基于可視化的Web漏洞分析

喻 瀟，王 捷，劉 暢

（國網(wǎng)湖北省電力公司電力科學(xué)研究院，湖北 武漢 430077）

基于可視化的Web漏洞分析

喻 瀟，王 捷，劉 暢

（國網(wǎng)湖北省電力公司電力科學(xué)研究院，湖北 武漢 430077）

從基于可視化的角度詳細(xì)分析Web漏洞，通過邏輯匹配、構(gòu)造參數(shù)請求、執(zhí)行結(jié)果、對比、報文交互記錄等分析方法，再輔以可導(dǎo)出的場景文件，使得信息安全人員能夠更及時、準(zhǔn)確地掌握漏洞，從而提高信息安全人員解決Web漏洞的效率。

可視化；Web漏洞；信息安全

0 前言

隨著Web安全問題的日益嚴(yán)重，為提前發(fā)現(xiàn)潛在的信息安全隱患[1]，及時開展安全加固，保障Web應(yīng)用的正常開展，一般來說，網(wǎng)絡(luò)安全人員都會借助掃描工具來測試評估網(wǎng)站系統(tǒng)、業(yè)務(wù)應(yīng)用等風(fēng)險性，如何發(fā)現(xiàn)漏洞、識別漏洞以及定位漏洞存在于Web頁面的具體位置，以及什么樣的驗證場景可以確定漏洞真實存在，是網(wǎng)絡(luò)安全人員面對掃描結(jié)果時最棘手的問題。

1 現(xiàn)狀分析

對于大部分Web安全人員而言，掃描工具輸出的報告大都不易理解，大量漏洞存在于URL、弱點(diǎn)參數(shù)以及掃描器自身所構(gòu)造的各種請求等問題，導(dǎo)致安全人員必須進(jìn)行二次解讀，無法第一時間識別漏洞風(fēng)險分布，及時修復(fù)安全漏洞，Web應(yīng)用安全得不到有效保障。同時，由于Web網(wǎng)站和應(yīng)用環(huán)境的不同，加上安全漏洞的種類繁多，掃描工具必然也存在一定的誤報率，為保證漏洞發(fā)現(xiàn)的準(zhǔn)確性，增強(qiáng)掃描報告內(nèi)容的高可信度，掃描工具必須清晰表明：漏洞是如何被發(fā)現(xiàn)的、具體詳情如何、什么樣的場景存在該漏洞以及如何重現(xiàn)漏洞發(fā)現(xiàn)場景進(jìn)行二次驗證等情況。

2 可視化漏洞分析

基于以上問題，依據(jù)信息安全漏洞種類的不同，從漏洞確認(rèn)的判斷角度，通過邏輯猜測匹配、構(gòu)造參數(shù)請求、執(zhí)行結(jié)果、對比、報文交互記錄等分析方法，再輔以可導(dǎo)出的場景文件，從漏洞發(fā)現(xiàn)的每一步直至全過程交互進(jìn)行統(tǒng)一呈現(xiàn)展示，實現(xiàn)讓漏洞的發(fā)現(xiàn)過程通俗易懂，簡單透明，進(jìn)而為漏洞下一步可能面臨的誤報確認(rèn)，形成一種可視化的場景，達(dá)到讓閱讀報告的安全人員能夠更及時、準(zhǔn)確地分析漏洞這一目的。包含以下方面：

1）判斷標(biāo)準(zhǔn)

Web漏洞的形成有很多因素，根據(jù)漏洞的表現(xiàn)形式和產(chǎn)生原因不同，給出針對每種漏洞是否存在的判斷標(biāo)準(zhǔn)，可以讓用戶明確知道該漏洞產(chǎn)生的原因以及外在的表現(xiàn)形式。

2）執(zhí)行詳情

除了解漏洞的形成以及表現(xiàn)形式外，還需要構(gòu)造產(chǎn)生漏洞的充分必要條件，展示觸發(fā)這個漏洞的具體操作和方法，讓漏洞以更加直觀的形式展示，最終達(dá)到與判斷標(biāo)準(zhǔn)相符的目的。

