注册 | 登录 忘记密码? 51cto首页 | 博客 | 论坛 | 招聘
热点文章 《掌控Windows SErver 2..
 帮助
文章文章列表>>
2010-01-23 23:54:18
  网上经常有朋友问游侠(www.youxia.org),有什么好的WEB应用安全扫描产品,这里大体的说下。
  国内这类产品不算多,当然国外也不算多,数来数去,就那么几个,画个图看看:

  商业产品*国外
  ·Acunetix Web Vulnerability Scanner 6:简称WVS,还是不错的扫描工具,不知道检查的太细致还是因为慢,总之经常评估一个网站的时候一晚上不关电脑都扫描不万……但是报表做的不错。一般用这个扫描的话,不用等那么久,像区县政府的,扫20分钟就差不多了。
  ·IBM Rational AppScan:这个是IBM旗下的产品,扫描速度中规中矩,报表功能相当强大,可以按照法规遵从生成不同的报表,如:ISO27001、OWASP等,界面也很商业化。
  ·HP WebInspect:没错,的确就是卖PC的HP公司旗下的产品,扫描速度比上面的2个都快得多,东西还算不错。不过这几天在和NOSEC(下面说的“诺赛科技”)掐架,愣是说NOSEC的iiScan免费扫描平台侵犯隐私,说NOSEC有国家背景……这市场了解的!
  ·N-Stealth:没装成功,不过很多地方在推荐这个
  ·Burp Suite:貌似是《黑客攻防技术宝典·WEB实战篇》作者公司搞的,安全界牛人。虽然工具没用过,但是这本书的确是不错……如果您做WEB安全,游侠强烈建议您读一下。

商业产品*国内
  ·智恒联盟 WebPecker 网站啄木鸟:程序做的不错,扫描速度很快。
  ·诺赛科技 Pangolin、Jsky:Pangolin做SQL注入扫描,Jsky全面评估,就是上文说的NOSEC,网上扫描平台是iiScan,后台的牛人是zwell。
  ·安域领创 WebRavor:记得流光(FluXay)否?是的,WebRavor就是小榕所写!小榕是谁?搜下……不用我介绍了吧?
  ·安恒 MatriXay 明鉴WEB应用弱点扫描器:还没用过,和NOSEC一样,也有网上扫描平台。
  ·绿盟 NSFOCUS RSAS 极光远程安全评估系统:极光扫描系统新增的WEB安全评估插件,在某客户处见到过扫描报告,不过没用过产品。依照绿盟的一贯风格和绿盟的实力,应该不错。

免费产品
  ·Nikto:很多地方都在推荐,但游侠本人实在不喜欢命令行产品……各位喜欢的Google或Baidu下吧
  ·Paros Proxy:基于Java搞的扫描工具,速度也挺快,在淘宝QA团队博客也看到在介绍这个软件。
  ·WebScarab:传说中很NB的OWASP出的产品,不过我看下载地址的时候貌似更新挺慢
  ·Sandcat:扫描速度很快,检查的项目也挺多。机子现在就装了这个。
  ------------
  ·NBSI:应该说是黑客工具更靠谱,国内最早的,可能也是地球上最早的一批SQL注入及后续工作利用工具,当年是黑站挂马必备……
  ·HDSI:教主所写,支持ASP和PHP注入,功能就不多说了,也是杀人越货必备!
  ·Domain:批量扫描的必备产品,通过whois扫描服务器上的服务器,在很长一段时间内风靡黑客圈。
  ------------
  ·Nessus:当然它有商业版,不过我们常用的是免费版。脆弱性评估工具,更擅长于主机、服务器、网络设备扫描。
  ·NMAP:主要倾向于端口等的评估。
  ·X-Scan:安全焦点出品,多少年过去了,依然是很强悍的产品。大成天下曾经做过商业版的“游刃”,但最近已经不更新了,很可惜。

  其实能做评估的工具还有很多,如:
  ·Retina Network Security Scanner
  ·LANguard Network Security Scanner
  ·榕基RJ-iTop网络隐患扫描系统
  不过和Nessus和NMAP一样,主要倾向于主机安全评估,而不是WEB应用安全评估。但我们在WEB安全评估的时候,不可避免的要对服务器做安全扫描,因此也是必然要用的工具。

  好了,大体的也说了下,各位感兴趣的可以在网上找下相关资料或下载。看完感觉有点收获的,就转发给您的朋友吧。现在都凌晨了,刚敲完……游侠(www.youxia.org)在此谢过了![/img]..


