網站制作中,會有各種各樣的問題,網站漏洞是當前危害網絡的最重要的一項,漏洞掃描器的出現為修補漏洞提供了好的條件,漏洞掃描儀的發展趨勢是什么樣的,對于漏洞的等級又是怎么區分的呢?
漏洞掃描軟件從最初的專門為UNIX系統編寫的一些只具有簡單功能的小程序,發展到現在,已經出現了多個運行在各種操作系統平臺上、具有復雜功能的商業程序。今后的發展趨勢主要有以下幾點,可以根據實際Web信息系統風險評估的需求進行選用:
1.使用插件或者叫功能模塊技術。每個插件都封裝一個或者多個漏洞的測試手段,主掃描程序通過調用插件的方法來執行。僅僅是添加新插件就可以使軟件增加新功能,掃描更多漏洞。在插件編寫規范公布的情況下,用戶或者第三方公司甚至可以自己編寫插件來擴充軟件功能。同時這種技術使軟件升級維護都變得簡單,并具有非常強的擴展性。
2.使用專用腳本語言。這其實就是一種更為高級的插件技術,用戶可以使用專用腳本語言來擴充軟件功能。這些腳本語言語法通常都比較簡單易學,往往用十幾行代碼就可以定制成一個簡單的測試,為軟件添加新的測試項。腳本語言的使用,簡化了編寫新插件編程的工作,使擴充軟件功能工作變得更加容易,也更加有趣。
3.由漏洞掃描程序到安全評估專家系統。最早的漏洞掃描程序只是簡單地把各個掃描測試項的執行結果排列出來,直接提供給測試者而不對信息進行任何分析處理。當前較成熟的掃描系統都能將對單個主機的掃描結果整理,形成出報表,能夠對具體漏洞提出一些解決方法。不足之處是對網絡的狀況缺乏一個整體的評估,對網絡安全沒有系統的解決方案。未來的安全掃描系統,應該不但能夠掃描安全漏洞,還能夠智能化協助網絡信息系統管理人員評估本網絡的安全狀況,給出安全建議,成為一個安全評估專家系統。
在實現了對Web信息系統安全掃描之后,便可依據掃描結果,對Web信息系統的安全性能進行評估,從而給出Web信息系統的風險狀況。風險評估的依據是根據掃描結果,根據Web信息系統所具有的漏洞數目及漏洞的危害程度,將Web信息系統的安全狀態進行分級?!級:掃描結果顯示沒有漏洞,但這并不表明系統沒有漏洞,因為有許多漏洞是尚未發現的,我們只能針對已知的漏洞進行測試。
B級:具有一些泄漏服務器版本信息之類的不是很重要內容的漏洞,或者提供容易造成被攻擊的服務,如允許匿名登錄,這種服務可能會造成許多其它漏洞。
C級:具有危害級別較小的一些漏洞,如可以驗證某賬號的存在,可以造成列出一些頁面目錄、文件目錄等,不會造成嚴重后果的漏洞。
D級:具有一般的危害程度的漏洞。如拒絕服務漏洞,造成Web信息系統不能正常工作;可以讓黑客獲得重要文件的訪問權的漏洞等。
E級:具有嚴重危害程度的漏洞。如存在緩沖區溢出漏洞,存在木馬后門,存在可以讓黑客獲得根用戶權限或根用戶的shell漏洞,根目錄被設置一般用戶可寫等一些后果非常嚴重的漏洞。
Copyright@ 2011-2016 版權所有:大連千億科技有限公司 遼ICP備11013762-3號 google網站地圖 百度網站地圖 網站地圖
公司地址:大連市沙河口區中山路692號辰熙星海國際2317 客服電話:0411-39943997 QQ:2088827823 37482752
法律聲明:未經許可,任何模仿本站模板、轉載本站內容等行為者,本站保留追究其法律責任的權利! 隱私權政策聲明