夏敏捷,夏 冰

(中原工學(xué)院,鄭州 450007)

分布式網(wǎng)絡(luò)安全評估系統(tǒng)中Web服務(wù)器安全掃描的研究

夏敏捷,夏 冰

(中原工學(xué)院,鄭州 450007)

針對Web安全研究熱點(diǎn),提出了Web服務(wù)器安全掃描系統(tǒng)的設(shè)計問題.在此基礎(chǔ)上以 IIS為例闡述了Web服務(wù)器安全掃描功的能具體實現(xiàn),應(yīng)用該系統(tǒng)可以有效檢測Web服務(wù)器系統(tǒng)的安全性.

安全評估;漏洞;Web安全

隨著Internet及Web的迅速發(fā)展,黑客入侵及篡改網(wǎng)頁等問題越來越引起人們的關(guān)注.隨著Web內(nèi)容的增加、應(yīng)用程序功能的豐富和用戶的普及,Web安全問題已經(jīng)不容忽視.

在Web安全問題中,Web服務(wù)器的安全是最基礎(chǔ)也是最困難的問題.Web服務(wù)器的安全威脅[1]主要體現(xiàn)在以下方面:服務(wù)器程序編寫不當(dāng)導(dǎo)致的遠(yuǎn)程代碼執(zhí)行;應(yīng)用程序編寫不當(dāng)、過濾不嚴(yán)格造成的代碼注入引起信息泄露;盲目相信用戶輸入、過濾不嚴(yán)格導(dǎo)致跨站腳本攻擊;針對服務(wù)器系統(tǒng)的拒絕服務(wù)攻擊等.

Web服務(wù)器安全威脅的主要原因是存在Web安全漏洞.國內(nèi)Web安全漏洞掃描技術(shù)起步較晚,是在國外Web安全漏洞掃描技術(shù)的基礎(chǔ)上發(fā)展起來的,雖取得了一定的研究成果,但與國際水平相比,還存在著一定的差距.基于以上的Web安全現(xiàn)狀,本文對Web服務(wù)器安全漏洞掃描技術(shù)進(jìn)行了研究,該研究對Web服務(wù)器系統(tǒng)的安全性檢測具有一定的使用價值.

1 Web安全漏洞的概念和分類

Web安全漏洞(Vulnerability),是指一個Web系統(tǒng)的各個組件(Web服務(wù)器、Web應(yīng)用程序、數(shù)據(jù)庫連接器以及數(shù)據(jù)庫)在設(shè)計與實現(xiàn)過程中或安全策略上的漏洞.非法用戶可以利用漏洞獲得系統(tǒng)的額外權(quán)限,在未經(jīng)授權(quán)的情況下訪問系統(tǒng)或提高訪問權(quán)限,從而破壞系統(tǒng)的安全性.

Web安全漏洞可以分為2類:一類是 Web平臺的安全漏洞;另一類是應(yīng)用程序的安全漏洞.以下詳細(xì)介紹這2類漏洞:

(1)Web平臺的安全漏洞.Web服務(wù)器(如Linux、Window s IIS、Apache和 Oracle等)自身的安全漏洞.最常用的 Web服務(wù)器是Apache和 IIS.各種Web服務(wù)器都有一系列安全漏洞.

(2)Web應(yīng)用程序的安全漏洞.Web應(yīng)用程序自身的安全漏洞,即Web站點(diǎn)中的編程錯誤引起用戶詳細(xì)信息的暴露、允許惡意用戶執(zhí)行任意的數(shù)據(jù)庫查詢,甚至允許通過遠(yuǎn)程命令訪問服務(wù)器.常見的Web應(yīng)用程序漏洞[2]有以下幾大類:物理路徑泄露漏洞、源代碼泄露漏洞、目錄遍歷漏洞、執(zhí)行任意命令、緩沖區(qū)溢出漏洞、拒絕服務(wù)攻擊、CGI漏洞攻擊、站點(diǎn)腳本攻擊、SQL注入、不安全的配置管理等.

本文研究的Web服務(wù)器是 IIS(Internet信息服務(wù)),它作為一種開放服務(wù),其發(fā)布的文件和數(shù)據(jù)是無需保護(hù)的.但是IIS作為Window s系統(tǒng)的一部分,卻可能由于本身的安全漏洞導(dǎo)致整個Window s系統(tǒng)被攻陷.事實上,許多黑客正是借助 IIS成功實現(xiàn)了對Window s系統(tǒng)的攻擊,獲取了特權(quán)用戶權(quán)限和敏感數(shù)據(jù).

2 Web服務(wù)器安全掃描的系統(tǒng)設(shè)計與實現(xiàn)

Web服務(wù)器安全掃描系統(tǒng)用來對IIS進(jìn)行安全掃描,讓管理員能運(yùn)用此系統(tǒng)盡早地檢測出服務(wù)器端存在的風(fēng)險,以便及時地采取措施來避免黑客入侵,一定程度上保證服務(wù)器的安全性.Web服務(wù)器安全掃描是整個網(wǎng)絡(luò)安全評估系統(tǒng)[3]的基礎(chǔ).

