华为VSCAN1000系列漏洞扫描器技术白皮书

华为VSCAN1000系列漏洞扫描器技术白皮书华为技术有限公司版权所有侵权必究华为VSCAN1000系列漏洞扫描器技术白皮书 32常见漏洞安全问题 42.1常见漏洞 42.2漏洞影响 5 6 63.1.1传统主机存活探测技术 6 7 73.3操作系统识别技术 93.4服务识别 93.5系统漏洞检测过程 4.1监管者 4.2运维者 4.3建设者 6.1系统漏洞检测 华为VSCAN1000系列漏洞扫描器技术白皮书6.2.2网站代码本地安全检查 6.2.8强有力的解析方式 6.3数据库漏洞检测 6.4基线安全核查 6.6可自定义规则库 6.7强有力的扫描效率 6.8准确的漏洞识别率 6.9便捷的漏洞验证工具集 V1.0(2021-08-29)版权所有O华为技术有限公司3 概述随着网络技术的成熟和发展，网络环境也日益复杂，网络与信息化以不可阻挡之势渗透到大众生产生活的方方面面，各国政府都愈加重视网络安全规划布局。同时随着网络技术的成熟，一方面使用者越来越多，使用者也从最初的简单机械化操作变得依赖性更强，人们不仅依赖网络来传递信息，传播新闻动态，也利用网络来进行金钱交易。与此同时，由于国民网络安全普及度还不够广，暴露在网络环境下的各个网络单元就会变成不据CNNVD统计分析称，网络环境中暴露的漏洞数量在逐年增加，而且严重和高危漏洞占据很大比例，其中网站漏洞中，跨站脚本和SQL注入类传统类别的漏洞依旧占据了相当大的比重，漏洞检查越来越有必要。 V1.0(2021-08-29)版权所有◎华为技术有限公司4常见漏洞安全问题2.1常见漏洞SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程，SQL注入攻击就其本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者在编程过程中的漏洞，“当攻击者能够操作数据，向应用程序中插入一些SQL语句时，SQL注入攻击就发生了”。实际上，SQL注入攻击是攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。SQL注入漏洞是目前互联网最常见也是影响非常广泛的漏洞。跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码，当用户浏览该网页时，嵌入到网页中的恶意代码就会被执行，从而达到恶意攻击者的特殊目的。挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。Http请求的Hostname字段没有严格的域名限制，导致可以绕过一些防护措施。用户的认证信息没有以https的方式提交给web服务器。 文件包含漏洞允许通过特殊的指令将脚本源码文件的内容合并至当前的文件中执行。很多脚本语言允许通过特殊的指令(如PHP通过require关键字)将其他脚本源码文件的内容合并至当前的文件中执行，如果这些特殊的指令在包含的文件路径中含有用户提交的数据，则恶意攻击者就有可能通过构造特殊的数据将WEB服务器限制访问的文件内容(如操作系统或某些重要应用的配置文件)包含进来并通过浏览器获取其内容，这种方式通常称为本地文件包含；如果应用程序的配置还允许包含远程的其他服务器上的文件，恶意攻击者就有可能构造特殊的脚本然后通过包含并予以执行，进而获取WEB应用的敏感数据或控制权。●Struts2远程代码执行漏洞ApacheStruts存在远程代码执行漏洞，远程攻击者可通过特制的参数利用此漏洞执行任操作系统、网络设备、安全设备、应用系统等由于逻辑设计上的缺陷或错误，导致系统被不发分子利用植入木马或病毒，或被利用发起攻击，导致系统信息泄露，系统被控制等。