絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上,沒有從真正意義上保證應(yīng)用本身的安全,給黑客以可乘之機(jī)。當(dāng)今世界, Inte.NET(因特網(wǎng))已經(jīng)成為一個(gè)非常重的基礎(chǔ)平臺(tái),很多企業(yè)都將應(yīng)用架設(shè)在該平臺(tái)上,為客戶提供更為方便、快捷的服務(wù)支持。這些應(yīng)用在功能和性能上,都在不斷地完善和提高,然而在非常重要的安全性上,卻沒有到足夠的重視。
由于網(wǎng)絡(luò)技術(shù)日趨成熟,黑客們也將注意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐漸轉(zhuǎn)移到了對(duì)Web應(yīng)用的攻擊上。根據(jù) Gartner的調(diào)查,信息安全攻擊有75%都是發(fā)生Web應(yīng)用而非網(wǎng)絡(luò)層面上。同時(shí),數(shù)據(jù)也顯示,三分之二的Web站點(diǎn)都相當(dāng)脆弱,易受攻擊,然而現(xiàn)實(shí)卻是,絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上,沒有從真正意上保證Web應(yīng)用本身的安全,給黑客以可乘之機(jī)。
一、Web安全介紹
1.1 什么是Web應(yīng)用
Web應(yīng)用是由動(dòng)態(tài)腳本、編譯過的代碼等組合而成。它通常架設(shè)在Web服務(wù)器上,用戶在Web瀏覽器上發(fā)送請(qǐng)求,這些請(qǐng)求使用HTTP協(xié)議,經(jīng)過因特網(wǎng)和企業(yè)的Web應(yīng)用交互,由Web應(yīng)用和企業(yè)后臺(tái)的數(shù)據(jù)庫及其他動(dòng)態(tài)內(nèi)容通信。
1.2 Web應(yīng)用的架構(gòu)
盡管不同的企業(yè)會(huì)有不同的Web環(huán)境搭建方式,一個(gè)典型的Web應(yīng)用通常是標(biāo)準(zhǔn)的三層架構(gòu)模型。
在這種最常見的模型中,客戶端是第一層;使用動(dòng)態(tài)Web內(nèi)容技術(shù)的部分屬于中間層;數(shù)據(jù)庫是第三層。用戶通過Web瀏覽器發(fā)送請(qǐng)求( request)給中間層,由中間層將用戶的請(qǐng)求轉(zhuǎn)換為對(duì)后臺(tái)數(shù)據(jù)的查詢或是更新,并將最終的結(jié)果在瀏覽器上展示給用戶。
二、Web安全滲透測(cè)試分析
2.1 什么是Web滲透測(cè)試
滲透測(cè)試( Penetration Test)是完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù),對(duì)目標(biāo)系統(tǒng)的安全做深入的探測(cè),發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測(cè)試能夠直觀地讓管理人員知道自己網(wǎng)絡(luò)所面臨的問題。而Web滲透測(cè)試主要是對(duì)Web應(yīng)用程序和相應(yīng)的軟硬件設(shè)備配置的安全性進(jìn)行測(cè)試。
進(jìn)行Web滲透測(cè)試的安全人員必須遵循一定的滲透測(cè)試準(zhǔn)則,不能對(duì)被測(cè)系統(tǒng)進(jìn)行破壞活動(dòng)Web安全滲透測(cè)試一般是經(jīng)過客戶授權(quán)的,采用可控制、非破壞性質(zhì)的方法和手段發(fā)現(xiàn)目標(biāo)服務(wù)器、Web應(yīng)用程序和網(wǎng)絡(luò)配置中存在的弱點(diǎn)。它的適用范圍即可以在Web系統(tǒng)發(fā)布之前進(jìn)行安全測(cè)試,也可以在系統(tǒng)發(fā)布之后,持續(xù)跟蹤滲透測(cè)試Web系統(tǒng),從而在最大限度上保證Web系統(tǒng)的安全。
2.2 web安全滲透測(cè)試分類
實(shí)際上,滲透測(cè)試并沒有嚴(yán)格的分類方式。
2.2.1 根據(jù)滲透類別分類:
1)黑箱測(cè)試
