喻 瀟，王 捷，劉 暢

（國(guó)網(wǎng)湖北省電力公司電力科學(xué)研究院，湖北 武漢 430077）

基于可視化的Web漏洞分析

喻 瀟，王 捷，劉 暢

（國(guó)網(wǎng)湖北省電力公司電力科學(xué)研究院，湖北 武漢 430077）

從基于可視化的角度詳細(xì)分析Web漏洞，通過(guò)邏輯匹配、構(gòu)造參數(shù)請(qǐng)求、執(zhí)行結(jié)果、對(duì)比、報(bào)文交互記錄等分析方法，再輔以可導(dǎo)出的場(chǎng)景文件，使得信息安全人員能夠更及時(shí)、準(zhǔn)確地掌握漏洞，從而提高信息安全人員解決Web漏洞的效率。

可視化；Web漏洞；信息安全

0 前言

隨著Web安全問(wèn)題的日益嚴(yán)重，為提前發(fā)現(xiàn)潛在的信息安全隱患[1]，及時(shí)開(kāi)展安全加固，保障Web應(yīng)用的正常開(kāi)展，一般來(lái)說(shuō)，網(wǎng)絡(luò)安全人員都會(huì)借助掃描工具來(lái)測(cè)試評(píng)估網(wǎng)站系統(tǒng)、業(yè)務(wù)應(yīng)用等風(fēng)險(xiǎn)性，如何發(fā)現(xiàn)漏洞、識(shí)別漏洞以及定位漏洞存在于Web頁(yè)面的具體位置，以及什么樣的驗(yàn)證場(chǎng)景可以確定漏洞真實(shí)存在，是網(wǎng)絡(luò)安全人員面對(duì)掃描結(jié)果時(shí)最棘手的問(wèn)題。

1 現(xiàn)狀分析

對(duì)于大部分Web安全人員而言，掃描工具輸出的報(bào)告大都不易理解，大量漏洞存在于URL、弱點(diǎn)參數(shù)以及掃描器自身所構(gòu)造的各種請(qǐng)求等問(wèn)題，導(dǎo)致安全人員必須進(jìn)行二次解讀，無(wú)法第一時(shí)間識(shí)別漏洞風(fēng)險(xiǎn)分布，及時(shí)修復(fù)安全漏洞，Web應(yīng)用安全得不到有效保障。同時(shí)，由于Web網(wǎng)站和應(yīng)用環(huán)境的不同，加上安全漏洞的種類繁多，掃描工具必然也存在一定的誤報(bào)率，為保證漏洞發(fā)現(xiàn)的準(zhǔn)確性，增強(qiáng)掃描報(bào)告內(nèi)容的高可信度，掃描工具必須清晰表明：漏洞是如何被發(fā)現(xiàn)的、具體詳情如何、什么樣的場(chǎng)景存在該漏洞以及如何重現(xiàn)漏洞發(fā)現(xiàn)場(chǎng)景進(jìn)行二次驗(yàn)證等情況。

2 可視化漏洞分析

基于以上問(wèn)題，依據(jù)信息安全漏洞種類的不同，從漏洞確認(rèn)的判斷角度，通過(guò)邏輯猜測(cè)匹配、構(gòu)造參數(shù)請(qǐng)求、執(zhí)行結(jié)果、對(duì)比、報(bào)文交互記錄等分析方法，再輔以可導(dǎo)出的場(chǎng)景文件，從漏洞發(fā)現(xiàn)的每一步直至全過(guò)程交互進(jìn)行統(tǒng)一呈現(xiàn)展示，實(shí)現(xiàn)讓漏洞的發(fā)現(xiàn)過(guò)程通俗易懂，簡(jiǎn)單透明，進(jìn)而為漏洞下一步可能面臨的誤報(bào)確認(rèn)，形成一種可視化的場(chǎng)景，達(dá)到讓閱讀報(bào)告的安全人員能夠更及時(shí)、準(zhǔn)確地分析漏洞這一目的。包含以下方面：

1）判斷標(biāo)準(zhǔn)

Web漏洞的形成有很多因素，根據(jù)漏洞的表現(xiàn)形式和產(chǎn)生原因不同，給出針對(duì)每種漏洞是否存在的判斷標(biāo)準(zhǔn)，可以讓用戶明確知道該漏洞產(chǎn)生的原因以及外在的表現(xiàn)形式。

2）執(zhí)行詳情

除了解漏洞的形成以及表現(xiàn)形式外，還需要構(gòu)造產(chǎn)生漏洞的充分必要條件，展示觸發(fā)這個(gè)漏洞的具體操作和方法，讓漏洞以更加直觀的形式展示，最終達(dá)到與判斷標(biāo)準(zhǔn)相符的目的。