类别:未分类 | 阅读全文(26) | 回复(0)      

2010-01-21 19:34:53
  目前网络协议分析类产品火爆的很,游侠(www.youxia.org)其实在几年前就在关注这个市场,目前应该说已经做的如火如荼,但是貌似依然有很多人对这类产品认识有偏差,简单说几句:
  网络协议分析类产品基本上就是三类:

  从功能上来说,网络协议分析类产品基本上要做到:WHO、WHEN、WHERE、WHAT。不明白?看图就明白了:

  1、行为管理
  上网行为管理大家应该不陌生了,功能上来说:按照时间策略进行网络管理、按照IP/MAC策略进行网络管理、按照帐号策略进行网络管理,现在某些厂家大力推广其“千万级”URL分类库,相当有派头。
  应用场景:
  游侠是某公司网络管理员,某日BOSS说:N多人上班时间炒股票、玩游戏,200人每天浪费1小时就是200小时啊!我给他们发工资,这都是我的血汗,立刻把这些干掉!于是,于是……于是我只能祭出网络行为管理产品,让所有的人在上班时间无法登录股票网站、无法炒股软件、无法打开游戏网站、无法玩网络游戏……BOSS于是满意了……脸上洋溢着得意的笑容!
  上网行为管理产品的难度也就在于URL分类库,即使是上面说到的千万级(可都是中文呢!)URL分类库,也经常有问题,如某误分类等。游侠在测试某上网行为管理产品的时候,发现我的www.youxia.org是属于“生活类”网站。
  典型产品:网康、深信服、瑞达时代、网际思安、金盾、绿盟、陕西电信天御五行(本处只是随手举例,和市场份额无关、和厂家名气无关、和其人品无关……等等。比较谦虚,自家产品放在最后,有意者可以和游侠本人联系)
  2、流量控制
  流量控制产品在企业中也是需求非常多的,特别运营商、大学、大型企业,你在10M光纤的时候,上网很卡,升级到100M,发现快了十天半月之后又是很卡!于是BOSS开始发飙:网关!你丫花老子钱,一年十几万,为何比10M的时候快了一点点?!给哥解释!神啊,最见不得BOSS发飙了……
  为什么10M到100M速率上×10,但是实际用的时候只感觉×2呢?——因为10M的时候他在土豆网掘土豆卡,100M的时候不卡了,并且普清换高清了;因为以前在单位下电影只有100K,在家下电影120K,他都在家下电影,现在公司100M,所以都在公司下周了;因为……啥?为何有十天半月的“蜜月期”?因为那些电影狂人还没买来新的1TB的超大移动硬盘!
  网络流量控制难点在于应用协议分析,请注意我这里说的是“应用协议”分析,而不是“网络协议”分析。迅雷、eMule、百度下吧……等都是应用协议,而不是网络协议。并且这些都在一直变换、升级,如迅雷就有完整版、mini版、WEB迅雷等版本,都需要控制,并且会不定时更新。
  典型产品:Allot、Cisco、L7、AceNet、QQSG……
  3、协议审计
  这里说的协议是彻底的网络协议,如:HTTP、FTP、SMTP、POP3、ARP、ICMP、UDP、ARP等。要做的事情是什么呢?当然HTTP、SMTP、POP3这块基本上和本文第一部分“行为管理”部分是很相似的。但是一般来说并不要求控制,仅要求审计。但……
  大家知道,对于航空、航天、兵器、政府能纯内网而言,FTP等也是相当重要的部分,很多场景下需要对文件服务器操作进行审计,那么就需要FTP协议的审计;内网ARP病毒泛滥的时候,ARP协议审计就派上了用场!分级、等级保护等要求对邮件流向做控制,那就需要对SMTP、POP3协议做审计……
  还有一些是比较偏门的,如管理员需要通过SecureCRT、SSH等管理Unix、Linux服务器,那么需要对SSH操作进行审计——什么?SSH加密?目前通过Cain就可以抓到SSH v1的内容,当然SSH v2还是比较保险的,但是如果需要操作审计,也是有办法进行审计的。另外管理员通过telnet管理交换机,也可以进行审计。
  典型产品:启明星辰、绿盟、汉邦、天融信、联想网御、网御神州、帕拉迪、奇智……
  其实目前很多产品都是综合型的,有些产品覆盖了上述1、2、3的所有部分功能,有的则是术业有专攻,大家可以根据自己的需求进行选择。另外请大家谨记:记录电子邮件内容、记录IM聊天内容等涉及个人隐私的“监控”行为(注意我用的是“监控”而不是“审计”)是与我国法律相悖的。
  补充一下:
  有些产品现在往往只注重一个功能,衍生出了产品,如:发帖审计系统、数据库审计系统、邮件审计系统等。另外本文只分析了硬件产品,软件产品没有分析。
  版权声明:张百川(网路游侠)http://www.youxia.org
  信息与网络安全从业者QQ群:53651293,可容纳500名专业网安从业者的超级QQ群欢迎您的加入![/img]..