黑箱測(cè)試又被稱為所謂的“Zero-Knowledge Testing”,滲透者處于完全對(duì)系統(tǒng)一無所知的狀態(tài),通常這類型測(cè)試,最初的信息獲取來自于DNS、Web、 Email及各種公開對(duì)外的服務(wù)器。
2) 白盒測(cè)試
白盒測(cè)試與黑箱測(cè)試恰恰相反,測(cè)試者可以通過正常渠道向被測(cè)單位取得各種資料,包括網(wǎng)絡(luò)拓?fù)洹T工資料甚至網(wǎng)站或其它程序的代碼片斷,也能夠與單位的其它員工(程序員管理者等)進(jìn)行面對(duì)面的溝通。
2.2.2 根據(jù)滲透目標(biāo)分類:
1) 主機(jī)操作系統(tǒng)滲透
對(duì) windows、 Solaris、AIX、 linux、SCO、SGl等操作系統(tǒng)本身進(jìn)行滲透測(cè)試。
2) 數(shù)據(jù)庫系統(tǒng)滲透
對(duì)MS-SQL、 Oracle, MySQL、 Informix、 Sybase、DB2等數(shù)據(jù)庫應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試。
3) 應(yīng)用系統(tǒng)滲透
對(duì)滲透目標(biāo)提供的各種應(yīng)用程序,如ASP、JSP、PP等組成的WWW應(yīng)用程序進(jìn)行滲透測(cè)試。
4) 網(wǎng)絡(luò)設(shè)備滲透
對(duì)各種防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試。
2.3 Web安全滲透測(cè)試標(biāo)準(zhǔn)
由于滲透測(cè)試是一個(gè)比較復(fù)雜的系統(tǒng)工程,目前有許多不同的測(cè)試標(biāo)準(zhǔn),主要有國(guó)家標(biāo)準(zhǔn)、安全組織標(biāo)準(zhǔn)等。因?yàn)閷?duì)于攻擊者來說,他們的目的只是為了達(dá)到攻克系統(tǒng),獲得系統(tǒng)控制權(quán)的任務(wù)。而對(duì)于安全測(cè)試人員來說,他們的任務(wù)是制定一套測(cè)試流程,盡可能高效地測(cè)試網(wǎng)絡(luò)的安全性,所以對(duì)于Web安全測(cè)試來說,需要在現(xiàn)有的安全標(biāo)準(zhǔn)與測(cè)試流程中,總結(jié)提煉出一套行之有效的Web安全滲透測(cè)試內(nèi)容和方法。
下面是目前的一些滲透測(cè)試標(biāo)準(zhǔn):
2.3.1 國(guó)家級(jí)別的標(biāo)準(zhǔn)
1) 美國(guó)的信息安全測(cè)試和評(píng)估技術(shù)指南( Technical Guide to InformationSecurity Testing and Assessment)。一個(gè)有效的風(fēng)險(xiǎn)管理過程是一個(gè)成功的IT安全項(xiàng)目的重要組成部分。這本指南是美國(guó)的國(guó)家標(biāo)準(zhǔn),其有一定的權(quán)威性。其基本目標(biāo)是為了保護(hù)機(jī)構(gòu),使其有能力完成們的任務(wù),而不僅僅是保護(hù)他們的IT資產(chǎn)。這本指南具有一定方法論方面的指導(dǎo)意義
2) 德國(guó)聯(lián)邦信息安全辦公室發(fā)布的滲透測(cè)試模型( A penetration test model)。這份滲透測(cè)試型對(duì)于從事和將要從事滲透測(cè)試服務(wù)的機(jī)構(gòu)和人員有一定參考價(jià)值,也可以幫助有這方面需求的客戶了解這方面的信息安全組織級(jí)別的標(biāo)準(zhǔn)。
2.3.2 安全組織級(jí)別標(biāo)準(zhǔn)
1) Web安全組織 OWASP發(fā)布的測(cè)試指南( OWASP Testing Guide V3.0)。這份指南提供了較為完整的Web安全測(cè)試框架和相應(yīng)測(cè)試條目,安全測(cè)試人員可以根據(jù)不同的測(cè)試需求,定制自己的測(cè)試項(xiàng)目。
2) 開源安全測(cè)試方法指南( (The Open Source Security TestingMethodology Manual)。這本測(cè)試手冊(cè)是一個(gè)完備的用于安全測(cè)試的專業(yè)標(biāo)準(zhǔn)。作為一個(gè)專業(yè)標(biāo)準(zhǔn),它包括了參與規(guī)則對(duì)于專業(yè)測(cè)試人員的道德規(guī)范、測(cè)試所應(yīng)遵循的法律和一個(gè)完整的測(cè)試條目集合。這本手冊(cè)的目標(biāo)是希望成為專業(yè)測(cè)試人員的完備手冊(cè)。