對于Web服務(wù)器安全掃描,可從3個方面進(jìn)行研究:

(1)Web服務(wù)器本身的安全掃描.Web服務(wù)器本身的漏洞主要以微軟IIS程序的相關(guān)漏洞為依據(jù).查看主機(jī)的補(bǔ)丁安裝情況,如果該主機(jī)沒有安裝漏洞數(shù)據(jù)庫中的補(bǔ)丁,說明存在一個Web服務(wù)器本身漏洞.

(2)Web服務(wù)器的危險或錯誤配置掃描.主要研究系統(tǒng)危險或錯誤配置(主要包括是否關(guān)閉默認(rèn)共享,禁止空連接,防止SYN洪水攻擊,防止 ICM P重定向報文的攻擊等)和IIS危險或錯誤配置(主要包括不必要虛擬目錄,危險組件 WScrip t.Network、WScrip t.Netwo rk.1、WScrip t.Shell,不必要的應(yīng)用程序映射等).從注冊表中查找相應(yīng)安全配置的子鍵,如果子鍵的鍵值不是安全鍵值,說明存在一個漏洞.

(3)Web服務(wù)器端運(yùn)行的腳本風(fēng)險掃描.主要研究CGI腳本漏洞.CGI腳本是實現(xiàn)Web交互功能的重要手段,Shell腳本、Perl程序和C可執(zhí)行程序是其最常用的形式.由于程序編寫上的疏忽,很多CGI腳本都存在漏洞.通過給服務(wù)器發(fā)送存在漏洞的CGI請求,查看服務(wù)器的返回信息,如果服務(wù)器返回成功信息,說明存在一個CGI漏洞[4].

Web服務(wù)器安全掃描系統(tǒng)模塊如圖1所示.

圖1 Web服務(wù)器安全掃描系統(tǒng)模塊圖

2.1 Web服務(wù)器本身漏洞掃描

Web服務(wù)器本身漏洞是從是否安裝補(bǔ)丁方面來考慮的.其主要實現(xiàn)過程如下:遍歷系統(tǒng)注冊表中H KEY_LOCAL_MACH INESOFTWAREM icrosoftWindow s N TCurrentVersionHotfix子鍵下的所有子鍵,在該子鍵下存在的子鍵都是系統(tǒng)已經(jīng)安裝的補(bǔ)丁,通過將這些子鍵與數(shù)據(jù)庫中記錄的補(bǔ)丁對比,從而判斷出該操作系統(tǒng)是否存在沒有安裝的IIS補(bǔ)丁.如果有沒安裝的 IIS補(bǔ)丁,說明存在一個Web服務(wù)器本身漏洞,將此漏洞信息顯示到漏洞列表中.

它主要有以下2個實現(xiàn)步驟:

(1)查看操作系統(tǒng)的版本及是否安裝了IIS.

H KEY_LOCAL_M ACH INESYSTEMCurrentControlSetServicesW 3SVCParameters子鍵下的M ajorVersion鍵和M inorVersion鍵的鍵值即 IIS的版本號,據(jù)此可以判斷是否安裝了IIS.

通過HKEY_LOCAL_MACH INESOFTWAREM icrosoftWindow s N TCurrentVersion子鍵下ProductName鍵的鍵值獲取操作系統(tǒng)名稱,CSDVersion鍵的鍵值獲取操作系統(tǒng)版本.

(2)掃描該IIS版本的本身漏洞.將漏洞數(shù)據(jù)庫中所有補(bǔ)丁與在注冊表中 H KEY_LOCAL_M ACH INESoftwareM icrosoftWindow s N TCurrentVersionHotfix子鍵下的所有子鍵(這些子鍵都是安裝過的補(bǔ)丁)進(jìn)行匹配,如果漏洞數(shù)據(jù)庫中的補(bǔ)丁在該子鍵下不存在,則存在一個本身漏洞.該模塊的流程如圖2所示.

圖2 Web服務(wù)器本身漏洞流程圖

2.2 Web服務(wù)器危險或錯誤配置掃描

Web服務(wù)器危險或錯誤配置掃描從2個方面來考慮:一個方面是系統(tǒng)危險或錯誤配置掃描;另一個方面是IIS危險或錯誤配置掃描.

對Web服務(wù)器危險或錯誤配置進(jìn)行掃描涉及到怎樣才能獲取該服務(wù)器上的安全設(shè)置.Web服務(wù)器的安全設(shè)置都保存在注冊表中,掃描時找到注冊表中相應(yīng)的鍵值,將其值與數(shù)據(jù)庫中安全的Web服務(wù)器設(shè)置值進(jìn)行匹配,如果匹配不成功,則說明存在一個相應(yīng)的漏洞.