3）過(guò)程報(bào)文

漏洞的探索和發(fā)現(xiàn)不是一蹴而就的，是一個(gè)有強(qiáng)烈依賴關(guān)系的發(fā)包探測(cè)、規(guī)則匹配的邏輯過(guò)程。過(guò)程報(bào)文[2]還原了整個(gè)探測(cè)過(guò)程中的收發(fā)包情況，探測(cè)方對(duì)被探測(cè)Web站點(diǎn)都發(fā)送了哪些請(qǐng)求，對(duì)方服務(wù)器是如何應(yīng)答的，過(guò)程報(bào)文都一一記錄，為分析漏洞和網(wǎng)站實(shí)時(shí)響應(yīng)提供有利數(shù)據(jù)。

以下給出了針對(duì)不同漏洞類型，具體闡述利用可視化漏洞的分析。

2.1 特征值匹配

圖1 特征值匹配檢測(cè)Fig.1 Eigenvalue matching detection

對(duì)于基于特征值匹配來(lái)進(jìn)行檢測(cè)的漏洞類型，其常見(jiàn)的檢測(cè)邏輯（如圖 1所示）是一個(gè)反復(fù)探測(cè)和驗(yàn)證的過(guò)程，一般掃描工具中的爬蟲(chóng)模塊需要爬取Web站點(diǎn)的有效鏈接并傳遞給相關(guān)插件探測(cè)掃描，插件在獲取到鏈接后，需要判斷此鏈接是否有存在該漏洞的條件，抽取所有可能存在漏洞的位置點(diǎn)，根據(jù)執(zhí)行詳情中的描述步驟去探測(cè)和發(fā)包，根據(jù)該漏洞的表現(xiàn)形式來(lái)判斷返回的頁(yè)面是否存在漏洞。對(duì)應(yīng)的特征值匹配檢測(cè)邏輯條件滿足后，漏洞發(fā)現(xiàn)條件也就形成，此時(shí)，掃描器把嘗試探測(cè)的URL鏈接，具體的請(qǐng)求方式，在哪個(gè)參數(shù)字段上構(gòu)造的特征值，相關(guān)的判斷標(biāo)準(zhǔn)，最終構(gòu)造的請(qǐng)求變量和URL語(yǔ)句函數(shù)，執(zhí)行結(jié)果與預(yù)期結(jié)果的差異，頁(yè)面請(qǐng)求和響應(yīng)報(bào)文結(jié)果等漏洞確認(rèn)的詳情一一羅列出來(lái)。

2.2 相似度對(duì)比

對(duì)于SQL盲注這種不能通過(guò)特征值匹配來(lái)檢測(cè)的類型（如圖2所示），需要根據(jù)返回頁(yè)面的不同來(lái)判斷，插件在獲取到被檢測(cè)URL后，抽取可能存在漏洞的注入點(diǎn)，嘗試發(fā)送三次請(qǐng)求獲取充分條件。第一次采樣原始請(qǐng)求，將原始頁(yè)面內(nèi)容作為采樣標(biāo)準(zhǔn)A；第二次采樣偽真頁(yè)面B，第三次采樣fasle頁(yè)面C。整個(gè)SQL盲注的檢測(cè)過(guò)程，需要計(jì)算B/A和 C/ A之間的相似度，在某個(gè)確定的范圍內(nèi)就可以判定是否存在注入。

圖2 SQL盲注Fig.2 SQL blind injection

大部分基于相似度對(duì)比的掃描工具的檢測(cè)結(jié)果，未提供詳細(xì)的解讀分析，安全人員無(wú)法獲知真假頁(yè)面之間的區(qū)別和差異，可視化的漏洞分析要求掃描工具必須給出插件的檢測(cè)過(guò)程和漏洞表現(xiàn)形式，判斷詳情中給出了發(fā)送的偽真和假以及原始URL的請(qǐng)求和響應(yīng)（如圖3所示）

圖4中展示了發(fā)送的原始頁(yè)面和偽真頁(yè)面的請(qǐng)求以及兩者之間的差異，差異往往非常小。

圖3 SQL盲注中URL請(qǐng)求與響應(yīng)Fig.3 URL request and response in blind SQL injection

圖5展示了發(fā)送的原始頁(yè)面和錯(cuò)誤頁(yè)面的請(qǐng)求以及兩者之間的差異，差異非常大。

根據(jù)以上兩組數(shù)據(jù)的頁(yè)面相似度對(duì)比結(jié)果，可以得出兩者之間的差異，當(dāng)這個(gè)差異存在于特定范圍內(nèi)就可以判斷存在SQL盲注漏洞，以上從漏洞探測(cè)到展示，能夠完整的重現(xiàn)漏洞，幫助安全人員直觀的判斷漏洞存在與否。

2.3 猜測(cè)破解

2.3.1 口令猜測(cè)

圖4 SQL盲注中的請(qǐng)求Fig.4 URL request in blind SQL injection

圖5 差異對(duì)比Fig.5 Comparision and contrast

Web掃描工具在檢測(cè)表單登錄存在弱口令時(shí)，會(huì)根據(jù)用戶配置的弱口令列表，枚舉用戶名和口令嘗試登錄，以上存在的漏洞是Web應(yīng)用最常見(jiàn)漏洞。如圖6所示，在獲取到登錄頁(yè)面后，掃描工具會(huì)根據(jù)用戶配置的弱口令進(jìn)行登錄探測(cè)，由于各個(gè)行業(yè)的弱口令標(biāo)準(zhǔn)不同，因此，應(yīng)該支持用戶自定義配置。