總體說來,雖然不同的標(biāo)準(zhǔn)是從理論的角度整體上對(duì)不同的安全問題進(jìn)行了分類總結(jié),但不同的標(biāo)準(zhǔn)對(duì)安全問題的分類不盡相同,而且標(biāo)準(zhǔn)對(duì)許多漏洞的形成原因沒有進(jìn)行深入分析,所以對(duì)于安全測(cè)試人員來說,在實(shí)際滲透測(cè)試時(shí),往往需要根據(jù)對(duì)目標(biāo)系統(tǒng)測(cè)試的需求,參照標(biāo)準(zhǔn),自己設(shè)計(jì)滲透測(cè)試內(nèi)容和測(cè)試方法。
三、Web安全滲透測(cè)試方法設(shè)計(jì)
3.1 Web安全滲透測(cè)試基本步驟
因?yàn)閃eb滲透測(cè)試是模擬黑客的行為,對(duì)Web系統(tǒng)進(jìn)行安全性測(cè)試,所以首先分析下黑客攻擊Web的基本步驟。Web攻擊不是漫無目的地隨意攻擊,往往是有一定既定目標(biāo)的攻擊,這通常要經(jīng)歷以下5個(gè)步驟:
1) 信息收集
正所謂工欲善其事,必先利其器,Web攻擊發(fā)生前,攻擊者必定會(huì)對(duì)攻擊目標(biāo)進(jìn)行細(xì)致的偵查工作,從而為后續(xù)的攻擊做準(zhǔn)備。對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行偵查之前,首先要收集匯總各種與目標(biāo)系統(tǒng)有關(guān)的信息,形成對(duì)目標(biāo)網(wǎng)絡(luò)必要的輪廓認(rèn)識(shí),并為實(shí)施攻擊做好準(zhǔn)備。信息的收集可以通過以下幾種方式進(jìn)行:DNS域名服務(wù), Finger服務(wù), Whois服務(wù), Nslookup,Ping 與 PathPing, Tracert等信息查詢。
2) 掃描
通過信息收集掌握了目標(biāo)網(wǎng)絡(luò)的外部特征信息之后,可以對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行有針對(duì)性地掃描,掃描的最終結(jié)果決定了能否對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊,任何掃描得到的漏洞信息,都可能成為突破網(wǎng)絡(luò)的切入點(diǎn),當(dāng)然掃描得到的結(jié)果不一定就是可以直接利用的系統(tǒng)漏洞。
從利用方式來說,可以將信息分為兩類:一類是安全敏感信息,這包括第一階段收集到的信息,以及掃描階段得到的關(guān)于端口開放以及操作系統(tǒng)類型信息,這些信息雖然不能直接用于對(duì)目標(biāo)網(wǎng)絡(luò)的滲透與攻擊,但有助于全面了解目標(biāo)網(wǎng)絡(luò)的信息。另一類就是安全漏洞信息,這類安全漏洞可能是系統(tǒng)配置上的疏忽造成的(例如沒有及時(shí)打補(bǔ)丁),也可能是操作系統(tǒng)或應(yīng)用程序自身的缺陷,結(jié)果是都可能導(dǎo)致利用漏洞突破并控制目標(biāo)網(wǎng)絡(luò)。
探測(cè)類掃描主要有以下常用手段:
端口掃描、操作系統(tǒng)探測(cè)、應(yīng)用服務(wù)探測(cè)、路由器探測(cè)、防火墻探測(cè)等。
漏洞發(fā)掘類掃描主要有:Web、CGI安全漏洞掃描, Windows、Unix、 Linux等操作系統(tǒng)漏洞掃描,SNMP漏泂掃描、SQL Server等數(shù)據(jù)庫服務(wù)漏洞掃描,路由器、防火墻漏洞掃描。
掃描過程實(shí)際上已經(jīng)與目標(biāo)主機(jī)或網(wǎng)絡(luò)發(fā)生物理鏈接,可以看作是程度較輕的攻擊行為。掃描結(jié)果決定了攻擊者的下一步行動(dòng)。
掃描要達(dá)到的基本目標(biāo):
- 確定目標(biāo)系統(tǒng)是否真實(shí)存在;
- 確定目標(biāo)系統(tǒng)上都有哪些服務(wù)正在運(yùn)行或監(jiān)聽;
- 探查操作系統(tǒng)版本。
