隨著愈來愈多的安全弱點出現以及網際網路的普及,使用者在網路上面臨的環境也愈來愈危險,因此隨時瞭解自己系統的風險是刻不容緩的。弱點掃描器則提供了讓使用者瞭解自己的系統安全的功能和需求,將系統主機的風險程式降至最小。
在 Nessus 這套弱點掃描器中,提供了可讓使用者自定安全掃描測試的功能。使用者可利用 Nessus 所提供的一個攻擊程式語言
NASL,來撰寫安全掃描測試。而在撰寫掃描測試之前,使用者需先了解 Nessus 掃描器的運作架構,以及學習 NASL
這套攻擊程式語言的語法。並且在不同的安全弱點的掃描方式,也會有不同的偵測方式以及通訊運作。使用者如果未擁有以上條件的知識,便無法撰寫弱點的掃描測試。
本研究主要是針對使用者的安全需求,發展一套針對 Nessus
弱點掃描器,自動化產生攻擊程式碼,並產生系統安全弱點的掃描測試。在此研究中我們提供兩種產生攻擊程式的機制,一種是以模組化的方式,將每個小功能的程式碼組合成一個模組。然後結合每個小功能的模組成一個完整的掃描測試。另外一種方式則是以套件的方式來產生掃描測試,使用者不需要牽涉到攻擊程式碼的使用,只需填入套件所需的參數,便可產生一個安全測試。
本研究提出此以上之設計並實地建置出自動化產生攻擊程式碼系統,試圖減少使用者對於撰寫安全測試的知識需求,並減少人為因素產生的錯誤,以及提昇撰寫安全測試的效率性及正確性。
|