0x00 前言
在之前介绍过一篇长亭科技开发的工具叫X-ray,今天在网上看到了这款工具的白皮书,为了防止以后找不到了,这里直接以文章的形式记录下来。如有侵权,请联系删除!
0x01 如何有效进行安全评估?
70%的网站存在漏洞,可能导致资金被盗、用户隐私信息泄露、系统瘫痪等问题。
2017年全球泄露或被盗的数据超过50亿条,其中仅上半年就达到19亿条,超过
了2016年全年被盗数据总量。CNNVD公布的2017年漏洞数量为14,748个,2016年
全年的漏洞总数为8,753个,年增长率达到了70%。面对逐年激增的漏洞与信息泄露事件,企业必须建立一套完善的安全评估系统。而企业目前所面临的安全评估或多或少都存在着一些问题。
【资产发现难】
• 企业规模不断扩大,难以审计大量新设备;
• 员工自带设备(BYOD)存在各种隐形威胁;
• 各种小实验室、小型办公网络难以监控。
【扫描能力弱】
• 爬虫能力弱,难以发现内网服务、设备存在的安全问题或未修复的漏洞;
• 无法自动发现扫描目标,无法自定义扫描资产、漏洞类型,用户体验差。
应急响应无力:
• 漏洞爆发,无法在极短时间内对整个内网的大规模设备群进行清查。
伸缩与扩展性差:
• 只能在部署时既定的区域内进行扫描工作,无法应对不断变化的企业内网环境。
• 在不同的网络之间扫描可能会带来冲突,实际使用效率大打折扣。
0x02 X-Ray安全评估系统
(X-Ray)是由长亭安全团队基于扎实攻防经验,历经多年实战打磨的一款集合资产管理、Web扫描、主机扫描为一体的安全评估系统。
X-Ray安全评估系统,将人工检测漏洞的思维路径转化成机器语言,X-Ray实现了自动化精准漏洞识别,可发现大规模资产并进行方便快捷管理,同时提供详细的漏洞信息及修复策略,快速、全面地修复系统漏洞。
2.1 高度自定义,扫描深度隐藏漏洞
(X-Ray)提供主机扫描和Web扫描功能,企业可以定期对网络进行扫描,帮助及时发现威胁,客观评估风险等级,根据扫描结果修复安全漏洞,在攻击者发起攻击前做到防患于未然。
企业网络环境不断更新迭代,一成不变的扫描方法显然不能应对层出不穷的安全威胁。企业需要一个可以灵活定制的安全评估系统,根据自身需求调整扫描策略。(X-Ray)提供丰富的自定义功能模板,用户可选择单个或自由组合扫描模块,真正实现高度自定义扫描,尽可能从交叉维度更全面地发现安全问题。
同时,为了应对不同的网络环境和内部管理需求,X-Ray可实现多工作区管理,支持对网络、部门、个人三个层面进行逻辑隔离:同一个用户可以在多个不同的工作区之间切换,不同的用户可以共享一个工作区达到协同工作的目的。在扫描过程中,每个扫描任务独立进行,扫描速度不受网站复杂程度影响。
2.2 主机扫描
X-Ray可对主机或者网段进行扫描,识别其中存活的主机以及开放的端口,并通过对端口进行指纹识别,获取端口的协议、服务、应用等信息,进而制定扫描策略。
扫描过程中,X-Ray利用对应的POC进行测试,找出主机中存在的漏洞,扫描结果输出资产及漏洞信息。长亭漏洞库由安全团队专人维护,实时更新高质量漏洞,保证发现率,出现新漏洞时能做到迅速响应以避免损失。
2.3 Web扫描
X-Ray支持通过收集网站信息,对网站结构进行建模,根据数据信息发起漏洞探测,从而确定网站可能遭受的风险。
(X-Ray)提供多种模式的爬虫扫描,包括普通爬虫和模拟浏览器的爬虫,
完美支持Web2.0网站、H5页面、单页网页应用、前后端网页应用等,并能模拟客户端发出的请求,动态解析javascript及动态渲染DOM结构。
同时,用户可利用请求调度引擎,根据需求调整HTTP请求的参数和速率,根据
网站情况自由控制扫描速度,既不会因为扫描太快影响业务导致系统瘫痪,也不会因为速度太慢影响扫描需求。
目前,X-Ray除了能覆盖主流常见的各漏洞类型,还支持检测XSS、SQL注入、敏感信息泄露、任意跳转、Web登录表单的爆破五种高危漏洞。
2.4 XSS漏洞检测
XSS漏洞检测包括GET参数、请求头部、POST参数,支持多种Content-Type的分析检测。通过对网页进行静态分析,过滤注入点从而降低误报率。通过对网页进行动态分析,判定需要基于网页渲染执行的XSS,降低漏报率,不遗漏任何漏洞。
2.5 SQL注入漏洞检测
SQL注入漏洞检测包括GET参数、请求头部、POST参数,支持多种Con-
tent-Type的分析检测。运用基于响应时间、响应请求的文本特征与结构特征等维度的智能算法多方面判定漏洞,确保高发现率和低误报率。
2.6 敏感信息泄露漏洞检测
敏感信息泄露漏洞检测能够发现的信息有:
· 敏感文件:备份文件、源码仓库、后台登录页面、WebShell、临时文件等。
· 敏感信息:debug信息、报错信息、用户隐私信息等。
