網站漏洞掃描工作存在的問題及解決方法

孫海波 梁文琴

（1.國家廣播電視總局廣播電視科學研究院 北京市 100866 2.北京市延慶區體育運動學校 北京市 102100）

當前科學技術飛速發展，計算機網絡帶給人們諸多便利，大大提高了人們的工作效率，豐富了人們的娛樂生活。然而，計算機網絡在帶來方便的同時，也存在很多問題，比如網站遭受黑客攻擊、網站被勒索、用戶信息被竊取等等，對于單位或者個人的信息安全造成很大的影響，還可能會造成比較大的經濟損失。因此，加強網絡安全防護，保障網站安全運行，一直是網絡從業人員的重中之重。而定期對網站進行網絡安全漏洞掃描，可以及時發現網絡安全漏洞，有效保障網站的安全運行。

1 網站漏洞掃描工作情況

1.1 網站漏洞掃描工作并非一勞永逸

幾年來，我們一直對指定網站進行漏洞掃描工作，每年發現的安全漏洞數量雖然呈現下降趨勢，但在每次的漏洞掃描過程中，都能夠發現新的網絡安全漏洞。在發現的安全漏洞中，中危漏洞要多于高危漏洞。因此，定時的漏洞掃描工作，可及時發現網站存在的安全漏洞，是保障網站安全運行的重要前提手段。

1.2 網絡安全漏洞種類繁多

幾年來，我們進行網站安全漏洞掃描工作，發現了種類繁多的安全漏洞。而且，有的漏洞是反復出現。主要的網絡安全漏洞有：Web 應用安全類、中間件安全類、服務器安全類、移動應用安全類、業務邏輯安全類，如圖1 所示。

2 網站漏洞掃描工作中發現的問題

根據幾年來我們所發現的網絡安全漏洞，暴露的安全風險趨勢，對網站漏洞掃描工作中發現的問題總結如下：

2.1 責任意識不強

個別單位對于通報的安全漏洞不能及時進行修復。比如，某單位在第1 次的網絡安全檢測環節中，發現其存在網絡安全漏洞231個，漏洞檢測結果都已通過電話聯系，并且發送郵件的方式告之對方。但是，發現的231 個漏洞，在過去一個月之后，只有101 個漏洞得到修復，其余130 個漏洞仍然沒有修復，需要再提醒、再追問才能夠將漏洞徹底修復。

圖1：網絡安全漏洞種類

這種消極怠工的行為本身就是違法的。《中華人民共和國網絡安全法》第二十二條明確規定：“網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序；發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告”。

漏洞是攻擊者利用的主要手段，雖然漏洞處置周期較前些年有大幅縮短，但是需要看到，漏洞處置黃金期隨著利用工具傳播渠道的便捷正不斷縮短。漏洞處置過程仍存在風險，其原因包含漏洞管理存在不統一的情況，包括漏洞的命名、漏洞的危害程度，以及在日常系統運維過程中對漏洞風險認知不足，日常操作環境缺乏針對漏洞的風險規避措施等。

2.2 網站“帶病”上線

一些網站在設計之初就存在安全問題，比如某單位的門戶網站，其后臺管理中心的驗證碼是無效的，這就可能導致攻擊者可以對該網站注冊的用戶、密碼進行暴力破解，如圖2 所示。而且網站對于注冊的用戶名和密碼也沒有進行健壯性驗證，我們用burpsuite 工具輕易將該網站的用戶名和密碼破解。而且該網站還存在垂直越權漏洞，我們可以根據破解的普通用戶帳號獲得超級管理員帳戶信息，進而以超級管理員身份進入網站，獲得完全控制網站的權限，其后果不言而喻，如圖3 所示。

前期網絡安全規劃不充分，設計之初安全性考慮不充足，這些問題在網站上線后便開始越來越明顯地暴露出來；網絡安全設計不完備，系統安全域劃分不明確，邊界防護不清晰；人的因素仍然是網絡安全里最重要的風險點，郵件系統、辦公網絡的非核心安全資產都有可能是潛在的風險點。

《信息系統安全等級保護基本要求云計算擴展要求》第五章節中提出，對于單位的官方網站等重要系統，在上線前必須進行安全檢驗，一定不能存在“帶病”上線的情況。如果網站系統上線后，因為各種的安全漏洞，比如跨站腳本、弱口令、遠程執行代碼等，被不法分子利用了，將會造成巨大損失。

2.3 修復漏洞應付了事

有的單位在修復漏洞過程中，存在應付了事的情況，認為這些只是一些影響級別較低的漏洞，不會對網站造成危害。于是，對于通報的漏洞不以為然，修復漏洞也是應付差事。比如某單位的門戶網站，在查看其網頁源碼時，我們發現存在文件物理路徑泄露的安全漏洞，攻擊者可利用返回的物理路徑收集網站信息，進行更進一步的滲透測試或攻擊。我們向該單位通報這一漏洞后，其很快修復了漏洞。但是在復測的過程中，我們發用該單位技術人員也只是將泄漏出來的物理路徑進行了一個簡單的Base64 編碼加密。這根本就是一種掩耳盜鈴的現象，只要通過Base64 解碼一下就能發現漏洞仍然存在，如圖4 所示。所以，這種自欺欺人的做法決不可取，網絡攻擊者可不會和你玩“捉迷藏”，而且這種行為本身就違法的。《中華人民共和國網絡安全法》中第二十五條明確規定：“網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險”。