例如:掃描是否關(guān)閉默認(rèn)共享,如果注冊表H KEY_LOCAL_MACH INESYSTEMCurrent-ControlSetServicesLanmanServerParameters子鍵下的AutoShareServer鍵的值為0,說明不存在這個漏洞,否則存在漏洞,將其信息顯示到漏洞列表中.

該掃描具體實現(xiàn)如下:

(1)系統(tǒng)危險或錯誤配置掃描.其步驟如下:

第一,做一些初始化的工作,定義變量;

第二,讀取數(shù)據(jù)庫中 WebSystem SafeReg表的數(shù)據(jù),得到注冊表中要查詢的子鍵;

第三,用函數(shù) RegOpen KeyEx(RootKey,lp Sub-Key,0,KEY_READ,&h Key)來打開要查詢的子鍵;

第四,如果注冊表打開成功,則用函數(shù)RegQuery-ValueEx(h Key,ValueName,NULL,&dw Type,(LPBYTE)lpData,&dw Length)來讀取要查詢子鍵下的特定鍵的值;

第五,將從注冊表中讀取的值與數(shù)據(jù)庫中字段Value的值進(jìn)行比較.如果不相同,則存在這個配置的漏洞,將漏洞信息顯示到漏洞列表中;

第六,如果注冊表中不存在要查詢子鍵下的特定鍵,則說明存在這個配置的漏洞,變量config_Amount記錄漏洞個數(shù),并將漏洞信息顯示到漏洞列表中;

第七,關(guān)閉注冊表和數(shù)據(jù)庫的連接.

該掃描的流程如圖3所示.

(2)IIS危險或錯誤配置掃描.因為IIS危險或錯誤配置的掃描流程與系統(tǒng)危險或錯誤配置的掃描流程基本一致,僅僅增加了不必要虛擬目錄的掃描,所以這里不再描述掃描過程.

2.3 Web服務(wù)器端運(yùn)行的腳本風(fēng)險掃描

先是通過socket和Web服務(wù)器建立 H TTP連接,如果連接成功,則向服務(wù)器發(fā)送特殊的請求(CGI漏洞請求),并接收服務(wù)器的返回信息.如果返回信息為“200 OK”,則說明特殊請求發(fā)送成功,該服務(wù)器存在CGI漏洞.該掃描的流程如圖4所示.

圖3 系統(tǒng)危險或錯誤配置流程圖

圖4 Web服務(wù)器端運(yùn)行的腳本風(fēng)險掃描流程圖

3 結(jié) 語

本文闡述了 IIS安全掃描系統(tǒng)的設(shè)計,并從3個方面討論了其具體的實現(xiàn).該系統(tǒng)可以幫助管理員了解Web服務(wù)器的安全配置,及時發(fā)現(xiàn)安全漏洞,有效地在黑客攻擊前進(jìn)行防范.隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,對Web安全掃描將會有新的要求和挑戰(zhàn).

本系統(tǒng)對 IIS的安全漏洞掃描存在以下問題:①Web服務(wù)器端運(yùn)行的腳本風(fēng)險功能不完全.本系統(tǒng)現(xiàn)在實現(xiàn)了CGI漏洞的掃描,所以該功能還有待進(jìn)一步完善;②漏洞數(shù)據(jù)庫以及收集的漏洞信息有待進(jìn)一步去完善;③漏洞檢測方法的滯后性.當(dāng)前的漏洞檢測方法依然采用已知的安全漏洞與被測系統(tǒng)信息相匹配的方式,這使得漏洞的檢測總是滯后于漏洞的暴露,所以需要對漏洞檢測方法和漏洞庫的維護(hù)做進(jìn)一步的研究.

[1]彭寒.Web應(yīng)用安全漏洞測試工具Punks的設(shè)計與實現(xiàn)[D].西安:西安電子科技大學(xué),2007.

[2]呂鎮(zhèn)邦,張軍才,張軍.網(wǎng)絡(luò)安全漏洞掃描與脆弱性分析研究[J].航空計算技術(shù),2005(2):118-121.

[3]周崢偉.一種基于攻擊路徑的安全漏洞風(fēng)險評估模型[D].上海:上海交通大學(xué),2006.

[4]郭戈.基于漏洞數(shù)據(jù)庫系統(tǒng)安全掃描軟件的設(shè)計與實現(xiàn)[D].鄭州:信息工程大學(xué),2005.

Research on Web Server Security Scanning in Network Security Evaluation System

XIA M in-jie,X IA Bing
(Zhongyuan University of Technology,Zhengzhou 450007,China)

The system design of Web server security scanning is p resented in connection w ith research of Web security vulnerabilities.Specific imp lementation of the vulnerability scan function is described in detail on IIS web server.The security of Web server system can be detected using the system.

security assessment;vulnerability scanning;Web security

TP391

A

10.3969/j.issn.1671-6906.2011.01.005

1671-6906(2011)01-0019-04

2010-12-17

河南省科技攻關(guān)項目(092102310038)

夏敏捷(1974-),男,河南三門峽人,副教授.