减少Web应用安全漏洞，提高Web系统的安全性。

　　本书内容共分五章，从Web应用漏洞扫描产品的技术实现和标准入手，对Web应用漏洞扫描产品的产生需求、技术原理、实现机制、产品标准、典型应用和产品等内容进行了全面、翔实的介绍。 本书适用于Web应用漏洞扫描产品的使用者、研发人员及测试评价人员作为技术参考，也可供信息安全专业的学生及其他科研人员作为参考读物。

　　俞优，硕士，副研究员。长期围绕网络安全等级保护、网络安全产品等方向开展相关测试方法、标准和工具的研究。在网络安全相关领域，作为负责人或子任务负责人完成多项国家\省部级科研项目；牵头或作为主要完成人制定30余项国家标准\行业标准；先后获得4次公安部科学技术奖三等奖，1次中国电子学会科技进步奖三等奖，1次上海市标准化优秀技术成果二等奖。

版权页
前言
第1章 综述
1.1 为什么需要进行Web应用漏洞扫描
1.1.1 Web应用安全现状
1.1.2 Web应用攻击形式
1.1.3 采用Web应用漏洞扫描技术的必要性
1.2 Web应用漏洞扫描技术发展历程
1.2.1 漏洞检测技术
1.2.2 Web应用漏洞检测技术
第2章 Web系统及安全扫描技术
2.1 Web系统
2.1.1 Web的发展
2.1.2 Web系统构成
2.1.3 Web应用架构
2.1.4 Web访问方法
2.1.5 Web编程语言
2.1.6 Web数据库访问技术
2.1.7 Web服务器
2.2 HTTP协议
2.2.1 HTTP协议通信过程
2.2.2 统一资源定位符
2.2.3 HTTP的连接方式和无状态性
2.2.4 HTTP请求报文
2.2.5 HTTP响应报文
2.2.6 HTTP报文结构汇总
2.2.7 HTTP会话管理
2.3 HTTPS协议
2.3.1 HTTPS和HTTP的主要区别
2.3.2 HTTPS通信过程
2.3.3 HTTPS的优点
2.3.4 HTTPS的缺点
2.4 Web应用漏洞的定义和分类
2.4.1 Web应用漏洞的定义
2.4.2 Web应用漏洞的分类
2.4.3 OWASP与WASC
2.4.4 Web应用漏洞产生的原因
2.5 Web应用漏洞扫描产品工作机制
2.6 扫描机制
2.6.1 被动模式
2.6.2 主动模式
2.7 爬虫技术
2.8 漏洞检测技术
2.8.1 SQL注入漏洞分析
2.8.2 跨站脚本攻击漏洞分析
2.8.3 CSRF漏洞分析
2.8.4 任意文件下载漏洞分析
2.8.5 文件包含漏洞分析
2.8.6 网页木马分析
2.8.7 逻辑漏洞分析
2.8.8 暗链原理分析
2.9 漏洞验证与渗透测试
2.9.1 SQL注入漏洞验证与渗透测试
2.9.2 跨站脚本漏洞验证
2.9.3 CSRF漏洞验证
2.10 常见过滤绕过技术
2.11 网页内容检测技术
2.11.1 本地检测技术
2.11.2 远程检测技术
2.12 性能与效率
2.12.1 爬虫效率的提升
2.12.2 检测效率的提升
第3章 Web应用漏洞扫描产品标准介绍
3.1 如何评价Web应用漏洞扫描产品
3.2 行业标准编制情况概述
3.2.1 标准的主要内容
3.2.2 标准的主要条目解释
3.3 国家标准编制情况概述
3.3.1 标准介绍
3.3.2 标准的主要内容
3.4 测试环境介绍
3.4.1 常见测试环境
3.4.2 WebGoat安装部署
3.4.3 DVWA安装部署
第4章 Web应用漏洞扫描产品的典型应用
4.1 应用场景一
4.1.1 背景及需求
4.1.2 应用案例
4.2 应用场景二
4.2.1 背景及需求
4.2.2 应用案例
4.3 应用场景三
4.3.1 背景及需求
4.3.2 解决方案分析
4.3.3 建设目标
4.3.4 系统架构
第5章 Web应用漏洞扫描产品介绍
5.1 Acunetix Web VulnerabiIity Scanner
5.2 IBM Rational AppScan
5.3 明鉴Web应用弱点扫描器
5.4 绿盟Web应用漏洞扫描系统
5.5 天融信Web扫描系统
5.6 360网站漏洞扫描系统
5.7 天泰Web安全监测系统
5.8 更多产品
参考文献
反侵权盗版声明