2.4 傳統網絡安全問題依然嚴峻

當前網絡攻擊活動依然活躍，很多傳統的網絡安全漏洞仍是最常見的攻擊手段。Web 服務器中，針對老舊漏洞的攻擊占據絕大多數；Struts2 代碼執行漏洞仍居Web 框架和應用的漏洞首位；弱密碼、弱口令現象難以杜絕；大量智能設備遭惡意程序形成僵尸網絡，被用于發起大流量的DDoS 攻擊，威脅被顯著放大；目前感染木馬、僵尸網絡的風險正逐年上升，利用木馬和僵尸網絡進行進一步攻擊的可能性會進一步增強。

比如在2020年第四次的網絡安全檢測任務中，某單位網站存在反射性跨站腳本攻擊XSS 漏洞，這種危害巨大的傳統安全漏洞仍然存在，如圖5 所示。因此，并不是說檢測了很多次，這個網站就不會再有傳統的網絡安全漏洞，有可能網站進行了修改，或者修復之前舊漏洞又產生了新漏洞，很多情況都可能造成新的網絡安全漏洞產生。

3 網站漏洞掃描工作建議

根據幾年來網站漏洞掃描工作情況，對于今后這方面的工作談幾點建議：

3.1 繼續堅持對網站的定期安全漏洞掃描工作

2017年以來，我們一直對指定的幾個網站進行安全漏洞掃描，已經有四年時間。每年四次掃描，基本上對每個網站已經有16 次的掃描，還有復測掃描，每個網站起碼被掃描都在20 次以上。這么多次的掃描過后，我們還是能夠掃出網絡安全漏洞。所以說，定期對網站進行漏洞掃描工作，是非常有必要的，這是我們發現漏洞、修復漏洞的主要方式方法，從而進一步保障網站的安全運行。

圖2：管理中心登陸頁面展示

圖3：以超級管理員身份登陸管理中心

圖4：經過Base64 解碼后的物理路徑

圖5：網站存在跨站腳本攻擊漏洞

四年來，我們也發現了各式各樣的安全漏洞和事件，比如網站被勒索、跨站腳本攻擊漏洞、IIS 短文件名泄露、物理路徑泄露、Apache Shiro 反序列化漏洞、HTTP.sys 遠程執行代碼漏洞、Weblogic 遠程代碼執行漏洞、弱口令、垂直越權漏洞、Windows TCP IP 遠程執行代碼漏洞、Struts2-061 漏洞等等。每次發現新的漏洞，差不多都有一個從恐慌不知所措、網上查攻略如何修復、動手實踐的過程，而且通過發現新的漏洞，是對我們技術團隊和漏洞存在單位的一次學習提高過程。在干中學、學中干，網站安全防護無小事，切不可大意。

3.2 有效提升防火墻的隔離作用

防火墻技術是通過有機結合各類用于安全管理與篩選的軟件和硬件設備，幫助計算機網絡于其內、外網之間構建一道相對隔開的保護屏障，以保護用戶資料與信息安全的一種技術[1]。我們利用該項技術可以內外隔離計算機網絡，進而保護我們的網絡。我們可以將防火墻看成是一張保護網絡的防護網，可以結合各種安全策略，對外來的信息進行篩查，對于不良信息進行阻隔。防火墻大致可分為兩部分，即分析器和分離器。分析器對各種訪問網站的信息進行分析判斷，分離器對不良信息進行排除阻斷，即只有在防火墻同意的前提下，用戶才能夠進入計算機網絡，如果不同意就會被阻擋于外。與此同時，防火墻還可以起到預警的作用，當有惡意攻擊者對網站進行攻擊時，防火墻會發出警報，有效防止網站被攻擊。

防火墻按照功能一般分為三種：過濾型防火墻、應用代理類型防火墻、復合型防火墻。我們要根據自己網絡的實際情況，合理選用防火墻，真正達到保障網絡的目標。

3.3 提高網絡安全從業人員的業務技能

保障網絡安全，必須提升從業人員的網絡安全技能。有關單位應加大對網絡安全專業隊伍的支持力度，組建行業網絡安全專家隊伍。開展行業網絡安全檢測評估，建立行業網絡安全人員培訓制度，對運行機構全體人員進行網絡安全教育，對網絡安全技術人員進行網絡安全專業知識和技能培訓，推動實施網絡安全運行維護人員培訓、持證上崗及考核。

3.4 不斷完善安全管理制度

進一步發揮安全團隊在系統建設、運維過程中的作用，切實實現“一票否決”。圍繞資金、人才、標準和工具等方面，建立長效保障機制和優先級隊列，著力補齊短板，將機構風險控制在可接受的范圍內。開展行業網絡安全風險評估，對行業網絡安全現狀，特別是風險情況要周期性摸清底數。行政管理部門相關培訓、檢查、檢測等所需經費以及運行機構相關網絡安全建設、運維、培訓、測評、應急處置等所需經費，相關單位應統籌納入本單位年度預算。

4 結語

計算機網絡安全措施主要包括保護網絡安全、保護應用服務安全和保護系統安全三個方面，各個方面都要結合考慮安全防護的物理安全、防火墻、信息安全、Web 安全、媒體安全等等[2]。而對網站進行安全漏洞掃描，是保護網絡安全的重要前提，必須持之以恒，只有通過定時對網站進行漏洞掃描，才能及時發現漏洞、修復漏洞，保障網站的安全運行。網絡安全無小事，必須時刻警惕。