排查安全漏洞 保护网站安全

对于网站管理员来说，在创建和维护网站运行过程中，最担心的就是来自黑客的恶意攻击。对于黑客来说，在确定了攻击的目标网站后，会先使用各种扫描工具，来全面的检测该网站是否存在漏洞。当发现了可以利用的漏洞后，黑客才会使用相应的手段对其进行渗透和攻击。在一般情况下，管理员只有在发现网站被黑客破坏后才会着手修复网站漏洞，这其实比较被动，为提高防御灵活性，管理员可以未雨绸缪，使用强悍扫描工具，对网站进行安全检测，及时发现并修复潜在的漏洞，不给黑客以可乘之机。

图1 开启新的扫描项目

AWVS扫描网站漏洞

使 用Acunetix Web Vulnerability Scanner（AWVS） 扫描工具可让网站的漏洞彻底显示在管理员面前。在AWVS主界面工具栏中点击“New Scan”按钮，如图 1，在新建扫描向导窗中选择“Scan Single Website”选项，输入要检测的网站。如果想同时扫描多个网站，可以点击窗口底部的“http://localhost:8181”链接，打开Web方式的扫描界面，点击其中的“+Schedule New Scan”选项，选择“扫描类型”选项，输入目标网站等信息，点击“OK”按钮，来执行具体的扫描操作。

这里选择前者，在“下一步”窗口中的“Scaning Profile”列表中选择“扫描策略”，包括“AcuSebsor”（交互式应用安全检测）、“Bind_SQL_Injection”（SQL盲注测试）、“CSRF”（跨站请求伪造）、“Default”（默认检测所有漏洞）等。在“Scan Settings”栏中点击“Customize”按钮，可以自定义扫描规则，默认为“Default”。

依次点击“下一步”按钮，在“Target”窗口中会显示该网站的基本信息，例如服务器Banner、系统类型、Web服务器版本等内容。打开“Optimize for Following Technologies”栏，在列表中选择目标网站的类型，例如ASP、PHP、ASP.NET、Python和Perl等。这样可以实现更加精准的扫描。

如果扫描的网站（例如办公网站等）需要预先登录的话，还需要在“下一步”窗口中点击“New Login Sequence”按钮，登录到目标网站中，为之后的扫描做好准备。当在AWVS对网站构成元素分析完成后，点击“Finish”按钮，就可以执行具体的扫描操作了。在AWVS主界面的“Scan Results”信息栏中显示扫描的各种信息。

当扫描完成后，在报告界面中的“Web Alerts”列表显示该网站的安全漏洞和潜在的安全风险项目，在“Site Structure”列表同时显示其详细的目录和文件结构以及对应的风险信息。选择对应的安全漏洞（例如“Cross Sitr Script”，“Blind SQL Injection”等）项目，在右侧显示其具体的说明信息。在“Web Alerts”列表中打开选择的安全漏洞项目，可以列出属于该漏洞的所有风险信息。在右侧的“Alerts Summary”栏中显示发现的风险信息的数量，其中红色“High”栏显示高危漏洞数量，橘色的“Medium”栏中表示中等危险漏洞数量，蓝色“Low”栏中显示一般的风险漏洞数量，绿色的“Information”栏表示一般的存在泄漏信息风险的信息项目。

“Target Information”栏中显示目标网站的基本描述信息，在“Statistcs”栏中显示扫描统计信息，在“Progress”栏中显示扫描进度信息。根据这些检测信息，管理员就可以对网站存在的各种漏洞做到心中有数，进而有的放矢的采取各种措施，来修复这些漏洞，让网站的安全风险降至最低。为了便于保存扫描信息，可以点击保存按钮，将其导出了独立的文件（后缀为“.wvs”）。之后可以随时双击该文件，在AWVS中将其打开。

灵活使用不同的扫描参数

合理的配置扫描规则，可以提高扫描的速度和准确性。在AWVS主界面左侧依次 点 击“Configuration”、“Scan Settings”选项，在右侧选择“Scanning Options”选 项， 选 择“Disable Alert Generate by Crawler”选 项，禁止产生无关的错误 提 示。 在“Scan mode”列表中提供了“Quick”（快速扫描）、“Heuristic”（标准扫描）以及“Extensive”（完全扫描）等扫描模式，其扫描速度依次降低，但是扫描的深度却依次增加，扫描的精确度也依次增加，可以根据需要进行选择。在“Limit Crawl Recursion X Iteratuions”栏中设置针对目标网站目录层级的探测深度，默认为5。选择“Enable Port Scanning”选项可允许端口扫描。选择“Collect Uncommon HTTP Requests”选项，开启收集非标准HTTP请求信息。在“List of Hosts Allowed”拉面中可以启用子域名扫描功能，输入子域名，点击“Add Host”按钮，将其添加到列表中。如图2所示。这样，可以实现针对子域名/分站点的扫描操作。