　　随着大数据时代的来临，海量数据在互联网中传播，其中不乏来自用户的大量敏感信息，而在Web交互性增强的同时，也引入了更多的网络安全威胁，Web应用的安全性值得广泛关注。同时，随着网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。利用Web应用潜在的隐患与风险，攻击者不但可以劫持用户会话，甚至可以盗取用户账户信息、窃取财产、破坏服务数据或散布恶意信息等。这些都会阻碍整个互联网的健康发展。
　　然而种种证据表明，Web应用安全漏洞广泛存在，而且潜在的影响十分恶劣，无论是对因特网业务收入日益增长的企业，还是向Web应用托付敏感信息的用户，Web应用的安全性都是值得关注的话题。为了减少Web应用安全漏洞，提高Web系统的安全性，最有效的途径是提高Web应用开发、维护等从业人员的素质，并在安全管控方面有针对性地对其进行培训和提升，增强其安全意识。尽管如此，即使再优秀的设计与实现都难免会存在一些安全风险，无论是设计缺陷、编码不严谨，还是管理不严格，都可能给攻击者留下可乘之机。早期由于技术不成熟，Web应用的规模较小，应用也不够广泛，传统的人工安全漏洞检测还可以处理相对简单的情况，而其检测质量仍然受到检测人员的素质、水平与经验的约束。但是，随着Web应用系统规模变大，软件开发周期变短，人工检测的工作量越来越大，而且存在许多重复性的工作，这使得人工检测变得不仅费时费力、效率不高，而且效果也很差。因此，必须借助自动化技术进行漏洞扫描。Web应用漏洞扫描产品就是来解决这些问题的，它可以自动发现Web应用漏洞，并且指导开发人员对漏洞进行修复，从而可以在很大程度上提升Web应用的安全性，保障Web应用的质量。同时，也降低了人工成本，使得测试人员可以把更多的精力放在对业务逻辑的确认上，从而提高测试效率。
　　Web应用漏洞扫描的各项技术是如何实现的？带着这些问题，本书从Web系统及安全扫描技术、产品标准、典型应用等方面进行介绍和分析，期望能够带给读者一定的借鉴。
　　本书的编写人员均来自公安部计算机信息系统安全产品质量监督检验中心，同时，本书编写人员也参与了国家标准《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》（GB/T 37931—2019）、公共安全行业标准《信息安全技术Web应用安全扫描产品安全技术要求》（GA/T 1107—2013）的编制工作，因此，本书在标准介绍和描述方面具有一定的权威性。
　　本书第1章由俞优撰写，第2章由俞优、杨元原撰写，第3～5章由沈亮、邹春明撰写。顾健作为丛书主编，负责把握全书技术方面，并对各章节的具体编写提供了指导性意见。全书由俞优统稿。此外，王志佳、张笑笑等同志也参与了本书资料的收集和部分编写工作。由于编写人员水平有限且时间紧迫，本书不足之处在所难免，恳请各位专家和读者不吝批评指正。
　　本书的编写得到了北京天融信网络安全技术有限公司、网神信息技术（北京）股份有限公司、杭州安恒信息技术有限公司和北京神州绿盟科技有限公司的大力协助，在此表示衷心的感谢！
　　编者