2.2漏洞影响●网页被篡改，造成名誉、形象损失●数据被篡改，医疗、教育、金融行业尤为敏感●核心数据被窃取，金融、电商、医疗、政府、军队、运营上行业尤为敏感●远程主机遭受拒绝服务攻击，导致系统被迫下线 华为VSCAN1000系列漏洞扫描器技术白皮书V1.0(2021-08-29)版权所有◎华为技术有限公司6现有漏洞扫描技术3.1多种主机探测技术相结合3.1.1传统主机存活探测技术广播风暴 3.1.2高级主机存活探测技术IP头中设置无效字段值2.错误的数据分片当目标主机接收到错误的数据分片(如某些分片丢失),并且在规定的时间间隔内得不到更正时，将丢弃这些错误数据包，并向发送主机反馈ICMPFragmentReassemblyTime3.超长包+禁用分片若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志，该路由器会反馈FragmentationNeededandDon'tFragmentBitwasSet差错报文4.反向映射探测当我们想探测某个未知网络内部的结构时，可以构造可能的内部IP地址列表，并向这些地址发送数据包。当对方路由器接收到这些数据包时，会进行IP识别并路由，对不在其服务的范围的IP包发送ICMPHostUnreachable或ICMPTimeExceeded错误报文，没有接收到相应错误报文的IP地址会可被认为在该网3.2三合一端口探测技术1.开放扫描V1.0(2021-08-29)版权所有◎华为技术有限公司82.半开放扫描2)间接扫描3.隐蔽扫描1)FIN扫描3)NULL扫描4)分段扫描 V1.0(2021-08-29)3.3操作系统识别技术1.FIN探测2.BOGUS标记探测3.TCPISN取样5.TCP初始化窗口6.ACK序号3.4服务识别通过返回的Banner信息识别服务2.端口判定 V1.0(2021-08-29)版权所有◎华为技术有限公司101)通过HTML标签识别爬取页面3)支持Flash解析，可爬取flash页面1)爬虫爬取页面 华为VSCAN1000系列漏洞扫描器技术白皮书V1.0(2021-08-29)版权所有◎华为技术有限公司11 安全需求4.1监管者监管者或被监管者做等级保护或分级保护评级时，需要对网站安全情况做详细审查，但传统的人工渗透方式不仅耗时耗力，而且全面性和准确性很难保障，为提高工作效率，监管者利用漏洞扫描工具，可以对网站代码逻辑、中间件及系统层面的安全做统一评估，并参考评估结果开展一系列工作。网安、网监等网络安保性质部门在国家大事件，或在日常执法期间，依据漏洞扫描工具协助发现漏洞，验证漏洞并且提供解决办法帮助修补漏洞，防止政府、高校尤其是反共黑客“重点关注”网站被通过漏洞利用产生攻击，从而造成形象、名誉、个人信息、财产等损失，影响国家安定、民生发展。4.2运维者企业或其他有较大网络规模的用户，往往有专人来管理内部网络运维或者定时检查内部网络安全，以免存在严重漏洞被利用造成损失，但当网络规模较大时，一方面运维人员管理难度较大，另一方面由于人员变更，信息传递遗漏等原因，运维人员如果人工统计资产并对其做安全评估工作量太大且不准确，漏洞扫描器不仅可以帮助进行资产梳理，如发现网段内存货主机，还可探测网段内未知站点，随之将其转为资产并进行统一漏洞评估。运维者可根据评估结果督促漏洞检查修补。