类别:未分类 | 阅读全文(12) | 回复(0)      

2009-12-21 17:33:44


类别:未分类 | 阅读全文(110) | 回复(1)      

2009-12-18 22:25:20


类别:未分类 | 阅读全文(15) | 回复(1)      

2009-09-22 20:46:53


类别:未分类 | 阅读全文(66) | 回复(0)      

2009-09-17 13:23:13
  前几天也给大家说过WEB应用防火墙,包括软件的和硬件的,今天网路游侠再给大家推荐个产品,当然这个是二合一的,就是:网页防篡改+WEB应用防火墙。比较有特色,好了,废话不说,正文开始:
  安装就跳过了,相信对本文感兴趣的人都可以按照说明书配置。下面只说一些功能。
  产品本身有配置向导,可以让一个新手也可以在1分钟之内轻松的完成网站的默认防护,当然如果要求比较高,可以定制策略,下图就是对网站文件进行防护的一个设置:

  可以看到,可以对文件操作权限进行设置,包括读取、写入、改名、删除等,禁止删除、改名、写入,实际上就实现了网页的防篡改功能。如果是目录的禁止写入,则彻底无法改变网站的任何内容了,适合于需求较高的政府网站。
  当然,可以对某些文件类型设置信任,如.mdb不禁止写入,这样动态网站就可以正常更新。
  可以设置信任进程,对通过信任进程进行的操作进行放行,否则阻断。举个简单的例子:可以通过FlashFXP覆盖,但是无法通过LeapFTP覆盖,这样黑客不知道信任进程,就无法随便进行篡改了。
  
  当然,作为一款合格的网站防护产品,备份功能也是必须的。比如:开机备份、备份加密等。
  上面是对网页防篡改功能进行的介绍,下面介绍网站防护功能,要知道,多数网站被黑是由于自身存在漏洞导致的,那么网站防护功能可以较好的防范自身存在的漏洞,如常见的SQL注入、跨站脚本攻击等。
  我下面配置了一个策略,名称是“www.youxia.org”

  可以配置策略的响应方式:记录且阻止、仅记录、停止。
  下面是策略的详细内容:


类别:未分类 | 阅读全文(473) | 回复(4)      

2009-09-14 20:14:40


类别:未分类 | 阅读全文(98) | 回复(1)      

2009-09-13 23:06:50


类别:未分类 | 阅读全文(69) | 回复(0)      

2009-09-10 22:28:36


类别:未分类 | 阅读全文(80) | 回复(0)      

2009-09-09 13:25:20
  其实这台WEB应用防火墙(WAF)在公司放了很久了,平时看看,但是基本没有静下心来仔细看看。现在到下班还有半个小时,粗略的过一下吧,看看WAF的功能。
  实际上WAF和传统防火墙的区别比较大,比如传统防火墙一般通过对IP和Port的过滤实现安全性,而WAF则是通过对数据包的深层检测实现WEB攻击的检测和阻断,如SQL注入攻击、XSS攻击等,下面网路游侠给大家举例子看WAF是如何对网站进行防护的。
  网络的拓扑是这样的:

  网路游侠用的是笔记本电脑,通过交换机到WEB服务器,在服务器前我串接了WAF,是透明接入。说一句:我用的这台WAF透明接入,一个网卡是in,一个网卡是out,还有一个Admin口,部署相当便捷,可以说5分钟就可以调试。用Console线设置下IP地址,就可以通过Admin口用浏览器访问了。
  我关闭了WAF的阻断功能,就是说,现在虽然WAF部署在WEB服务器前,但是是不对网站进行防护的。然后找了一套企业网站CMS程序,服务器是Windows 2003 + IIS,为了省事,程序理所当然的选择的ASP的。下面我们看看演示,下图是用明小子Domain的扫描结果,提示有注入漏洞:

  找一个连接,复制到浏览器,手工输入个判断SQL注入的语句看看:

  说找不到产品,实际上输入关键词继续用工具注入是可以扫描出用户名、密码的。相信诸位也经常做WEB渗透测试,这个不用游侠我多说。我们下面开启WEB应用防火墙:


类别:未分类 | 阅读全文(61) | 回复(1)      

 <<   1   2   >>   页数 ( 1/2 )