绿色联盟远程安全评估系统—客户培训—副本.ppt

* * 插件优势：简化插件更新、开发， 信息收集类插件：收集系统信息，被其他插件所共享，主要还是系统OS和服务，以及各类值（如smtp的值为25，也可为多个） NASL优势： 每个脚本都包含检测代码和插件自身的描述，不使用外部文件 安全性：除了目标主机之外，不向任何的主机发送报文。不允许在本地系统执行任何命令，消耗资源少 劣势：功能较弱 * * 我们都知道系统漏洞识别使用若干个插件完成，插件除完成漏洞判定外还用于获取目标 主机的各种信息。如果插件能获取目标主机的某些有用信息时会把这些信息分类并格式化后 存放到数据库中。这些分类后并按照专门格式存放的信息就是目标主机的Profile 信息，也 称摘要信息 * 下面是二次开发接口 * 下面是极光介绍 * SYN　向远端主机某端口发送一个只有SYN标志位的TCP数据报，如果主机反馈一个SYN || ACK数据包，那么，这个主机正在监听该端口，如果反馈的是RST数据包，说明，主机没有监听该端口ACK　发送一个只有ACK标志的TCP数据报给主机，如果主机反馈一个TCP RST数据报来，那么这个主机是存在的。FIN　对某端口发送一个TCP FIN数据报给远端主机。如果主机没有任何反馈，那么这个主机是存在的，而且正在监听这个端口；主机反馈一个TCP RST回来，那么说明该主机是存在的，但是没有监听这个端口。NULL　即发送一个没有任何标志位的TCP包，根据RFC793，如果目标主机的相应端口是关闭的话，应该发送回一个RST数据包 RPC扫描用来定位和标识目标系统上的RCP应用，在使用了别的扫描类型判断某些端口开放后，RPC扫描针对这些开放端口发送RPC Null，来识别这些RPC应用的细节和版本信息。传统的Unix默认都开启了RPC服务，RPC扫描试图通过操作系统的RPC BIND服务识别这些端口上工作的服务名，如果识别通过，RPC服务指纹对开放端口进行指纹识别。由于历史上Unix在RPC上出过很多远程漏洞，所以对 Unix该扫描有一定意义。但RPC扫描会开启应用会话，会在相关应用的日志里留下痕迹。 扫描目标：这里需要输入完整的URL域名，一个任务最多可以扫描5个域名。 执行方式：可以选择立即执行、某时刻执行或周期执行。 插件模板：选择使用的扫描插件。 自动匹配扫描：根据扫描器识别目标网站的应用类型，自动调用相应的扫描插件。如：apache+PHP，扫描器会调用对应的插件进行扫描。（推荐使用） Web应用漏洞（全部）：包含所有插件。 快速扫描：包含跨站、注入、弱口令等常见漏洞插件。 高危漏洞扫描：仅包含高危漏洞插件。 SQL注入扫描：仅包含SQL注入漏洞插件。 XSS跨站扫描：仅包含XSS跨站漏洞插件。 远程挂马扫描：仅包含网站挂马插件。 表单扫描：有些网站需要通过表单提交信息（POST数据），如用户登录、论坛发贴等。如果启用表单扫描，扫描器会随机提交测试数据。 缺省不进行表单扫描。 扫描类型： 完整扫描：扫描整个域名 扫描当前目录和子目录：扫描当前目录和子目录，和它平级的目录以及上层目录不扫描。 只扫描任务URL：只扫描当前这一个链接。 * 协议认证：适用于基于协议认证的web系统, 支持使用NTLM认证和BASIC认证的web应用系统。如果网站登录使用NTLM或BASIC认证，这里需要填入用户名和密码。例如公司内网就是采用NTLM认证。 预设cookie：预设cookie的登录扫描, 适用于使用cookie作为会话标识的web应用.常见于使用表单登录的站点.要求cookie的有效性不依赖于登录环境,如IP,浏览器.单点登录系统不能使用预设cookie扫描:在浏览器的URL填入javascript:document.write(document.cookie) 登录预录制：登录预录制的登录扫描, 适用于使用cookie作为会话标识的web应用.适用于绝大多数的登录场景,包含单点登录系统.适用范围大于预设cookie的登录扫描方式。目前登录预录制不支持需要通过代理才能访问的web应用的登录扫描 目录深度：是指扫描器的爬虫爬取网站目录的深度，缺省是15级。超过15级的页面将不会爬取。 扫描方式：是指扫描器爬虫爬取页面的顺序，不影响扫描结果。 广度优先：每发现一个URL链接，爬虫会将该页面下所有URL链接获取，所有链接爬取完毕后，再爬取更深一层的链接。 深度优先：每发现一个URL链接，爬虫会跟进这个链接，爬取该链接下更深一层的链接，直到最深链接。 页面消重：启用页面消重，wavs对重复的链接不扫描。Wavs会认为：http://domain/aaa/?id=1 与 http://domain/aaa/?id=2 是同一个页面，id后面变化的数字页面将不扫描，以提高扫描