隨著公眾對Web安全的聚焦,越來越多的行業領域如運營商、政府電子政務互動平臺、企事業門戶網站及教育醫療機構等都已經開始頻繁使用掃描器去評估其風險性,以便提前發現潛在的安全隱患,及時安全加固以保障網站業務的正常持續運轉。反觀掃描器使用群體的變化,已由專業安全人士更多地轉向網站安全運維人員,這就給掃描器自身的可用性和易用性提出高要求。而掃描器的核心能力,如何幫助用戶快速發現漏洞、識別漏洞並定位漏洞,以及什麽樣的驗證場景可以確定漏洞真實存在就成為亟待解1. 現狀
由於Web安全技術功底的薄弱,在網站安全運維人員眼裏,現有的掃描器依然顯得過於專業。壹份掃描報告中,大量顯示漏洞存在的URL、弱點參數以及掃描器自身所構造的各種請求等晦澀難懂的內容,常常讓安全運維人員不知所雲,甚至不得不專請專業人員進行二次解讀。而且這種易讀性差的掃描報告不能讓運維人員第壹時間識別出漏洞風險分布並制定相應漏洞的修補計劃,從而無法真正貫徹防微杜漸的安全思路,保障網站業務安全可靠地運行。
由於受限於目標網站環境的復雜性、漏洞種類的多樣性,掃描器或多或少存在誤報。為保證漏洞發現的權威性,增強報告內容的可信度,掃描器本身必須能清晰地給出:漏洞是如何被發現的,哪些頁面及參數有問題,風險詳情如何,有無重現該漏洞發現的場景分析文件,向導式的二次驗證等。而如何對發現的漏洞進行權威驗證這壹點,壹直是業界關註的焦點話題。
2.可視化漏洞分析
基於現狀,綠盟科技提出了壹種可視化的 Web漏洞 分析方法。該方法依據漏洞種類的不同,從掃描器判斷漏洞存在的角度:首先從邏輯層面給出相關標準,作為判斷此漏洞是否存在的條件依據;其次從漏洞觸發層面列出該漏洞發現時的具體交互方式,如通過哪些檢測手段,構造哪些URL參數;再從數據支撐層面列出漏洞檢測過程中所交互的所有數據信息,如掃描器發送的網絡請求與站點響應報文以及對應的具體頁面源碼文件等;最後,整個漏洞分析過程統壹打包成離線場景文件。此方法可讓評估者輕松還原漏洞發現場景,重現漏洞發現的每壹步直至全過程,真正實現漏洞分析過程的簡單可視、通俗易懂,進而為下壹步可能進行的漏洞誤報確認提供可視化驗證場景,達到準確識別的權威效果。
1、 判斷標準
Web漏洞的形成有很多因素,不同漏洞的表現形式和產生原因差異很大,掃描器在確認漏洞的同時,需要給出針對該漏洞的判斷標準和參考依據。
2、 執行詳情
知道漏洞的產生原因和表現形式外,還需要構造可以產生這個漏洞的充分必要條件,明確哪些具體的操作和方法能夠觸發這個漏洞,使其通過可理解的直觀現象展示出來,並最終與判斷標準相符合。
3、 過程報文
漏洞的探索和發現不是壹蹴而就的,是壹個有強烈依賴關系的發包探測、規則匹配的邏輯過程。過程報文還原了整個探測過程中的收發包情況,探測方對被探測Web站點都發送了哪些請求,對方服務器是如何應答的,過程報文都壹壹記錄,為分析漏洞和網站實時響應提供有利數據。
以下給出了幾種常見的漏洞類型,利用本文所介紹的可視化分析方法分別進行具體闡述。
2.1 XSS漏洞
基於特征值匹配來進行檢測的XSS漏洞類型,其常見的檢測邏輯如圖 3 所示,是壹個反復探測和驗證的過程。
掃描器通過爬蟲爬取Web站點的有效鏈接後,傳遞給相關插件進行探測掃描。插件在獲取鏈接後,需要判斷此鏈接是否有存在該漏洞的條件,抽取所有可能存在漏洞的位置點,構造請求URL和參數值去探測和發包,根據該漏洞的表現形式來判斷返回的頁面是否存在漏洞。
對應的特征值匹配檢測邏輯條件滿足後,漏洞發現條件也同步形成。此時,掃描器會把如下內容壹壹羅列出來:嘗試探測的URL鏈接,具體的請求方式,在哪個參數字段上構造的特征值,相關的判斷標準,最終構造的請求變量和URL語句函數,執行結果與預期結果的差異,頁面請求和響應報文結果等漏洞確認的詳情。
這樣,就為此類XSS漏洞的發現提供了壹個完整的檢測可視化過程,讓評估者清晰知曉XSS漏洞存在的相關判斷依據、具體位置及如何驗證和結果對比等。
2.2 SQL盲註
對於像SQL盲註這樣的檢測是不能通過特征值匹配來檢測的,需要構造多次相似請求,根據返回頁面的不同來判斷,如圖 6。
插件在獲取到被檢測URL後,抽取可能存在漏洞的註入點,會嘗試發送三次請求獲取充分條件。第壹次采樣,原始請求,將原始頁面內容作為采樣標準A;第二次采樣,偽真頁面B;第三次采樣,false頁面C。SQL盲註的檢測,需要計算B/A和 C/A 之間的相似度,在某個確定的範圍內就可以判定是否存在註入。
此基於相似度對比的檢測過程對於評估者來說完全是黑盒的,根本無法獲知真假頁面之間的區別和差異,直觀感受更無從談起。而若采用本文介紹的可視化漏洞分析方法,如圖7-1所示,掃描器通過提供可視化的漏洞檢測過程,在判斷標準中給出了插件的檢測過程和漏洞表現形式,判斷詳情中給出了發送的偽真、錯誤請求URL,以及原始URL的請求和對應響應報文。
根據如上兩組數據的頁面相似度對比結果可以清楚看出兩者之間的差異,當這個差異落在特定範圍內時,就判斷SQL盲註存在。從探測到展示,給評估者提供了重現該漏洞的完整場景。
2.3 弱口令猜測
在檢測表單登錄是否存在弱口令時,掃描器會根據預配置的弱口令列表或者自定義弱口令字典,通過枚舉用戶名和口令嘗試登錄,進行掃描確認。如圖8所示,在獲取到登錄頁面後,掃描器會根據配置的弱口令進行登錄探測。
在檢測出弱口令漏洞後,會給出具體的用戶名、密碼。評估者可以直接用給出的弱口令嘗試登錄漏洞URL。如圖9的判斷詳情中,給出了具體的登錄頁面,檢測出來的弱口令為admin,admin,看到請求響應,發現頁面跳轉到了主頁面,登錄成功,表示存在漏洞,從而重現這壹探測過程。
3 結束語
通過上述簡單介紹的可視化漏洞分析方法,評估者在看到掃描報告時,通過漏洞的判斷標準、執行詳情、過程報文,再也無須因不了解漏洞成因而困惑為什麽Web環境會存在這樣的漏洞,或者質疑是否存在誤報,相關漏洞到底是如何被發現和確認的。此外,通過從掃描器給出的離線版漏洞場景文件,可以重現漏洞發現及確認全過程,從而進壹步獲取漏洞詳情,為下壹步的漏洞驗證、漏洞修復提供更有效的參考數據。