專利名稱:一種web漏洞掃描評分的方法
技術領域:
本發明涉及網絡安全評估技術,特別涉及一種TOB網站漏洞評分的方法。
背景技術:
伴隨互聯網技術的迅速發展,基于傳統網絡架構的各類業務逐步向基于B/S架構的應用體系轉變。業務類別越來越多,應用復雜度也越來越高。人們逐漸發現傳統網絡層的防護已經無法保障業務的安全運行。提升業務系統安全需要從業務流程、應用架構、應用系統等多個角度來思考從而尋求解決方案。因此,對于應用安全的關注度也逐漸升溫。面對來勢洶洶的應用威脅,絕大多數企業并沒有真正意識到其中的危機。一方面, 惡意網站以600%的年增長速度在迅速增加;另一方面,77%帶有惡意代碼的網站是被植入惡意攻擊代碼的合法網站。如果把前者比作明槍還可以避免的話,那么作為暗箭的后者可以輕而易舉地攻擊無辜普通網站訪問用戶,進而危及企業信譽。Gartner調查,75%以上的互聯網攻擊和網絡安全事故,主要是利用Web應用程序漏洞發生的。同時有2/3的Web站點相當脆弱,容易遭受各種攻擊。大多數用戶把主要把大量的投資花費在網絡和服務器的安全,而沒有真正考慮Web應用程序自身的安全。綜上所述,對Web網站的漏洞評估是非常重要的工作環節之一。但是目前的很多漏洞掃描產品只是掃描出漏洞,無法給出一個直觀的評測結果,更是無法對大量的掃描結果進行比較。
發明內容
本發明實施例提供一種WEB網站漏洞評分的方法,可以解決現有技術中存在的漏洞掃描結果不直觀,尤其是不能橫向直觀對比WEB網站安全性的問題。一種WEB漏洞掃描評分方法,該方法包括2部分 1、對每個漏洞進行賦值初始化
對漏洞數據庫中的各個分類漏洞進行賦值。數據庫中涉及到的漏洞如下,共分為5大類,60小類,具體如下所述
(1)高風險缺陷(潛在危及系統安全)
服務器端SQL注入(包括致盲向量、數字參數)
GET或POST參數中,外來仿SQL語句構造 服務器端命令行注入(包括致盲向量)
服務器端XML/XPath注入(包括致盲向量) 格式化字符串攻擊 整數溢出攻擊
HTTP PUT位置接受
(2)中等風險缺陷(潛在危及數據安全)
在文檔體中,存儲及反彈XSS向量(提供最小JS XSS支持) 通過HTTP重定向,存儲及反彈XSS向量 通過HTTP頭部分解,存儲及反彈XSS向量 目錄穿越(包括約束向量) 混合文件POI (服務器端源碼、配置等) 攻擊者提供腳本及CSS內含向量(存儲及反彈) 外部非信任腳本及CSS內含向量 腳本及CSS資源中的混合內容問題(可選) 呈現中的MIME類型不正確或缺失 呈現中的一般MIME類型 呈現中的字符不正確或缺失 呈現中的MIME/字符集沖突信息
Cookie設置響應中的有害緩存
(3)低風險問題(有限影響或低級特性) 目錄列表旁路向量
重定向到攻擊者提供URL (存儲及反彈) 嵌入了攻擊者提供的內容(存儲及反彈) 嵌入非信任內容
腳本不可行的子資源中的混合內容(可選)
URL中的HTTP信任
過期或未失效的SSL證書 沒有XSRF保護的HTML表單 自簽名SSL證書
SSL證書主機名不匹配
非敏感內容中的有害緩存指示
(4)內部警告
資源獲取嘗試失敗 超過爬蟲抓取限制
404 (網頁找不到)行為檢查失敗 檢測到IPS過濾器
意外的響應變化 貌似錯誤分類的爬蟲抓取結點
(5)不確定信息條目
一般SSL證書信息
重要HTTP Cookies改變 改變服務器、途徑或χ-...頭部 新的404信號 不能訪問的資源 要求HTTP認證的資源 鏈接損壞 服務器錯誤
所有外部鏈接沒有另外分類(可選) 所有外部郵箱(可選) 所有外部URL重定向(可選) 鏈接到未知協議 不能自動完成的表單項 密碼輸入表單(對于外部強制) 文件上傳表單
其它HTML表單(沒有另外分類) 數字文件名(對于外部強制) 頁面反彈的用戶提供的另外鏈接 非敏感內容中的MIME類型不正確或缺失 非敏感內容中的一般MIME類型 非敏感內容中的字符集不正確或缺失 非敏感內容中的MIME/字符集信息沖突 類OGNL語言參數通過的協定
對于以上的5大類,根據評分模型,賦值如表一所示。根據表一,每個大類中的小類會在相應的分值域中被賦予一個分值。接下來,根據表二,5個大類被分配到高危漏洞、中危漏洞和低危漏洞三個危險區域中,每個危險區域分值以及詳細說明可參見表二。2、根據TOB漏洞掃描評分算法對漏洞結果進行計算。定義最后得分為100分的結果表示為極端危險(實際情況可能永遠無法達到此值);最后得分為ο分的結果表示為極端安全。從而,得分越高,WEB網站存在的漏洞也就越嚴重。WEB漏洞掃描自動計算最終評分SO的機制包括 公式計算最終評分S0,其中;
