WEB漏洞检测与评估系统实施方案
WEB漏洞检测与评估系统实施方案
一、背景
WEB网站是互联网上最为丰富的资源呈现形式，由于其访问简单、拓展性好等优点，当前在资讯、电子政务、电子商务和企业管理等诸多领域得到了广泛的应用。

与此同时，WEB网站也面临着数量庞大、种类繁多的安全威胁，操作系统、通信协议、服务发布程序和编程语言等无不存在大量安全漏洞。

根据国家互联网应急中心最新监测分析报告的发布，一个令人触目惊心的数据引发各方关注：“1月4日至10日，境内被篡改政府网站数量为178个，与前一周相比大幅增长409%，其占境内被篡改网站总数的比例也大幅增长为31%。

”不但政府网站，近年来各种Web 网站攻击事件也是频频发生，网站SQL注入，网页被篡改、信息失窃、甚至被利用成传播木马的载体---Web安全威胁形势日益严峻。

Web网站的安全事件频频发生，究其根源，关键原因有二：一是Web网站自身存在技术上的安全漏洞和安全隐患；二是相关的防护设备和防护手段欠缺。

Web网站的体系架构一般分为三层，底层是操作系统，中间层是Web服务程序、数据库服务等通用组件，上层是内容和业务相关的网页程序。

这三层架构中任何一层出现了安全问题都会导致整个Web网站受到威胁，而这三层架构中任何一层都不可避免地存在安全漏洞，底层的操作系统（不论是Windows还是Linux）都不时会有黑客能够远程利用的
安全漏洞被发现和公布；中间层的Web服务器（IIS或Apache 等）、ASP、PHP等也常会有漏洞爆出；上层的网页程序有SQL注入漏洞、跨站脚本漏洞等Web相关的漏洞。

另一方面，当前很多Web网站的防护设备和防护手段不够完善，虽然大部分网站都部署了防火墙，但针对Web网站漏洞的攻击都是应用层的攻击，都能够经过80端口完成，因此防火墙对这类攻击也是无能为力，另外，有些网站除了部署防火墙外还部署了IDS/IPS，但同样都存在有大量误报情况，导致检测精度有限，为此，攻击性测试成为发现和解决WEB安全问题最有效和最直接的手段。

WEB漏洞检测与评估是经过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种方法。

这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，而且从这个位置有条件主动利用安全漏洞。

WEB漏洞检测与评估系统是作为WEB检测的专用系统，用于发现操作系统和任何网络服务，并检查这些网络服务有无漏洞。

二、概述
WEB漏洞检测与评估系统是集基本信息扫描、操作系统指纹扫描、开放服务扫描、OS漏洞扫描、WEB漏洞扫描于一体的专业自动化扫描系统，并经过扫描插件、知识库和检测结果的可拓展对其检测能力进行扩充，为实施攻击性测试对WEB信息系统进行全面的、深入的、彻底的风险评估和参数获取，全面获得目标系统的基本信息、漏洞信息、服务信息等。