　　Internet发展到今天，基于Web和数据库架构的应用系统已经逐渐成为主流，广泛应用于企业内部和外部的业务系统中。在网络高速公路不断拓展，电子政务、电子商务和各种基于Web应用的业务模式不断成熟的今天，由网络钓鱼、SQL注入、网页木马和跨站脚本等攻击事件带来的严重后果，将影响人们对Web应用的信心。
　　1.1 为什么需要进行Web应用漏洞扫描
　　1.1.1 Web应用安全现状
　　根据中国互联网络信息中心（CNNIC）统计报告，截至2017年12月，中国网站数量为533万个，年增长率为10.6%。中国网页数量为2604亿个，年增长10.3%。其中，静态网页数量为1969亿个，约占网页总数的75.6%，动态网页数量为635亿个，约占网页总数的24.4%。相比2008年的181亿个，增长近15倍。
　　随着计算机技术和信息技术的发展，Web应用系统在各个领域都得到了广泛的应用，伴随而来的针对Web应用的攻击也大幅度上升。国际著名调研机构Gartner曾统计，信息安全攻击有75%都是发生在Web应用而非网络层面上，其中最常见的攻击技术就是针对Web应用的SQL注入和钓鱼攻击。然而目前，绝大多数企业将大量的投资花费在网络安全和主机安全上，应用安全却往往是薄弱环节，没有从根本上保障应用自身的安全，缺乏有效的安全保障措施，没有真正意义上保证Web应用本身的安全，容易给黑客以可乘之机。
　　据国家计算机网络应急技术处理协调中心（CN/CERT）2017年统计报告，2017年发现约4.9万个针对我国境内网站的仿冒页面，其中实名认证和积分兑换仿冒页面比较多。2017年境内外约2.4万个IP地址对我国境内2.9万余个网站植入后门。2017年我国境内约2万个网站被篡改，被植入暗链的网站占全部被篡改网站的68.0%。网站用户信息成为黑客窃取的重点，直接影响网民和企业权益，阻碍行业健康发展。另外，针对特定目标的有组织高级可持续攻击日渐增多，国家、企业的网络信息系统安全面临严峻挑战。攻击者主要采用篡改网页、上传恶意代码等攻击形式，干扰正常业务的开展、蓄意破坏政府或企业形象，严重的还导致网站被迫停止服务。对个人用户而言，攻击者更多的是通过非法获取用户游戏账号、银行账号、密码等手段，进而窃取用户财产。如上所述，整体安全形势不容乐观，给Web应用系统的稳定运行带来了前所未有的压力，Web应用系统的安全已经成为目前迫切需要解决的问题。
　　Web安全从后端延伸到前端，安全问题日益突出。软件安全开发是Web应用安全中的关键环节，当前Web应用设计及开发人员对于软件安全问题仍然缺乏正确、足够的认识，存在“重业务、轻安全”的现象，开发过程不规范，忽视安全编码规范，安全测试不到位，导致Web应用本身存在很多潜在的缺陷，同时也暴露给外界大量的安全漏洞，一旦攻击者入侵可能会导致重大经济损失。
　　1.1.2 Web应用攻击形式
　　如今Web应用程序的攻击行为一般步骤为：确定该Web应用程序潜在的漏洞，然后采取有针对性的攻击手段，最后获取资源或权限。目前常见的攻击手段主要有以下几种。
　　1）口令入侵
　　一般会通过网络监听或者暴力破解法获取用户口令。
　　2）Sniff监听
　　通过监听器截获网络上传输的信息，如口令及敏感信息等。
　　3）恶意电子邮件攻击
　　利用应用程序中的拒绝服务的漏洞把其中服务器的资源耗尽，也可以发送含有木马链接的邮件，诱导用户点击，从而可以使其机器感染木马程序。
　　4）诱导法
　　恶意攻击者会将一些看起来比较正常的程序上传到供用户下载的站点，然后诱导下载，将恶意代码植入用户的机器，从而可以监控用户的机器。
　　5）利用系统的漏洞
　　操作系统或者应用程序本身在程序开发过程中存在人为的漏洞，这成了恶意攻击者攻击的“入口”。
　　6）木马攻击
　　在受害者系统中植入一个隐藏程序，它会在用户不知不觉的情形下运行，从而在系统联网时对其进行监控。
　　1.1.3 采用Web应用漏洞扫描技术的必要性
　　近几年来，Web技术和安全产品已经有了长足的进步，部分技术与产品已日趋成熟。但是，单个安全技术或者安全产品的功能和性能都有其局限性，只能满足系统与网络特定的安全需求。因此，如何有效利用现有的安全技术和安全产品来保障Web应用系统的安全已成为当前信息安全领域的研究热点之一。
　　信息共享与保证安全往往是一对矛盾，在一个自由的网络环境中，大量的流动信息为一些不法之徒提供了攻击目标。而且由于形式多样、终端分布广、互联开放的计算机网络为攻击者提供了便利，其中大量攻击者利用Web应用程序的漏洞发起攻击，给运营商和用户带来很大的损失。因此，为保障Web应用程序安全，及时发现并修补漏洞成为一项很重要的工作。Web应用漏洞扫描技术是模仿攻击者的行为去检测Web应用程序是否安全。它可以准确地发现Web应用程序中潜在的漏洞，这对于保障网络安全也越来越重要。因此，对Web应用漏洞扫描技术应用具有重要的意义。