WebPecker用户使用手册

文档编号：KS100302WebPecker V8.0 综合网站安全检测系统用户使用手册WebPecker V 8.0 用户使用手册第 1 页 版权所有 2007-2010 北京智恒联盟科技有限公司版权声明 版权所有 2007-2010，北京智恒联盟科技有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京智恒联盟科技有限公司所有，受到有关产权及版权法保护。任何个人、机构未经北京智恒联盟技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。WebPecker V 8.0 用户使用手册第 2 页 版权所有 2007-2010 北京智恒联盟科技有限公司目 录版权声明 .1商标信息 .11. 产品背景知识 41.1 产品背景 41.2 主要功能 51.3 产品特色 51.4 体系结构 61.5 加密狗的使用 71.6 产品升级 .72. 使用手册 82.1 启动程序 .82.2 添加任务 .92.3 任务队列 112.4 历史任务 122.5 任务报表 132.6 趋势分析 152.7 常见问题 162.8 关于 162.9 网站安全等级 .17WebPecker V 8.0 用户使用手册第 3 页 版权所有 2007-2010 北京智恒联盟科技有限公司2.10 产品使用最佳实践 183. 关于智恒联盟 18WebPecker V 8.0 用户使用手册第 4 页 版权所有 2007-2010 北京智恒联盟科技有限公司1.产品背景知识1.1 产品背景WebPecker 是北京智恒联盟科技有限公司独立自主研发的 Web 综合网站安全检测系统。产品为软件安装方式，可安装在 Windows 系统上；基于 B/S架构；支持网站挂马检测、SQL 注入检测和跨站脚本检测。Web 时代的互联网应用不断扩展，在方便了互联网用户的同时也打开了罪恶之门。在地下产业巨大的经济利益驱动之下，网站挂马形势越来越严峻。2008 年全球知名反恶意软件组织 StopBadware 的研究报告显示，全球有 10%的站点都存在恶意链接或被挂马。一旦一个网站被挂马，将会很快使得浏览该网站用户计算机中毒，导致客户敏感信息被窃取，反过来使得网站失去用户的信任，从而丧失用户；同时当前主流安全工具、浏览器、搜索引擎等都开展了封杀挂马网站行动，一旦网站出现挂马，将会失去 90%以上用户。网站挂马的根本原因，绝大多数是由于网站存在 SQL 注入漏洞和跨站脚本漏洞导致。尤其是随着自动化挂马工具的发展，这些工具会自动大面积扫描互联网，自动找到存在 SQL 注入漏洞的网站，并自动注入挂马代码。所以解决挂马问题需要从源头上加强网站的安全。WebPecker 主要针对此类根本的安全问题而诞生，网站能够使用此工具进行自查，防患于未然。WebPecker V 8.0 用户使用手册第 5 页 版权所有 2007-2010 北京智恒联盟科技有限公司1.2 主要功能功能 说明挂马检测 检测网站是否被挂马；网站出现挂马会导致网站用户中毒，网站自身被封杀，影响用户体验和访问量。SQL 注入检测 检测网站是否存在 SQL 注入漏洞；SQL 注入漏洞会导致网站数据库信息被窃取、篡改、删除，进一步导致网站被挂马甚至攻击者获取到网站服务器管理权限。XSS 跨站脚本漏洞检测检测网站是否存在跨站脚本漏洞；跨站脚本漏洞会导致网站用户信息被窃取、网站出现挂马、甚至网站管理员权限被盗用。关键词检测 检测网站是否存在敏感关键词可以自定义关键词及等级。支持关键词分类1.3 产品特色1. SQL 注入和跨站漏洞检测支持如下参数：WebPecker V 8.0 用户使用手册第 6 页 版权所有 2007-2010 北京智恒联盟科技有限公司 GET 参数 POST 表单参数 COOKIE 中的变量参数 HTTP 头部信息参数 URL 中的 PATH 字段中的参数2. B/S 结构，使用简单3. 支持多任务并发扫描4. 支持多线程并发扫描5. 支持扫描暂停和继续6. 支持防危害参数，防止出现评估过程中对网站产生危害7. 支持预登陆深入检测，能够进一步检测那些需要登录权限才能访问的 URL8. 支持 SSL 协议9. 