防范网页挂马攻击 WEB站点安全评估开始

　　二、WEB站点安全评估的具体实施方式

　　WEB站点安全评估的具体实施涉及到四个最关键的因素，它们是安全评估人员、评估工具、评估方法和评估对象。

　　1、安全评估人员

　　安全评估人员，应当包括WEB站点所有者、管理员及安全评估实施人员。安全评估实施人员的技术和经验，以及工作态度在一定程度上决定了评估的效果和可信性。

　　有时，一些WEB站点不得不将安全评估任务外包给一些具有安全评估资质的第三方机构来完成，这也是一些没有具体的WEB站点管理员的中小企业WEB网站经常使用的方式。

　　还有一些WEB站点，所有的工作都是由站点管理员一个人来完成，对于这样的WEB站点安全评估报告，通常只会被他自己所接受，也就是用来对站点当前的安全状况进行一次简单的体检，以此来做到心中有数。

　　2、安全评估工具

　　安全评估工具需要根据所要评估的具体对象来选择，不同的评估对象，所使用的评估工具是不相同的。这是由于有些安全评估工具只是针对某种服务或软件，有些是针对整个主机或网络的;有些安全评估工具只能在某种操作系统平台下运行，而有些安全评估工具却能在许多流行的操作系统平台下运行;一些安全评估工具是软件方式的，还有一些是以独立的硬件方式存的;有些安全软件是免费的，而有一些是商业的。由此，要找到一款合适的安全评估工具还真的不是随便选择几样这么简单。并且，一些其他人认为非常好用的安全评估工具，对于我们自己来说并不见得会很喜欢，因此，有时我们不得不经过不断的试用才会知道哪几款评估软件才是最适合我们自己的。

　　幸运的是，现在还是已经有许多功能强大的评估工具可以供我们选择，这些工具有：

　　(1)Nmap

　　Nmap是一个网络探测和安全扫描程序，我们可以使用它来扫描WEB站点所在系统或整个网络，并以此来得到WEB站点所在系统正在运行及提供什么样的服务，开放了什么样的端口，使用什么样的操作系统等信息。Nmap支持包括UDP、TCP connect()、TCP SYN()、ICMP、FIN及ACK等扫描方式，其中有许多扫描方式还可以用来检测防火墙及IDS/IPS等设备的回应情况。

　　Nmap能够在类UNIX系统及Windows系统的终端下以命令方式运行，它的命令执行格式为：nmap [Scan Type(s)] [Options]。我们可以从http://insecure.org/网站上下载到它的最新版本，以及得到它的详细说明文档。

　　▲　　图1 Nmap扫描结果示意图

　　(2)Nessus

　　Nessus同样是一个功能强大的安全检测工具，它允许用户使用插件对它进行功能上的扩展。Nessus使用一个频繁更新的漏洞库作为安全检测的依据。我们可以到www.nessus.org网站上下载到它的免费版本Nessus3，以及得到它的详细的使用文档。现在大部分的安全人员都使用它来对网络或主机系统进行全面安全检测。

　　▲　　图2 Nessus3主界面

　　(3)Nikto

　　Nikto是一款开放源代码、功能强大的WEB弱点扫描评估软件，它能对WEB服务器的多种安全项目进行测试，能在230多种服务器上扫描出2600多种有潜在危险的文件、CGI及其他问题。Nikto使用LibWhiske漏洞库，Nikto已成为WEB站点管理员必备的Web安全检测工具之一。

　　可以到http://www.cirt.net/网站上下载Nikto的最新版本。Nikto是基于PERL开发的程序，所以需要PERL环境。因此，当Nikto需要在Windows系统下使用时，要同时下载并安装ActiveState Perl环境。当需要Nikto使用SSL的安全方式对WEB站点进行安全扫描时，还会用到Net::SSLeay PERL模式，此时必须保证系统中安装有OpenSSL。它们的具体安装和使用细节可以参考它们的帮助文档。

　　另外，还有一个与Nikto相似的WEB弱点扫描工具Wikto，它不仅具有Nikto同样的功能，还提供GUI图形界面，但只能在Windows系统下运行。它可以到http://www.sensepost.com/research/wikto/下载。。

　　(4)N-Stealth

　　N-Stealth是ZMT公司出品的一款商业的WEB站点安全扫描软件，同时也有可以免费使用的版本，只是功能没有商业版本的多，漏洞库也不支持自动更新。我们可以到www.nstalker.com网站上下载它的最新版本，它可以在win98/ME/2000/XP/2003系统下运行。

　　▲　　图3 N-Stealth启动后的主界面

　　(5)ISS Database Scanner

　　ISS的数据库扫描器(DataBase Scanner)是一个针对数据库管理系统进行风险评估的检测工具。它可以自动识别数据库系统中各种潜在的安全问题，产生通俗易懂的报告来表示安全风险和弱点，并对违反和不遵循数据库安全策略的弱点和漏洞提出修改建议。

　　Database Scanner 可以扫描的数据包括Microsoft SOL Server 6.x 或7.x、Sybase Adaptive Server 11.x和Oracle 8i, 8.0 或 7.3。它能通过网络快速、方便地扫描数据库，去检查数据库中可能存在的安全漏洞，全面评估所有的安全漏洞和认证、授权、完整性方面的问题。

　　▲　　图4 Database Scanner的主界面

　　除了上面介绍的安全扫描软件以外，还有一些软件也有可以用来进行安全检测工作，包括X-scan3.3、WebInject1.41和Acunetix WVS Free Edition，以及一款功能全面且性能强大的商业安全扫描软件ISS Internet Scanner等。

　　另外，在使用任何评估工具之前，要先对其漏洞库进行升级更新。这是由于现在大多数安全评估工具都是利用漏洞特征库来进行弱点检测的，只有保证它们的漏洞特征库为最新状态，才有可能发现WEB站点及所依赖的系统上可能存在的最新漏洞。