WEB应用评估白皮书
■ 文档编号 ■ 版本编号
0.2
■ 密级 ■ 日期
完全公开 2010-12-06
? 2019 绿盟科技
■ 版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■ 版本变更记录 时间 2010-12-03 2010-12-06
版本 0.1 0.2
说明 文档创建 修改评估内容
修改人 谭荆利 姚 伟
■ 适用性声明
本文档用于介绍中联绿盟信息技术(北京)有限公司(以下简称“绿盟科技”)WEB应用评估服务的内容和方法,用于客户的相关人员了解绿盟科技的WEB应用评估服务。
目录
一. 概述 ...................................................................................................................................................... 1 1.1 基本概念 ........................................................................................................................................... 1 1.2 WEB应用评估服务与风险评估服务 ............................................................................................... 1 1.3 WEB应用评估服务的必要性 ........................................................................................................... 1 1.4 客户收益 ........................................................................................................................................... 2 二. 评估内容 ............................................................................................................................................... 3 2.1 评估范围 ........................................................................................................................................... 3 2.2 外部评估 ........................................................................................................................................... 3 2.2.1 系统、应用漏洞扫描 ............................................................................................................... 3 2.2.2 WEB安全测试 ............................................................................................................................ 4 2.3 内部评估 ........................................................................................................................................... 4 2.3.1 系统安全配置 ........................................................................................................................... 4 2.3.2 应用安全配置 ........................................................................................................................... 5 2.3.3 数据库安全配置 ....................................................................................................................... 5 2.3.4 恶意代码检测 ........................................................................................................................... 6 2.3.5 Web日志分析 ............................................................................................................................ 6 2.3.6 网页挂马检测 ........................................................................................................................... 6 2.3.7 WebShell检测 ............................................................................................................................ 7 2.4 评估流程 ........................................................................................................................................... 7 三. 相关技术 ............................................................................................................................................... 8 3.1 信息采集技术 ................................................................................................................................... 8 3.1.1 系统和应用信息收集 ............................................................................................................... 8 3.1.2 应用信息收集 ........................................................................................................................... 8 3.2 溢出攻击 ........................................................................................................................................... 8 3.3 口令猜解 ........................................................................................................................................... 8 3.4 WEB漏洞挖掘技术 ........................................................................................................................... 9 3.4.1 跨站脚本 ................................................................................................................................... 9 3.4.2 注入漏洞 ................................................................................................................................... 9 3.4.3 参数错误 ................................................................................................................................. 10 3.4.4 信息泄露 ................................................................................................................................. 10 3.4.5 其他 ......................................................................................................................................... 10 四. 风险规避 ............................................................................................................................................. 10 4.1 时间 ................................................................................................................................................. 11 4.2 工具使用 ......................................................................................................................................... 11 4.3 技术手段 ......................................................................................................................................... 11 4.4 监控 ................................................................................................................................................. 11 4.5 目标的选择 ..................................................................................................................................... 11
- I - 4.6 操作记录文档 ................................................................................................................................. 12 五. 报告输出 ............................................................................................................................................. 12 六. 常用工具 ............................................................................................................................................. 12 6.1 日志分析工具 ................................................................................................................................. 12 6.2 信息收集工具 ................................................................................................................................. 12 6.3 溢出及口令猜解工具 ..................................................................................................................... 13 6.4 WEB漏洞挖掘工具 ......................................................................................................................... 13 6.5 数据库工具 ..................................................................................................................................... 13
- II - WEB应用评估白皮书 一. 概述
1.1 基本概念
WEB应用评估服务是由具备高技能和高素质的安全服务人员来进行的,通过对目标WEB应用系统进行一系列的深入检查和测试,来综合评估应用系统存在的漏洞和脆弱性问题,并针对存在的问题提出确实可行的改进建议的一种安全服务形式。
WEB应用评估服务的目的在于发现和指导客户解决其WEB应用系统存在的安全性问题和隐患,解决长期困扰管理人员的应用是否真正安全的疑问。
1.2 WEB应用评估服务与风险评估服务
WEB应用评估服务并不等同于传统的风险评估服务,他们的区别主要体现在服务的目标和服务实施时间的跨度上。
WEB应用评估服务是一种针对性很强的服务,它所服务的目标就是以WEB应用为核心的应用系统,强调的是保证了WEB应用的安全也就是保证了整个业务系统安全的理念。而风险评估则不局限于只针对WEB应用,它可以面向整个企业的信息安全体系架构,也可以仅针对某个具体的业务系统。另一方面,WEB应用评估注重快速反应,与传统风险评估服务冗长的周期相比,WEB应用评估能够让客户在更短的时间内掌握应用所面临的问题,并准确地进行修补。
WEB应用评估中的每一个评估项都是非常细致和专业的,它主要从应用中相对较脆弱的软件部分着手来发现应用的安全问题;这与传统风险评估服务的全面覆盖截然不同。例如:传统风险评估中涉及的物理安全问题,在WEB应用评估中将不会涉及。
1.3 WEB应用评估服务的必要性
进入二十一世纪以后,互联网飞速发展,WEB应用凭借其开发成本低、表现能力强、使用方便、稳定性好等特点开始逐渐替代大多数C/S模式应用,成为应用面最广的网络应用形式。目前,它已经广泛适用于企业门户、OA、电子邮件、财务、电子商务等领域。随着应用范围的扩大,随之而来的安全问题也在与日俱增,如何保证基于WEB的应用系统安全可靠运行已经成为企业管理人员的头疼的大事。
? 2019 绿盟科技
- 1 -
密级:完全公开