WEB安全掃描技術詳解

　　掃描技術是一類重要的信息安全技術，與防火牆、入侵檢測系統互相配合，能夠有效提高信息系統WEB應用層的安全性。通過對WEB應用的深度掃描，WEB應用的管理員或開發商可以快速了解WEB應用存在的安全漏洞，客觀評估WEB應用的風險等級，在黑客攻擊前進行有效防范。

　　1. 研究背景

　　1.1 WEB應用安全現狀

　　隨著互聯網的 發展，金融網上交易、政府電子政務、企業門戶網站、社區論壇、電子商務等各類基於HTML文件格式的信息共享平台（WEB應用系統）越發完善，深入到人們 生活中的點點滴滴。然而WEB應用共享平台為我們的生活帶來便利的同時，也面臨著前所未有的挑戰：WEB應用系統直接面向 Internet，以WEB應用系統為跳板入侵服務器甚至控制整個內網系統的攻擊行為已成為最普遍的攻擊手段。據Gartner的最新調查，目前75%以上的攻擊行為都基於WEB應用層面而非網絡層面；同時數據顯示，三分之二的WEB站點都相當脆弱，易受攻擊。

　　據中國互聯網應 急中心最新統計顯示，2009年我國大陸地區政府網頁遭篡改事件呈大幅增長趨勢，被篡改網站的數量就達到52225個。2009年8 月份，公安部對國內政府網站的進行安全大檢查，發現40%存在嚴重安全漏洞，包括SQL注入、跨站腳本漏洞等。由此導致的網頁篡改、網頁掛馬、機密數據外 洩等安全事件頻繁發生，不但嚴重影響對外形象，有時甚至會造成巨大的經濟損失，或者嚴重的社會問題，嚴重危及國家安全和人民利益。

　　網頁篡改：一些不法分子的重點攻擊對象。組織門戶網站一旦被篡改（加入一些敏感的顯性內容），引發較大的影響，嚴重甚至造成政治事件。

　　網頁掛馬：網頁內容表面上沒有任何異常，實際被偷偷的掛上了木馬程序。網頁掛馬未必會給網站帶來直接損害，但卻會給浏覽網站的用戶帶來巨大損失。網站一旦被掛馬，其權威性和公信力將會受到打擊。

　　機密數據外洩：在線業務系統中，總是需要保存一些企業、公眾的相關資料，這些資料往往涉及到企業秘密和個人隱私，一旦洩露，會造成企業或個人的利益受損，可能會給單位帶來嚴重的法律糾紛。

　　1.2 傳統安全防護方法

　　企業 WEB 應用的各個層面，都已使用不同的技術來確保安全性。為了保護客戶端機器的安全，用戶會安裝防病毒軟件；為了保證用戶數據傳輸到企業 WEB 服務器的傳輸安全，通信層通常會使用 SSL技術加密數據；防火牆和 IDS/IPS來保證僅允許特定的訪問，不必要暴露的端口和非法的訪問，在這裡都會被阻止；同時企業采用一定的身份認證機制授權用戶訪問 WEB 應用。