建立與啟動(dòng)，一次掃描的任務(wù)，允許是掃描單個(gè)或者多個(gè)IP 地址、域名，甚至是一段IP 地址。

圖表 8 銥迅Web 漏洞掃描系統(tǒng) 掃描任務(wù)

3.1.2 漏洞查詢

提供查詢每個(gè)掃描任務(wù)中，每個(gè)域名中的漏洞的數(shù)量及分類(lèi)結(jié)果。

圖表 9 銥迅Web 漏洞掃描系統(tǒng) 漏洞查詢

3.1.3 報(bào)表管理

提供快速報(bào)表與條件報(bào)表2種報(bào)表供選擇，可以生產(chǎn)HTML 、PDF 、DOC 等格式的報(bào)表文件?？焖賵?bào)表可以生成一次掃描任務(wù)的報(bào)表，而條件報(bào)表允許篩選指定域名、指定漏洞類(lèi)型，生成篩選后的報(bào)表。