榕基RJ-iTop WEB应用扫描系统用户手册.docVIP

版权所有 2007-2010 福建榕基软件股份有限公司榕基RJ-iTop WEB应用扫描系统用户使用手册V3.0福建榕基软件股份有限公司版权声明 版权所有2007-2010，福建榕基软件股份有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属福建榕基软件股份有限公司所有，受到有关产权及版权法保护。任何个人、机构未经福建榕基软件股份有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。商标信息榕基公司、RJ-iTop WEB等是福建榕基软件股份有限公司的商标。目 录榕基RJ-iTop WEB应用扫描系统0版权声明1商标信息11.产品背景知识41.1产品背景41.2主要功能51.3产品特色51.4体系结构61.5加密狗的使用71.6 产品升级72.使用手册82.1启动程序82.2添加任务92.3关键词管理112.4任务队列122.5历史任务122.6任务报表132.7趋势分析152.8常见问题162.9关于162.10 网站安全等级162.11产品使用最佳实践172.12产品生命周期支持171. 产品背景知识1.1产品背景RJ-iTop WEB是福建榕基软件股份有限公司独立自主研发的Web综合网站安全检测系统。产品为软件安装方式，可安装在Windows系统上；基于B/S架构；支持网站挂马检测、SQL注入检测和跨站脚本检测。Web时代的互联网应用不断扩展，在方便了互联网用户的同时也打开了罪恶之门。在地下产业巨大的经济利益驱动之下，网站挂马形势越来越严峻。2008年全球知名反恶意软件组织StopBadware的研究报告显示，全球有10%的站点都存在恶意链接或被挂马。一旦一个网站被挂马，将会很快使得浏览该网站用户计算机中毒，导致客户敏感信息被窃取，反过来使得网站失去用户的信任，从而丧失用户；同时当前主流安全工具、浏览器、搜索引擎等都开展了封杀挂马网站行动，一旦网站出现挂马，将会失去90%以上用户。网站挂马的根本原因，绝大多数是由于网站存在SQL注入漏洞和跨站脚本漏洞导致。尤其是随着自动化挂马工具的发展，这些工具会自动大面积扫描互联网，自动找到存在SQL注入漏洞的网站，并自动注入挂马代码。所以解决挂马问题需要从源头上加强网站的安全。RJ-iTop WEB主要针对此类根本的安全问题而诞生，网站能够使用此工具进行自查，防患于未然。1.2主要功能功能说明挂马检测检测网站是否被挂马；网站出现挂马会导致网站用户中毒，网站自身被封杀，影响用户体验和访问量。SQL注入检测检测网站是否存在SQL注入漏洞；SQL注入漏洞会导致网站数据库信息被窃取、篡改、删除，进一步导致网站被挂马甚至攻击者获取到网站服务器管理权限。XSS跨站脚本漏洞检测检测网站是否存在跨站脚本漏洞；跨站脚本漏洞会导致网站用户信息被窃取、网站出现挂马、甚至网站管理员权限被盗用。关键词检测检测网站是否存在敏感关键词可以自定义关键词及等级。支持关键词分类1.3产品特色1. SQL注入和跨站漏洞检测支持如下参数：l GET参数l POST表单参数l COOKIE中的变量参数l HTTP头部信息参数l URL中的PATH字段中的参数2. B/S结构，使用简单3. 支持多任务并发扫描4. 支持多线程并发扫描5. 支持扫描暂停和继续6. 支持防危害参数，防止出现评估过程中对网站产生危害7. 支持预登陆深入检测，能够进一步检测那些需要登录权限才能访问的URL8. 支持SSL协议9. 支持任务自动拆分：一个任务的扫描目标指定为多个站点中的URL时，会自动按照站点为单位拆分为多个任务，每个任务包括属于一个站点的URL。10. 支持通过代理扫描11. 支持趋势分析，能够保存历史任务数据，并以站点为单位查看历史上网站安全变化趋势12. 支持HTML和Word、Excel格式报表13. 强大的中文分词技术，支持自定义检测关键词1.4体系结构RJ-iTop WEB产品通过光盘安装，是B/S结构的软件。使用浏览器访问Web服务器使用产品功能。评估数据存放在数据文件中，评估工作由Web服务器调度后台评估程序完成。Web服务器通过浏览器访问产品功能后台评估程序数据文件Web服务程序：RJ-iTop WEB在桌面、开始菜单中有其快捷方式。通过浏览器访问：http:/localhost:8000端口访问。程序启动后会自动打开浏览器访问产品功能。数据库文件：安装目录下的RJ-iTop WEB.dat文件，日常维护需要备份数据时可以在关闭RJ-iTop WEB后拷贝此文件进行备份。1.5加密狗的使用安装产品和使用产品前必须插入USB加密狗，否则无法正常使用产品。