3）過程報文

漏洞的探索和發(fā)現(xiàn)不是一蹴而就的，是一個有強(qiáng)烈依賴關(guān)系的發(fā)包探測、規(guī)則匹配的邏輯過程。過程報文[2]還原了整個探測過程中的收發(fā)包情況，探測方對被探測Web站點(diǎn)都發(fā)送了哪些請求，對方服務(wù)器是如何應(yīng)答的，過程報文都一一記錄，為分析漏洞和網(wǎng)站實時響應(yīng)提供有利數(shù)據(jù)。

以下給出了針對不同漏洞類型，具體闡述利用可視化漏洞的分析。

2.1 特征值匹配

圖1 特征值匹配檢測Fig.1 Eigenvalue matching detection

對于基于特征值匹配來進(jìn)行檢測的漏洞類型，其常見的檢測邏輯（如圖 1所示）是一個反復(fù)探測和驗證的過程，一般掃描工具中的爬蟲模塊需要爬取Web站點(diǎn)的有效鏈接并傳遞給相關(guān)插件探測掃描，插件在獲取到鏈接后，需要判斷此鏈接是否有存在該漏洞的條件，抽取所有可能存在漏洞的位置點(diǎn)，根據(jù)執(zhí)行詳情中的描述步驟去探測和發(fā)包，根據(jù)該漏洞的表現(xiàn)形式來判斷返回的頁面是否存在漏洞。對應(yīng)的特征值匹配檢測邏輯條件滿足后，漏洞發(fā)現(xiàn)條件也就形成，此時，掃描器把嘗試探測的URL鏈接，具體的請求方式，在哪個參數(shù)字段上構(gòu)造的特征值，相關(guān)的判斷標(biāo)準(zhǔn)，最終構(gòu)造的請求變量和URL語句函數(shù)，執(zhí)行結(jié)果與預(yù)期結(jié)果的差異，頁面請求和響應(yīng)報文結(jié)果等漏洞確認(rèn)的詳情一一羅列出來。

2.2 相似度對比

對于SQL盲注這種不能通過特征值匹配來檢測的類型（如圖2所示），需要根據(jù)返回頁面的不同來判斷，插件在獲取到被檢測URL后，抽取可能存在漏洞的注入點(diǎn)，嘗試發(fā)送三次請求獲取充分條件。第一次采樣原始請求，將原始頁面內(nèi)容作為采樣標(biāo)準(zhǔn)A；第二次采樣偽真頁面B，第三次采樣fasle頁面C。整個SQL盲注的檢測過程，需要計算B/A和 C/ A之間的相似度，在某個確定的范圍內(nèi)就可以判定是否存在注入。

圖2 SQL盲注Fig.2 SQL blind injection

大部分基于相似度對比的掃描工具的檢測結(jié)果，未提供詳細(xì)的解讀分析，安全人員無法獲知真假頁面之間的區(qū)別和差異，可視化的漏洞分析要求掃描工具必須給出插件的檢測過程和漏洞表現(xiàn)形式，判斷詳情中給出了發(fā)送的偽真和假以及原始URL的請求和響應(yīng)（如圖3所示）

圖4中展示了發(fā)送的原始頁面和偽真頁面的請求以及兩者之間的差異，差異往往非常小。

圖3 SQL盲注中URL請求與響應(yīng)Fig.3 URL request and response in blind SQL injection

圖5展示了發(fā)送的原始頁面和錯誤頁面的請求以及兩者之間的差異，差異非常大。

根據(jù)以上兩組數(shù)據(jù)的頁面相似度對比結(jié)果，可以得出兩者之間的差異，當(dāng)這個差異存在于特定范圍內(nèi)就可以判斷存在SQL盲注漏洞，以上從漏洞探測到展示，能夠完整的重現(xiàn)漏洞，幫助安全人員直觀的判斷漏洞存在與否。

2.3 猜測破解

2.3.1 口令猜測

圖4 SQL盲注中的請求Fig.4 URL request in blind SQL injection

圖5 差異對比Fig.5 Comparision and contrast

Web掃描工具在檢測表單登錄存在弱口令時，會根據(jù)用戶配置的弱口令列表，枚舉用戶名和口令嘗試登錄，以上存在的漏洞是Web應(yīng)用最常見漏洞。如圖6所示，在獲取到登錄頁面后，掃描工具會根據(jù)用戶配置的弱口令進(jìn)行登錄探測，由于各個行業(yè)的弱口令標(biāo)準(zhǔn)不同，因此，應(yīng)該支持用戶自定義配置。