圖6 弱口令檢測(cè)Fig.6 Weak password detection

在檢測(cè)出弱口令漏洞后，會(huì)給出具體的用戶名和密碼，用戶可以直接用給出的弱口令嘗試登錄漏洞URL。如圖7中理想的掃描工具所判斷詳情給出了具體的登錄頁(yè)面，檢測(cè)出來(lái)的弱口令為admin/ad?min,請(qǐng)求響應(yīng)發(fā)現(xiàn)頁(yè)面跳轉(zhuǎn)到了主頁(yè)面后登錄成功，表示確實(shí)存在漏洞。信息安全人員可以輕松的根據(jù)判斷規(guī)則重現(xiàn)探測(cè)過(guò)程。

圖7 弱口令探測(cè)結(jié)果Fig.7 The result of weak password detection

2.3.2 文件猜測(cè)

對(duì)于存在IIS短文件泄露漏洞的服務(wù)器，攻擊者可以利用“～”字符猜解或遍歷服務(wù)器中的文件名，當(dāng)IIS接收到一個(gè)文件路徑包含～的請(qǐng)求時(shí)，它的反應(yīng)是不同的，對(duì)于可用的文件返回的HTTP響應(yīng)碼是404，不可用的文件返回的是400，根據(jù)返回的狀態(tài)碼不同，進(jìn)而可用猜測(cè)出完整的文件名，為了減少對(duì)服務(wù)器的壓力，插件的檢測(cè)是一個(gè)點(diǎn)到為止的過(guò)程，防止造成拒絕服務(wù)攻擊。

如圖8所示，插件獲取到需要掃描的鏈接后，如判斷標(biāo)準(zhǔn)中所述，根據(jù)規(guī)則庫(kù)中的規(guī)則嘗試發(fā)送多組有效（返回狀態(tài)碼404）和無(wú)效（狀態(tài)碼400）的請(qǐng)求，滿足條件后，可以判定存在該漏洞。

圖8 文件猜測(cè)Fig.8 File guessing

檢測(cè)到該漏洞后，會(huì)為信息安全人員展示中間構(gòu)造的兩次請(qǐng)求，包括有效和無(wú)效請(qǐng)求，根據(jù)請(qǐng)求和響應(yīng)，可以看到返回的狀態(tài)碼不同，繼續(xù)根據(jù)有效請(qǐng)求猜測(cè)，就可以猜出完整的目錄及文件結(jié)構(gòu)（如圖9所示）為Web掃描器展示的漏洞詳情，對(duì)于一般用戶重放兩次請(qǐng)求，可以直接看出HTTP返回的狀態(tài)碼不同，對(duì)于返回碼為404的頁(yè)面，可以繼續(xù)猜測(cè)直到猜出整個(gè)文件名。

圖9 文件猜測(cè)結(jié)果Fig.9 The result of file guessing

3 結(jié)語(yǔ)

綜上所述，通過(guò)基于可視化的Web漏洞分析，使得信息安全人員能夠由掃描報(bào)告提供的漏洞場(chǎng)景文件，以可視化的方式重現(xiàn)漏洞發(fā)現(xiàn)及確認(rèn)的全過(guò)程，進(jìn)一步獲取漏洞詳情，讓安全人員能夠更有效率地開(kāi)展漏洞修復(fù)等安全工作，充分體現(xiàn)了基于可視化的Web漏洞分析對(duì)于信息安全工作的指導(dǎo)意義。

（References）

[1]Dafydd Stuttard,Marcus Pinto.黑客攻防技術(shù)寶典Web實(shí)戰(zhàn)篇[M].2版.北京：人民郵電出版社，2012：115-133.

Dafydd Stuttard,Marcus Pinto.The Web Applica?tion Hacker’s Handbook[M].2 ed.Beijing：The Peo?ple’s Posts and Telecommunications Press，2012：115-133.

[2]David Gourley,Brian Totty.HTTP權(quán)威指南[M].北京：人民郵電出版社，2012.

David Gourley,Brian Totty.HTTP：The Definitive Guide[M].Beijing：The People’s Posts and Telecom?munications Press，2012.

Analysis on Visualization-based Web Vulnerabilities

YU Xiao,WANG Jie,LIU Chang
(State Grid Hubei Electric Power Research Institute,Wuhan Hubei 430077,China)

From a visualization-based research viewpoint，Web vulnerabilities are analyzed in de?tail,from the analysis of logical matching,request parameter,results of execution,comparison and message,accompanied with offline scene files which can be exported,this method makes it timely and accurately for information security personnel to find the Web vulnerabilities，which can im?prove the efficiency ofsolving the Web vulnerability for information security personnel.

visualization；Web vulnerabilities；information security

TP393

A

1006-3986(2016)07-0037-05

10.19308/j.hep.2016.07.009

2016-06-07

喻 瀟（1984-）,男,湖北武漢人,工程師。