图2 配置扫描参数

探测Cookie信息

在窗口中部选择“Headers and Cookies”项，在右侧选择“Test Cookie for All Files”项，可以探测所有文件的Cookie信息。例如可以针对所有网站访问连接产生的Cookie信息进行记录，从而得到更详细的信息。点击“Add Header”按钮，可以添加新的HTTP头信息项目，使扫描结果更加准确。对于不同的网站来说，其使用HTTP头部信息存在差异。例如使用HTTPWatch这一抓包工具，可以记录在访问目标网站时使用到的HTTP头部信息。在中部选择“Parameter Exclusions”项，在右侧可以设置包含的参数，包括地址、名称、类型、动作等，例如可以将名称为“PHPSESSION”参数排除在外，避免其影响正常的扫描操作。点击“Remove Selected”按钮，可以删除选定的参数信息，即允许扫描该参数信息。这对于扫描一些特殊的网站比较有用。

例如按照上述格式，输 入“*”、“ASPXSESSION”、“Any”、“Exclude from Scan” 项，点击“Add Exclusion”按钮，可以将所有包含“ASPXSESSION”的网页排除在扫描范围之外。在中部选择“Crawling Options”项，在右侧可以依次设置针对目标网站目录和文件层级的项目，依次包括当网站目录结构扫描之后启动HTTP Sniffer来发现更多的链接，只扫描首页，不抓取上级目录，抓取子目录，抓取所有URL（即使该URL并没有体现在网站上），抓取并分析robots.txt、sitemap.xml中的URL，忽略大小写敏感，分析动态脚本以获得更多URL，抓取外部脚本内容，尝试抓取每个目录下的默认文档，防止抓取到无限目录，如果发现重定向则提示用户，忽略js/css等文件的参数，禁用自动判断404页面功能，将www和纯域名识别为不同的主机、文件参数的最大变化范围、链接最大深度、子目录最大深度、子目录的最大数量、目录中的最大文件数量、判断路径任务的最大任务数、搜索的最大文件数等。

在中部选择“File Exclusion Filter”选项，在右侧设置检测和排除的文件类型，这样可以提高文件搜索的速度。选择“Directory and File Filters”选 项，在右侧设置需要排除扫描的网站目录。选择“URL Rewrite”选项，在右侧可以设置网址的重写规则。在中部选择“HTTP Options”选项，在右侧的“User Agent String”列表中选择用户的User Agent信息，让服务器可以返回合适的回应信息。 在“Limit Number of Parallel Connections”栏中设置最大并发连接数。在“HTTP Request Timeout in Seconds”栏中设置超时时间。在“Delay between Consecutive Requests in Milliseconds”栏中设置请求延时，在“HTTP Response Size Limit in Kilobytes”栏中设置请求的文件的最大体积，在“Custom HTTP Headers”栏中可以自定义HTTP头信息。如果是使用HTTP或者SOCKS代理上网的话，在中部选择“LAN Settings”选项，设置所需的代理信息。

选择“Custom Cookies”选项，在右侧可以自定义Cookie，来实现预登录功能。 选 择“Input Fileds”选项，在右侧可以设置表单项的默认值信息，例如用户名和密码项等信息。这样当执行扫描时，可以在表单上自动填充对应项目的预设值。在列表中显示AWVS自带的表单项目，其中的“${alpharand}”正则表达式表示随机字符串，“$[numrand}”表示随机数字，“${alphanumrand}” 则表示随机数字和随机字符串等。这样，可以实现灵活的表单项填充功能。选择“Port Scanner”选项，在右侧的“Number of Sockets Used for Scanning”栏中设置扫描线程数量，在“Connection Timeout”栏中设置超时时间，在列表中显示扫描的端口信息，可根据需要来进行选择或者更改端口号。

当设置好所需的扫描参数后，可以点击“Apply”按钮，保存配置信息。当然，为了便于使用，可以先点击参数设置界面工具栏上的“新建”按钮，创建新的参数配置文件，之后再执行具体的配置操作。这样，可以针对不同的扫描环境，灵活的使用不同的扫描参数。

当然，在扫描某些网站时，可能需要进行登录操作，为了便于操作，可以点击 菜 单“Configuration”、“A p p l i c a t i o n s” 选项，在 其 中 点 击“HTTP Authentication”选项，在右侧点击“Add Credentials”项，输入账户名和密码，并设置好主机的网站以及路径路径（例 如“xxx.com/admin/”等），这样，即可以在执行扫描时顺利的完成登录操作。

此外，也可以点击“Login Sequence Manager”选项，在向导界面中输入具体的登录地址（例如“http:.//www.xxx.com/admin/login.asp”等），点击“下一步”，执行登录操作，当登录完成后，AWVS就可以将整个的登录环节完整记录下来。之后进行扫描时，就可以非常顺利的对目标网站进行深入分析了。