圖6 弱口令檢測Fig.6 Weak password detection

在檢測出弱口令漏洞后，會給出具體的用戶名和密碼，用戶可以直接用給出的弱口令嘗試登錄漏洞URL。如圖7中理想的掃描工具所判斷詳情給出了具體的登錄頁面，檢測出來的弱口令為admin/ad?min,請求響應(yīng)發(fā)現(xiàn)頁面跳轉(zhuǎn)到了主頁面后登錄成功，表示確實存在漏洞。信息安全人員可以輕松的根據(jù)判斷規(guī)則重現(xiàn)探測過程。

圖7 弱口令探測結(jié)果Fig.7 The result of weak password detection

2.3.2 文件猜測

對于存在IIS短文件泄露漏洞的服務(wù)器，攻擊者可以利用“～”字符猜解或遍歷服務(wù)器中的文件名，當(dāng)IIS接收到一個文件路徑包含～的請求時，它的反應(yīng)是不同的，對于可用的文件返回的HTTP響應(yīng)碼是404，不可用的文件返回的是400，根據(jù)返回的狀態(tài)碼不同，進(jìn)而可用猜測出完整的文件名，為了減少對服務(wù)器的壓力，插件的檢測是一個點(diǎn)到為止的過程，防止造成拒絕服務(wù)攻擊。

如圖8所示，插件獲取到需要掃描的鏈接后，如判斷標(biāo)準(zhǔn)中所述，根據(jù)規(guī)則庫中的規(guī)則嘗試發(fā)送多組有效（返回狀態(tài)碼404）和無效（狀態(tài)碼400）的請求，滿足條件后，可以判定存在該漏洞。

圖8 文件猜測Fig.8 File guessing

檢測到該漏洞后，會為信息安全人員展示中間構(gòu)造的兩次請求，包括有效和無效請求，根據(jù)請求和響應(yīng)，可以看到返回的狀態(tài)碼不同，繼續(xù)根據(jù)有效請求猜測，就可以猜出完整的目錄及文件結(jié)構(gòu)（如圖9所示）為Web掃描器展示的漏洞詳情，對于一般用戶重放兩次請求，可以直接看出HTTP返回的狀態(tài)碼不同，對于返回碼為404的頁面，可以繼續(xù)猜測直到猜出整個文件名。

圖9 文件猜測結(jié)果Fig.9 The result of file guessing

3 結(jié)語

綜上所述，通過基于可視化的Web漏洞分析，使得信息安全人員能夠由掃描報告提供的漏洞場景文件，以可視化的方式重現(xiàn)漏洞發(fā)現(xiàn)及確認(rèn)的全過程，進(jìn)一步獲取漏洞詳情，讓安全人員能夠更有效率地開展漏洞修復(fù)等安全工作，充分體現(xiàn)了基于可視化的Web漏洞分析對于信息安全工作的指導(dǎo)意義。

（References）

[1]Dafydd Stuttard,Marcus Pinto.黑客攻防技術(shù)寶典Web實戰(zhàn)篇[M].2版.北京：人民郵電出版社，2012：115-133.

Dafydd Stuttard,Marcus Pinto.The Web Applica?tion Hacker’s Handbook[M].2 ed.Beijing：The Peo?ple’s Posts and Telecommunications Press，2012：115-133.

[2]David Gourley,Brian Totty.HTTP權(quán)威指南[M].北京：人民郵電出版社，2012.

David Gourley,Brian Totty.HTTP：The Definitive Guide[M].Beijing：The People’s Posts and Telecom?munications Press，2012.

Analysis on Visualization-based Web Vulnerabilities

YU Xiao,WANG Jie,LIU Chang
(State Grid Hubei Electric Power Research Institute,Wuhan Hubei 430077,China)

From a visualization-based research viewpoint，Web vulnerabilities are analyzed in de?tail,from the analysis of logical matching,request parameter,results of execution,comparison and message,accompanied with offline scene files which can be exported,this method makes it timely and accurately for information security personnel to find the Web vulnerabilities，which can im?prove the efficiency ofsolving the Web vulnerability for information security personnel.

visualization；Web vulnerabilities；information security

TP393

A

1006-3986(2016)07-0037-05

10.19308/j.hep.2016.07.009

2016-06-07

喻 瀟（1984-）,男,湖北武漢人,工程師。