运维者还可利用漏洞扫描器对Oday漏洞做安全检查，华为漏洞扫描器每周会更新一次漏洞库，重大漏洞会在24-48小时内更新，保证在第一时间可以4.3建设者由于当前程序员水平参差不齐，网站建设尤其是电商、金融、银行业务网、博客、论坛本攻击，据统计，当前漏洞威胁占比最大的依旧是传统的漏洞，由于网站建设者安全意思淡V1.0(2021-08-29)版权所有O华为技术有限公司13 产品介绍 功能特点6.1系统漏洞检测6.1.1全方位的网络对象支持6.1.2全面的系统漏洞知识库储备 6.2Web漏洞检测6.2.1网站安全漏洞全面检测与目前市面上的其它网站安全类产品单一地考虑系统安全、网页编程安全、SQL注入、跨站漏洞等方面的安全问题不同，本产品从设计网站安全的各个方面来对网站安全状况做出最全面的评估，包括：系统补丁、危险插件、代码审计、恶意网站、网页木马、SQL注入、跨站注入、管理入口以及敏感信息等等。6.2.2网站代码本地安全检查目前的远程SQL注入扫描、跨站漏洞扫描等是针对网站代码进行外部的黑盒测试，而我们针对网站代码的安全检查是针对网站代码进行全面直接的检查，找到SQL注入、跨站漏洞、网马等一系列安全问题。即针对网站代码进行本地的安全检查。6.2.3积累丰富的网马特征库本产品采用了研究团队多年积累的丰富的网马特征库，不仅包括网马代码特征、而且包括挂马网站的列表，双重检测手段保障网马检测的较低地漏报率和误报率，同时我们保持每周至少一次的特征库的升级以及Oday漏洞的24小时紧急升级保障。6.2.4高效的网页爬虫技术本产品的网页抓取模块采用广度优先爬虫技术、深度优先爬虫技术以及网站目录还原技术。广度优先的爬虫技术不会产生爬虫陷入的问题，网站目录还原技术则去除了无关结果，提高抓取效率。6.2.5基于状态的SQL注入扫描技术本产品不同于传统的针对错误反馈判断是否存在注入漏洞的方式，而采用自主创新的状V1.0(2021-08-29)版权所有◎华为技术有限公司16态检测来判断。所谓状态检测，即：针对某一链接输入不同的参数，通过对网站反馈的结果使用向量比较算法进行比对判断，从而确定该链接是否为注入点，此方法不依赖于特定的数据库类型、设置以及CGI语言的种类，对于注入点检测全面，不会产生漏报现象。而常见的SQL注入扫描产品均不具备此项技术。6.2.6基于状态比较的注入验证技术本产品采用状态检测来对数据库的数据进行猜解，无论网站采用什么CGI语言，无论网站是否反馈错误信息，都能进行正常的猜解，而常见的SQL注入扫描产品均不具备此项技术。6.2.7基于模糊匹配的管理入口检测技术本产品管理入口检测模块不仅采用常规管理入口检测技术，即：使用常用的管理入口库进行逐一匹配检查，而且还采用了模糊匹配的方式来检测管理入口，所谓的模糊匹配即软件使用模糊匹配的方式来对网站所有链接进行匹配，从而最大可能找出所有管理入口。6.2.8强有力的解析方式本产品支持支持爬虫表单自动分析、Javascript解析、Java与HtmlElement自动交互、Ajax解析、Flash解析等新型、丰富而高效的解析方式。深度解析web页面，可以准确而高效的发现web漏洞。6.3数据库漏洞检测本产品采用先进的数据库发现技术和实例发现技术等，可以针对当下主流的数据库，如Oracle、MySQL、DB2、PostgreSQL、sybase、SQLServer、Informix等进行漏洞检测，包括对数据库系统的各项设置、数据库系统软件本身已知漏洞、数据库系统完整性进行检查和对数据库系统的整体安全性做出评估，并给出提高数据库安全性的修复建议。通过登录扫V1.0(2021-08-29)版权所有◎华为技术有限公司17描可对数据库的每张表每个字段进行安全检测。6.4基线安全核查针对安全基线规范基准，以及对传统漏洞扫描产品的强力补充，又推出了专业检查功能，它使安全检查过程达到自动化、标准化、持续化、可视化。可以有效提高检查结果的准确性和合规性，用以在设备的上线安全检查、第三方入网安全检查、合规安全检查、日常安全检查和安全服务任务工作中，协助查找设备在安全配置中存在的差距，并与安全整改与安全建设相结合，提升各类业务系统的安全防护能力和达到整体合规要求。6.5覆盖面广的漏洞库本产品包含CNNVD认证的系