1.6 产品升级产品在服务期内支持免费升级，访问产品关于界面时，如果产品网站上有新版本发布，则会提示下载新版本。2. 使用手册1.2.1 启动程序运行RJ-iTop WEB主程序: RJ-WASSetup.exe。可以从开始菜单-RJ-iTop或者桌面找到该程序的快捷方式。系统启动后，将在右下角任务栏先显示图标。守护程序注：RJ-iTop WEB安装完毕后，默认会选择立即启动该程序。系统正常启动后，将会自动打开浏览器访问后台Web服务器，打开产品功能界面。也可以手工通过浏览器直接输入：:8000来进行访问产品功能，如图：注：以下操作均基于该页面。2.2 添加任务选中添加任务，界面如下：在检测目标中，输入要进行检测的网站地址。如果需要输入多个地址，换行输入即可。递归深度：指网站爬虫的默认扫描深度。如果仅需扫描当前URL，请选择0。如果指定多个URL，并且这些URL不属于一个网站（根据域名字段判断），那么添加任务时，系统自动会在后台生成多个任务，每个任务包含属于一个网站的URL。点击高级选项，可指定扫描的具体参数。展开界面如下：检测点：l GET参数：常规的合并到URL中的参数，如?id=12l POST参数：使用POST发送的参数l PATH参数：在Web2.0风格网站中常常将一些请求变量融入到PATH字段，如：删除ID号12的文章可能URL对应为/delete/12/l COOKIE变量：通常Web应用中会存放一些用户信息在COOKIE变量中l HTTP头部变量：HTTP头部变量，如USER-AGENT等评估内容：可选择检测的Web安全漏洞选项。并发线程：系统默认并发扫描的线程数。默认10。风险规避：可输入URL关键字或URL地址。用以指定不进行访问或检测的网址，防止评估过程中对网站有破坏，多个参数以英文逗号分隔，如：delete.asp,?delete=yes代理设置：指定要使用的代理。例如：http:/user:pass:8080预登陆设置：可指定检测前先访问的网页，如登陆地址，或者指定扫描时使用的cookie，以获得访问某些页面所需的特殊权限。2.3关键词管理关键词管理中，可以添加用户自定义关键词，浏览系统及用户自定义的关键词。添加关键词中，用户可以选择添加单个关键词，或批量导入数据：2.4任务队列显示正在运行的任务。可以对当前任务进行暂停，恢复及删除等操作。任务状态包括：l 等待扫描l 正在扫描l 等待暂停l 已经暂停l 等待恢复l 正常结束等待暂停的任务无法进行操作，此状态任务会在几秒后自动变为已经暂停任务。正常结束的任务会显示在历史任务界面，不会在此界面中显示。2.5历史任务显示所有已完成的任务。点击任务可以查看相应的任务报告。可以选择以CSV格式导出任务列表可以删除指定任务可以查找历史任务通常对于自己的网站评估任务不需要删除，系统能够容纳大约1000个任务，这些任务保留可以进行网站安全历史趋势分析。2.6任务报表历史任务栏中点击任务可显示任务报告，如网站基本信息、漏洞点及历史评估信息。在顶部可以选中以Word 2007格式导出报告。Word 2007格式报表样式：2.7趋势分析以站点为单位，分析所有历史任务。可以CSV格式导出报表。2.8常见问题这部分给出了挂马、SQL注入漏洞、XSS跨站脚本漏洞的背景知识、危害、解决办法等，也提供了系统对网站的安全等级评判标准。2.9关于列出软件版本，授权信息及服务期限等。如果有新版本可更新，当前页面会提示下载新版本。2.10 网站安全等级系统将网站评定为：高风险、中风险、安全，共3个等级，评定标准如下：等级说明高风险存在SQL注入或挂马。存在SQL注入漏洞，导致网站会受到直接的危害。网页挂马会导致访问网页的用户中毒。中风险存在敏感关键词或XSS漏洞，或可以挂马。存在XSS漏洞，导致网站会受到间接危害，同时给网站用户造成危害；或存在可疑挂马。安全不存在以上问题。2.11产品使用最佳实践网站功能程序进行新版本开发时，每次新版本网站上线前应当进行一次SQL注入和XSS跨站脚本漏洞检测。网站应该每周进行一次挂马检测，由于绝大部分挂马都是对首页挂马，挂马检测通常只需要检测2级深度。网站应应定期进行关键词检测。建议设置2层以上扫描深度，每周运行一次关键词检测。网站应该每月进行一次全面的检测。2.12产品生命周期支持1. 产品升级周期正常情况下,RJ-iTop WEB每季度提供一个功能性更新包；如有临时的功能更新，随时发布功能性更新包。当产品有非功能性更新,如数据库及规则库更新时,随时发布非功能性更新包。对产品提供不低于授权周期的升级支持服务。在产品授权周期内保证升级功能的正常。2. 产品更新方式用户可选择在线更新或本地手动导入更新包。用户在RJ-iTop WEB的关于页面，可以查看当前是否有新的升级包，并可以选择下载。对