在公式中,,,分別為高危漏洞、中危險漏洞和低危漏洞的相對權重;,,分別為高、中、 低漏洞出現的漏洞的總分值;a、b、c表示調節因子,需要根據大量的真實數據確定相應的值。的獲取方法為需要根據大量的漏洞數據,以及造成的影響和權威組織發布的相關信息來確定相關的權重。的獲取方法為WEB漏洞掃描系統根據漏洞數據庫發送探測報文后,根據應答報文,分析潛在的漏洞,同時對不同漏洞分別計數,最后計算高中低危漏洞的危險分值。a、b、c的獲取方法為需要根據大量的漏洞數據,以及造成的影響和權威組織發布的相關信息來確定,還要根據的值來獲取協調因子,最基本的取值為全為1。當對不同WEB網站評分或者對同一 WEB網站多次評分后,將評分結果保存在數據庫中,通過直方圖或者折線圖或者餅狀圖形是對結果進行對比,直觀醒目的了解WEB網站的相對安全風險或者同一網站隨時間的安全狀態趨勢等等一些相關內容。本發明實施例中,由TOB漏洞掃描系統收集漏洞信息,根據預先設定的分值模型和評分算法模型最終計算出最后的安全得分。其中的權重參數和協調因子需要根據大量的權威數據獲取,增加了最后評分的準確性和嚴謹性。另外
通過對比不同WEB網站評分或者對同一 WEB網站多次評分的結果,可以評估不同網站的相對安全風險或者同一網站隨時間的漏洞趨勢,為相關網站的設計和維護提供相關參考資料。
圖1為本發明實施例中漏洞評分值以及相關信息; 圖1為本發明實施例中不同危險區域劃分以及說明; 圖3為本發明實施例中TOB漏洞掃描系統應用場景舉例圖; 圖4為本發明實施例的WEB漏洞掃描評分的總體流程圖。
權利要求
1.一種WEB漏洞掃描評分方法,其特征在于,該方法包括對漏洞庫的各個分類設定一個分值,然后將漏洞分發到三個危險區域中; 根據WEB漏洞掃描評分算法對漏洞結果進行計算; 對大量的漏洞掃描結果通過圖表形式進行對比。
2.如權利要求1中所述的方法,其特征在于,對漏洞庫的各個分類設定分值的方法包括對漏洞數據庫中的各個分類漏洞進行賦值,數據庫中涉及到的漏洞共分為5大類,60 小類;對于以上的5大類,設定一個分值域。
3.如權利要求2中所述的方法,其特征在于,所設定的分值域包括根據評分模型,賦值如表一所示,每個大類中的小類在相應的分值域中被賦予一個分值。
4.如權利要求1中所述的方法,其特征在于,對三個危險區域劃分的方法包括根據表二,5個大類被分配到高危漏洞、中危漏洞和低危漏洞三個危險區域中,每個危險區域分值以及詳細說明可參見表二。
5.如權利要求1中所述的方法,其特征在于,WEB漏洞掃描評分算法包括定義最后得分為100分的結果表示為極端危險(實際情況可能永遠無法達到此值);最后得分為0分的結果表示為極端安全;根據WEB漏洞掃描自動評分機制進行評分。
6.如權利要求1或5中所述的方法,其特征在于,WEB漏洞掃描自動計算最終評分SO 的機制包括公式計算最終評分S0,其中;在公式中,,,分別為高危漏洞、中危險漏洞和低危漏洞的相對權重;,,分別為高、中、 低漏洞出現的漏洞的總分值;a、b、c表示調節因子,需要根據大量的真實數據確定相應的值;的獲取方法為需要根據大量的漏洞數據,以及造成的影響和權威組織發布的相關信息來確定相關的權重;的獲取方法為WEB漏洞掃描系統根據漏洞數據庫發送探測報文后,根據應答報文,分析潛在的漏洞,同時對不同漏洞分別計數,最后計算高中低危漏洞的危險分值;a、b、c的獲取方法為需要根據大量的漏洞數據,以及造成的影響和權威組織發布的相關信息來確定,還要根據的值來獲取協調因子,最基本的取值為全為1。
7.如權利要求1中所述的方法,其特征在于,對于大量的漏洞掃描結果進行對比的方法包括通過直方圖形式對結果進行比較;通過折線圖形式對結果進行比較;通過餅狀圖形式對結果進行比較。
全文摘要
本發明公開了一種對網站漏洞掃描結果的評分方法,該方法包括漏洞掃描系統探測WEB網站漏洞,返回漏洞結果;系統對每個返回的漏洞結果賦予一定的分值,最終評分S0由設計的評分算法自動計算得出,同時可以橫向以及縱向的比較多個評分結果,以數字和圖形的方式給出某一個網站在某一段時間的安全情況或者不同網站之間的漏洞風險比較。通過本發明解決了現有技術中存在的漏洞結果不直觀以及無法比較歷史掃描結果和不同網站之間橫向安全風險評估的問題。
文檔編號H04L12/24GK102571870SQ20101061810
公開日2012年7月11日 申請日期2010年12月31日 優先權日2010年12月31日
發明者王婷, 耿濤, 謝斌 申請人:北京安碼科技有限公司