支持任务自动拆分：一个任务的扫描目标指定为多个站点中的 URL 时，会自动按照站点为单位拆分为多个任务，每个任务包括属于一个站点的URL。10. 支持通过代理扫描11. 支持趋势分析，能够保存历史任务数据，并以站点为单位查看历史上网站安全变化趋势12. 支持 HTML 和 Word、Excel 格式报表13. 强大的中文分词技术，支持自定义检测关键词WebPecker V 8.0 用户使用手册第 7 页 版权所有 2007-2010 北京智恒联盟科技有限公司1.4 体系结构WebPecker 产品通过光盘安装，是 B/S 结构的软件。使用浏览器访问Web 服务器使用产品功能。评估数据存放在数据文件中，评估工作由 Web 服务器调度后台评估程序完成。Web服务器通过浏览器访问产品功能后台评估程序数据文件Web 服务程序：WebPecker.exe，在桌面、开始菜单中有其快捷方式。通过浏览器访问：http:/localhost:8000 端口访问。程序启动后会自动打开浏览器访问产品功能。数据库文件：安装目录下的 WebPecker.dat 文件，日常维护需要备份数据时可以在关闭 WebPecker.exe 后拷贝此文件进行备份。WebPecker V 8.0 用户使用手册第 8 页 版权所有 2007-2010 北京智恒联盟科技有限公司1.5 加密狗的使用安装产品和使用产品前必须插入 USB 加密狗，否则无法正常使用产品。1.6 产品升级产品在服务期内支持免费升级，访问产品关于界面时，如果产品网站上有新版本发布，则会提示下载新版本。2.使用手册启动程序运行 WebPecker 主程序: WebPecker.exe。可以从开始菜单-WebPecker或者桌面找到该程序的快捷方式。系统启动后，将在右下角任务栏先显示图标。注：WebPecker 安装完毕后，默认会选择立即启动该程序。系统正常启动后，将会自动打开浏览器访问后台 Web 服务器，打开产品功能界面。也可以手工通过浏览器直接输入：:8000 来进行访问产品功能，如图：守护程序WebPecker V 8.0 用户使用手册第 9 页 版权所有 2007-2010 北京智恒联盟科技有限公司注：以下操作均基于该页面。2.2 添加任务选中添加任务，界面如下：在检测目标中，输入要进行检测的网站地址。如果需要输入多个地址，换行输入即可。递归深度：指网站爬虫的默认扫描深度。如果仅需扫描当前 URL，请选择0。如果指定多个 URL，并且这些 URL 不属于一个网站（根据域名字段判断） ，WebPecker V 8.0 用户使用手册第 10 页 版权所有 2007-2010 北京智恒联盟科技有限公司那么添加任务时，系统自动会在后台生成多个任务，每个任务包含属于一个网站的 URL。点击高级选项，可指定扫描的具体参数。展开界面如下：检测点： GET 参数：常规的合并到 URL 中的参数，如?id=12 POST 参数：使用 POST 发送的参数 PATH 参数：在 Web2.0 风格网站中常常将一些请求变量融入到 PATH 字段，如：删除 ID 号 12 的文章可能 URL 对应为 /delete/12/ COOKIE 变量：通常 Web 应用中会存放一些用户信息在 COOKIE 变量中 HTTP 头部变量：HTTP 头部变量，如 USER-AGENT 等评估内容：可选择检测的 Web 安全漏洞选项。并发线程：系统默认并发扫描的线程数。默认 10。风险规避：可输入 URL 关键字或 URL 地址。用以指定不进行访问或检测的网WebPecker V 8.0 用户使用手册第 11 页 版权所有 2007-2010 北京智恒联盟科技有限公司址，防止评估过程中对网站有破坏，多个参数以英文逗号分隔，如：delete.asp,?delete=yes代理设置：指定要使用的代理。例如：http:/user:pass:8080预登陆设置：可指定检测前先访问的网页，如登陆地址，或者指定扫描时使用的 cookie，以获得访问某些页面所需的特殊权限。2.3 关键词管理关键词管理中，可以添加用户自定义关键词，浏览系统及用户自定义的关键词。添加关键词中，用户可以选择添加单个关键词，或批量导入数据：WebPecker V 8.0 用户使用手册第 12 页 版权所有 2007-2010 北京智恒联盟科技有限公司2.4 任务队列显示正在运行的任务。