铱迅Web漏洞扫描系统白皮书

铱迅Web 漏洞扫描系统产品白皮书南京铱迅信息技术有限公司Nanjing Yxlink Information Technologies Co.,Ltd. ,注意铱迅Web

铱迅Web 漏洞扫描系统

产品白皮书

南京铱迅信息技术有限公司

Nanjing Yxlink Information Technologies Co.,Ltd.

注意

铱迅Web 漏洞扫描系统产品白皮书

● 本手册没有任何形式的担保、立场表达或其他暗示。若有任何因本手册或其所提到之产品信息，所引起直接或间接的数据流失、利益损失或事业终止，铱迅信息不承担任何责任。

● 铱迅信息保留可随时更改手册内所记载之硬件及软件规格的权利，而无须事先通知。

● 本公司已竭尽全力来确保手册内载之信息的准确性和完善性。如果您发现任何错误或遗漏，请向铱迅信息反映，对此，我们深表感谢。

商标信息

铱迅信息、铱迅Web 应用防护系统的标志为南京铱迅信息技术有限公司的商标或注册商标。本手册或随铱迅信息产品所附的其他文件中所提及的所有其他商标名称，分别为其相关所有者所持有的商标或注册商标。

2

目录

1 产品简介 .............................................. 4

2 Web 漏洞扫描介绍 ....................................... 5

2.1 Web漏洞的危害 . .................................... 5

2.2 Web漏洞扫描与传统主机扫描的区别 ................... 6

2.3 Web漏洞扫描需要解决的关键性问题 ................... 6

3 铱迅Web 漏洞扫描系统 ................................... 7

3.1 体系架构 ......................................... 7

3.1 产品功能 ......................................... 7

3.1.1 任务管理 ..................................... 7

3.1.2 漏洞查询 ..................................... 8

3.1.3 报表管理 ..................................... 8

3.2 产品特色 ......................................... 9

3.2.1 批量扫描 ..................................... 9

3.2.2 庞大漏洞库支撑 .............................. 10

3.2.3 扫描加速 .................................... 10

4 部署方式 ............................................. 11

产品购买咨询 ............................................ 11

3

1 产品简介

铱迅Web 漏洞扫描系统（简称：铱迅Web 漏扫，英文：Yxlink Web Vul Scanner）, 是检查Web 应用存在漏洞的专业扫描系统，是目前唯一的支持IP 地址段反查DNS 域名的漏洞扫描器。支持检测网站中如SQL 注入、跨站脚本、木马上传、代码执行、远程本地包含、信息泄露等漏洞。

通过部署铱迅Web 漏洞扫描系统，能够降低与缓解Web 应用中的漏洞造成的威胁与损失，快速掌握Web 应用中存在的脆弱点。

铱迅Web 漏洞扫描系统可以广泛用于新闻发布网站、OA 办公网站、Web 邮件系统、电子商务、在线交易等平台。

图表 1 铱迅Web 漏洞扫描系统 设备图

图表 2 铱迅Web 漏洞扫描系统 设备首页

4

2 Web 漏洞扫描介绍

2.1 Web 漏洞的危害

根据CNCERT 的监测，2010年中国大陆有3.5万个网站被黑客篡改，数量较上年下降21.5，但其中被篡改的政府网站高达4635个，比上年上升67.6。政府网站安全性如果不能进一步提高，将不仅影响政府形象和电子政务的开展，也会给不法分子发布虚假信息造成可乘之机。

此外，CNCERT 去年共接到网络钓鱼事件举报1597件，较上年增长33.1。报告认为，金融行业网站正成为不法分子骗取钱财和窃取隐私的重点目标。

图表 3 OWASP 漏洞 TOP10

图表 4 Web漏洞占比分析

5

2.2 Web 漏洞扫描与传统主机扫描的区别

传统的漏洞扫描系统，主要用于扫描用户主机的操作系统及其第三方安装软件的漏洞。例如微软操作系统的缓冲区溢出、操作系统的弱口令等漏洞。 随着越来越多的应用转移到Web 上面，传统的主机扫描系统无法对Web 程序中的漏洞做深层次的挖掘，如发现SQL 注入、跨站脚本攻击、木马上传能漏洞。

SQL 注入XSS 跨站

Web 漏洞扫描

2.3 Web 漏洞扫描需要解决的关键性问题

Web 漏洞扫描系统需要解决如何自动的分析网站的架构，并且通过蜘蛛遍历的方式去模拟正常用户去访问并测试网站的每一个页面，试图从中去发现在Web 应用方面的问题。 图表

5 铱迅Web 漏洞扫描的漏洞类型

如何遍历Web 页面

如何反查IP 对应域名

如何判断漏洞存在

如何批量漏洞扫描

图表 6 Web漏洞扫描的关键问题

6

3 铱迅Web 漏洞扫描系统

3.1 体系架构

图表 7 铱迅Web 漏洞扫描系统架构

3.1 产品功能

3.1.1 任务管理

管理扫描任务的建立与启动，一次扫描的任务，允许是扫描单个或者多个IP 地址、域名，甚至是一段IP 地址。

图表 8 铱迅Web 漏洞扫描系统 扫描任务

7

3.1.2 漏洞查询

提供查询每个扫描任务中，每个域名中的漏洞的数量及分类结果。

图表 9 铱迅Web 漏洞扫描系统 漏洞查询

3.1.3 报表管理

提供快速报表与条件报表2种报表供选择，可以生产HTML 、PDF 、DOC 等格式的报表文件。快速报表可以生成一次扫描任务的报表，而条件报表允许筛选指定域名、指定漏洞类型，生成筛选后的报表。

8

3.2 产品特色

3.2.1 批量扫描

传统的Web 漏洞扫描产品，仅仅可以扫描指定的域名。而铱迅Web 漏洞扫描允许扫描一个大型的IP 地址段，通过铱迅的DNS 域名反查系统，反查出每个IP 地址中指向的域名，再进行扫描。大大增加扫描的效率与易操作度。

图表 10 铱迅Web 漏洞扫描系统 任务列表

图表 11 铱迅域名DNS 反查系统支撑

9

3.2.2 庞大漏洞库支撑

铱迅Web 漏洞扫描系统，除了提供Web 蜘蛛方式查找Web 应用中的漏洞，也提供超过8000条的Web 漏洞库进行支持，可以扫描到隐藏目录中的存在漏洞的Web 应用，增加了漏洞识别的能力。

远程包含漏洞

SQL XSS

3.2.3 扫描加速

铱迅Web 漏洞扫描系统，在扫描的过程中采用: CGI 漏洞

数据GZIP 压缩的技术

•大大增加扫描的速度，降低扫描过程中带宽的使用HTTP 连接复用技术

•建立单次连接中进行多次HTTP 请求，降低网络设备负担

重复连接摘除技术

•对Web 中重复的页面只做一次漏洞检测

10