检测扫描敏感文件、敏感信息,依据返回包的相关特征智能判断是否存在信息泄
露,误报率较低。
2.7 Web登录表单的爆破漏洞检测
X-Ray通过对网页分别进行静态分析和动态分析,得出合法的表单认证请求,保证爆破过程正常进行,集成具有代表性的爆破字典和领先的爆破算法,能高效地完成爆破任务。
0x03 从发现到修复,多维展示安全状态
X-Ray不仅能实时呈现扫描结果,并且可以展示多维、详细的漏洞信息,从不同角度体现风险情况,并给出建议修复方案,帮助企业全面掌握更丰富的安全状态。
不同需求的用户可从中得到对应的信息,以便快速理解逐个漏洞的危害与影响,
有效修复关键漏洞。
同时,依托长亭长期的高标准安全服务,X-Ray在发现漏洞后,第一时
间给出系列修复建议:
- 紧急修复方案:无需用户参与,即可指导用户在WAF等安全防护产品上添加规则,及时避免损失。
- 应用升级策略:对于发生在成熟服务应用上的漏洞,查找应用版本提供升级信息,或及时打上补丁。
- 代码修复方案:提供代码修改信息,通过编程的方式彻底修复漏洞。X-Ray支持统一管理扫描发现的全部漏洞,根据漏洞状态跟踪全生命期,并同时促进修复的闭环,提升整个企业的安全性。漏洞管理功能可集中查看修复状态、安排复测工作,支持根据多种条件对漏洞进行筛选。
3.1 漏洞修复状态
支持手动更改修复状态,对漏洞进行标记,可单独设置状态或批量操作,跟踪漏洞生命周期。
3.2 漏洞复测
系统即时或预设定时进行循环扫描,批量进行漏洞复测并验收漏洞修复状况。
0x04 集中维护,轻松管理千万级资产
不同于传统扫描器对用户资产只能进行罗列展示,X-Ray的资产管理功能可以对资产进行一站式增加、删除、编辑、导出等操作,帮助用户从域名、主机、服务、网站、资产分布、风险分布等维度进行数据统计。对于同一资产,用户可与历史扫描结果对比,清晰了解不同资产的安全态势变化。
X-Ray支持从扫描结果自动导入资产,可以由管理员手动补充修正。资产分为域名、主机、服务、网站四类,每种资产都提供单独的管理方式,用户可根据企业需求选择分类,轻松管理千万级的大量资产,增强系统安全性,降低安全风险。
资产扫描完成后,管理功能支持根据域名、主机、服务、网站、操作系统版
本、资产安全状态等对资产列表进行统一管理,概括而言主要有以下三个方面的
特色:
1) 不同资产单独管理以匹配企业需求,降低安全风险;
2) 支持扫描发现资产和手动维护并行,可实现交叉处理从而提高管理效率;
3) 实时更新资产信息,安全状态清晰明了。
#0x05策略级统计分析,提供全面决策依据
IT系统资产规模越来越大,风险资产、漏洞数量越来越多,如何从海量的风险数据中找到需要优先处理的问题,已经成为安全运维人员面临的一个难题。
X-Ray能够导出资产、漏洞、扫描结果等多项报告,每种报告提供丰富的报告模板,详细展示发现的信息。高度自定义生成的报告,辅助丰富的可视化效果,方便直观展示内容。
通过对发现的漏洞进行评分,标记危险等级,X-Ray能根据漏洞严重程度进行排序,快速定位具体漏洞,重点关注需要优先修复的问题。
0x06 X-Ray安全评估系统优势
6.1 高发现率,低误报率
X-Ray由长亭高质量的漏洞库和多个功能插件模块支撑,扫描质量高。不同于使用第三方漏洞库,长亭的漏洞库从多年攻防实战和安全服务项目经验中提炼而得,并由专人团队进行维护,更新速度快且质量高,大大提高了漏洞的发现率。同时,
X-Ray结合主动扫描和被动扫描两种方式,降低误报率,发现更隐蔽的漏洞。
6.2 多维定位扫描结果
X-Ray全面展示资产信息和风险列表,最终输出详细的扫描评估结果,并给出建议修复方案。扫描结果从多个角度对漏洞进行描述,企业管理者可迅速获知企业安全的薄弱环节,制定针对性的安全策略,安全运维人员则可获取详细的技术信息,为后期修复提供支持。
6.3 不影响业务运转
在扫描过程中,漏洞检测必须做到安全有效,否则可能会对扫描目标产生不可恢
复的影响。X-Ray从三个方面进行控制,实现精准扫描的同时不影响业务:
1)核心扫描技术由长亭经验丰富的安全团队提供,确保扫描过程中使用完全无
害且能确认漏洞的Payload。
2)智能识别并绕过可能对业务产生副作用的API。
3)通过智能探测或手动调整的方式合理控制扫描速度,确保不对业务产生压力。
6.4开放API方便集成使用
X-Ray以Open API的方式提供所有功能,可以方便地被自动化调用,
同时能够与其他安全产品(如SOC、SIEM、JIRA、Redmine等)整合。
当行业爆发0day漏洞时,长亭应急响应团队会快速跟进,分析漏洞产生的原因,
在极短时间内提供POC扫描插件,用户只需要上传扫描插件,即可对0day漏洞进行
全面检查,保障企业网络安全。
X-Ray还支持一键导入长亭渗透测试报告,跟进漏洞的全生命周期,促
进漏洞修复。