可以对当前任务进行暂停，恢复及删除等操作。任务状态包括： 等待扫描 正在扫描 等待暂停 已经暂停 等待恢复WebPecker V 8.0 用户使用手册第 13 页 版权所有 2007-2010 北京智恒联盟科技有限公司 正常结束等待暂停的任务无法进行操作，此状态任务会在几秒后自动变为已经暂停任务。正常结束的任务会显示在历史任务界面，不会在此界面中显示。2.5 历史任务显示所有已完成的任务。点击任务可以查看相应的任务报告。可以选择以 CSV 格式导出任务列表可以删除指定任务可以查找历史任务通常对于自己的网站评估任务不需要删除，系统能够容纳大约 1000 个任务，这些任务保留可以进行网站安全历史趋势分析。WebPecker V 8.0 用户使用手册第 14 页 版权所有 2007-2010 北京智恒联盟科技有限公司2.6 任务报表历史任务栏中点击任务可显示任务报告，如网站基本信息、漏洞点及历史评估信息。在顶部可以选中以 Word 2007 格式导出报告。WebPecker V 8.0 用户使用手册第 15 页 版权所有 2007-2010 北京智恒联盟科技有限公司WebPecker V 8.0 用户使用手册第 16 页 版权所有 2007-2010 北京智恒联盟科技有限公司Word 2007 格式报表样式：2.7 趋势分析以站点为单位，分析所有历史任务。可以 CSV 格式导出报表。WebPecker V 8.0 用户使用手册第 17 页 版权所有 2007-2010 北京智恒联盟科技有限公司2.8 常见问题这部分给出了挂马、SQL 注入漏洞、XSS 跨站脚本漏洞的背景知识、危害、解决办法等，也提供了系统对网站的安全等级评判标准。2.9 关于列出软件版本，授权信息及服务期限等。如果有新版本可更新，当前页面会提示下载新版本。WebPecker V 8.0 用户使用手册第 18 页 版权所有 2007-2010 北京智恒联盟科技有限公司2.10 网站安全等级系统将网站评定为：高风险、中风险、安全，共 3 个等级，评定标准如下：等级 说明高风险 存在 SQL 注入或挂马。存在 SQL 注入漏洞，导致网站会受到直接的危害。网页挂马会导致访问网页的用户中毒。中风险 存在敏感关键词或 XSS 漏洞，或可以挂马。存在 XSS 漏洞，导致网站会受到间接危害，同时给网站用户造成危害；或存在可疑挂马。安全 不存在以上问题。2.11 产品使用最佳实践网站功能程序进行新版本开发时，每次新版本网站上线前应当进行一次 SQL注入和 XSS 跨站脚本漏洞检测。网站应该每周进行一次挂马检测，由于绝大部分挂马都是对首页挂马，挂马检测通常只需要检测 2 级深度。网站应应定期进行关键词检测。建议设置 2 层以上扫描深度，每周运行一次关键词检测。WebPecker V 8.0 用户使用手册第 19 页 版权所有 2007-2010 北京智恒联盟科技有限公司网站应该每月进行一次全面的检测。2.12 产品生命周期支持1. 产品升级周期正常情况下, WebPecker 每季度提供一个功能性更新包；如有临时的功能更新，随时发布功能性更新包。当产品有非功能性更新,如数据库及规则库更新时,随时发布非功能性更新包。对产品提供不低于授权周期的升级支持服务。在产品授权周期内保证升级功能的正常。2. 产品更新方式用户可选择在线更新或本地手动导入更新包。用户在 WebPecker 的关于页面，可以查看当前是否有新的升级包，并可以选择下载。对于用户提供的本地更新包，用户可进行本地导入更新包。用户选择本地导入更新包后，系统自动进行升级操作，并提示用户是否升级成功。3. 产品版本号说明WebPecker 版本分为三个字段：主版本号，功能性更新版本号，非功能性更WebPecker V 8.0 用户使用手册第 20 页 版权所有 2007-2010 北京智恒联盟科技有限公司新版本号。格式为 xx.yy.zz，具体内容如下：xx：大版本号yy：小版本号zz：日常升级包号如：1.2.13，表示主版本号 1，功能性更新版本号 2，非功能性更新版本号13。对应于 WebPecker 的版本，升级网站上提供的每个升级包也有 6 位数字的版本编号：xxyyzz，当升级包安装成功后系统版本将变