目前安全測試的軟件越來越多，也越來越強大，越來越多的人成為黑客，今天在網上看到一個文章說攔截wvs的掃描，勾起了我寫這篇文章的欲望。

因為公司的三大業(yè)務之一就有一個云WAF，每天攔截的日志里面，有將近90%的請求是掃描器發(fā)出，WAF接收到請求會解析數據包，然后過一遍規(guī)則，過完成百上千條規(guī)則必定對性能有一定的影響。如果能識別出來是人還是掃描器的請求，就可以在這方面節(jié)省很大的資源。

下面的分析介紹只針對web安全掃描器。

目前全能型的掃描器主要是wvs(Acunetix Web Vulnerability Scanner)、AppScan、WebInspect，國內的像aisec、bugscan等等…還有國內那些老安全廠商的掃描器就不說了，主要提一下像wvs這種使用率比較高的。另外還有目錄文件型的掃描器、注入工具(類似sqlmap、Havij)等等。

掃描器識別主要從以下幾點來做：

1、掃描器指紋(head字段/請求參數值等)

2、單IP+ cookie某時間段內觸發(fā)規(guī)則次數

3、隱藏的鏈接標簽()

4、Cookie植入

5、驗證碼驗證

6、單IP請求時間段內Webserver返回http狀態(tài)404比例

一、掃描器指紋(head字段/請求參數值等)

目前最常見的手法就是收集掃描器的指紋特征來做識別，不同的掃描器都有自己的一些特征，比如發(fā)出的請求會加一些特定的head 字段，測試漏洞的請求參數的值會帶上自己掃描器的名稱等。

下面通過抓網絡數據包來看常見掃描器的指紋特征：

wvs(Acunetix Web Vulnerability Scanner)：

下面是我抓到的一個wvs的請求

GET /help/website-performance-settings/x HTTP/1.1
Pragma: no-cache
Cache-Control: no-cache
Referer: http://www.anquanbao.com/help
Acunetix-Aspect: enabled
Acunetix-Aspect-Password: 082119f75623eb7abd7bf357698ff66c
Acunetix-Aspect-Queries: filelist;aspectalerts
Cookie: xxxxxxxxxxxx
Host: www.anquanbao.com
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
Accept: */*

請求頭里面有三個很明顯的標志：

Acunetix-Aspect: enabled
Acunetix-Aspect-Password: 082119f75623eb7abd7bf357698ff66c
Acunetix-Aspect-Queries: filelist;aspectalerts

另外在請求的參數值，比如URL跟POST數據中都有很明顯的acunetix_wvs_security_test特征，下圖是我從waf攔截中調取到的結果。

根據以上抓取到的特征，我們可以把這個作為wvs的一個指紋，在waf中進行過濾。

Appscan：

同樣的，appscan也有自己的一些特征，如下

Bugscan：

關于Bugscan，我咨詢了一下作者，作者給了XSS模塊的掃描源碼我看了下，主要特征是：

–>’”>
XSS@HERE

另外還有一些特征就不一一列舉。

注意：并不是所有的請求都會帶有掃描器的特征，比如下面的一個包也是wvs發(fā)出的，但是沒有帶上面我們說的特征，掃描器指紋特征只能抵擋住一部分的掃描，但是我們可以利用這些信息識別出掃描器然后干掉IP等。

二、單IP+ cookie某時間段內觸發(fā)規(guī)則次數

根據某個IP+ cookie某時間段內觸發(fā)waf攔截規(guī)則的次數大于設定的某個閥值，比如在20秒內，某個IP+cookie觸發(fā)waf攔截規(guī)則10次。

數據證明如下圖：

另外還可以根據IP+user angent等，或者更多維度。

三、隱藏的鏈接標簽等()

掃描器的爬蟲會把頁面里面的所有鏈接都抓出來去做漏洞探測，特別是現在基于webkit一類的掃描器，能夠渲染css跟js，可以爬出更多的鏈接測試。

下面貼出一個百度百科關于webkit的介紹

WebKit 是一個開源的瀏覽器引擎，與之相對應的引擎有Gecko(Mozilla Firefox 等使用)和Trident(也稱MSHTML，IE 使用)。同時WebKit 也是蘋果Mac OS X 系統(tǒng)引擎框架版本的名稱，主要用于Safari，Dashboard，Mail 和其他一些Mac OS X 程序。WebKit 前身是 KDE 小組的 KHTML，WebKit 所包含的 WebCore 排版引擎和 JSCore 引擎來自于 KDE 的 KHTML 和 KJS，當年蘋果比較了 Gecko 和 KHTML 后，仍然選擇了后者，就因為它擁有清晰的源碼結構、極快的渲染速度。Apple將 KHTML 發(fā)揚光大，推出了裝備 KHTML 改進型 WebKit 引擎的瀏覽器 Safari。

隱藏的標簽鏈接是指人看不見的鏈接，如：

 形式，人是點擊不到的，只有軟件能夠匹配出這個地址，我們新建一個網頁，抓掃描器數據包測試。

http://m.5511xx.com/article/cohsgih.html