網(wǎng)絡(luò)攻擊往往尋找最薄弱的地方作為突破口,所以黑客攻擊時(shí)要盡可能尋找系統(tǒng)存在的漏洞,從而作為攻擊的切入點(diǎn)。
3) 攻擊
通過信息收集和掃描階段得到相關(guān)線索以后,經(jīng)過分析和籌劃,下一步就可以采取各種手段以實(shí)現(xiàn)直接的攻擊目的。
從黑客攻擊的目的來看,可以分為兩種,一種是給目標(biāo)以致命打擊,使目標(biāo)系統(tǒng)受損,甚至癱瘓,這好比是正面戰(zhàn)場(chǎng)上的交鋒,目的是致敵人于死地:另一種攻擊則更加常見,其目的在于獲取直接的利益,比如下載到目標(biāo)系統(tǒng)的機(jī)密信息,或者是得到目標(biāo)系統(tǒng)的最高控制權(quán),過程中,攻擊者無意對(duì)目標(biāo)系統(tǒng)的正常能力進(jìn)行破壞,他可能更希望非常隱蔽地實(shí)現(xiàn)自已的目的。
4) 植入后門
在一次成功的攻擊之后,為了以后的再次進(jìn)入和控制目標(biāo)主機(jī),一般要放置一些后門程序,由于網(wǎng)絡(luò)主機(jī)系統(tǒng)經(jīng)常升級(jí),這些原來被利用突破系統(tǒng)的漏洞在系統(tǒng)升級(jí)以后就可能被修補(bǔ),而后門程序就可以不依賴于原來用于突破的漏洞,保持長(zhǎng)期穩(wěn)定的控制能力。
后門可能是一個(gè)隱藏的管理員賬號(hào)、一個(gè)具有超級(jí)權(quán)限的服務(wù)進(jìn)程,有時(shí)甚至是一個(gè)故意置入的系統(tǒng)漏洞。好的后門程序在保證最高的系統(tǒng)權(quán)限的同時(shí),必須不易被目標(biāo)用戶察覺。許多木馬程序、遠(yuǎn)程控制程序都可以作為后門程序植入,最新的一些后門采取可卸載內(nèi)核模塊(LKM)的辦法,動(dòng)態(tài)地修改系統(tǒng)內(nèi)核,一般情況下無法檢測(cè)出來。功能強(qiáng)大的后門程序,可以利用被控主機(jī)運(yùn)行掃描、嗅探等技術(shù)突破整個(gè)網(wǎng)絡(luò)。
5) 消除痕跡
作為一次完整的Web攻擊,黑客在取得需要的戰(zhàn)果以后,就要打掃戰(zhàn)場(chǎng)了,也就是消除痕跡。在信息收集、掃描、攻擊階段,即使采取了許多防護(hù)措施,也會(huì)留下直接或間接的攻擊痕跡。攻擊痕跡可能會(huì)在目標(biāo)主機(jī)的管理員進(jìn)行例行檢查時(shí)暴露出來,進(jìn)一步的安全檢查則可能導(dǎo)致攻擊行為的完全暴露,甚至發(fā)現(xiàn)植入的后門程序;攻擊痕跡也可能被富有經(jīng)驗(yàn)的安全調(diào)試員利用來反向跟蹤到真正的攻擊源頭,同時(shí),攻擊痕跡是攻擊技術(shù)和手段的直接反映。
消除痕跡是一項(xiàng)細(xì)心的工作,系統(tǒng)的審計(jì)日志、Web的訪問記錄、防火墻的監(jiān)控攻擊留下的殘余線索都必須認(rèn)真清理。對(duì)于一些必須留下的后門程序,需要采取進(jìn)程隱藏文件隱藏、核心文件替換、程序加密等多種手段避免被發(fā)現(xiàn)。
從黑客攻擊Web的方式可以看出,這其中主要經(jīng)歷了5個(gè)主要步驟:信息收集、掃描、攻擊、植入后門、消除痕跡。
3.2 Web安全滲透測(cè)試內(nèi)容
Web滲透測(cè)試流程與黑客攻擊的方法十分類似,主要的區(qū)別在于,Web滲透測(cè)試不會(huì)對(duì)系統(tǒng)進(jìn)行破壞和竊取信息等違法行為。測(cè)試Web漏洞的核心思想是尋找Web程序中能夠提交用戶輸入的地方。
因?yàn)閃eb安全滲透測(cè)試就是模擬黑客的攻擊行為,對(duì)系統(tǒng)的安全性進(jìn)行測(cè)試所以可以從漏洞攻擊的角度對(duì)滲透測(cè)試的內(nèi)容進(jìn)行系統(tǒng)分析。發(fā)現(xiàn)最終Web遭受攻擊源頭,保障Web頁面安全。
四、總結(jié)
信息技術(shù)的迅速發(fā)展,加速和深化了社會(huì)信息化的進(jìn)程,使得各級(jí)組織和實(shí)體與信息系統(tǒng)的關(guān)系日趨密切。建立在龐大、集成的網(wǎng)絡(luò)基礎(chǔ)上的,多平臺(tái)、網(wǎng)絡(luò)化、充分集成的Web 應(yīng)用系統(tǒng)己經(jīng)成為最流行的處理模式。
Web應(yīng)用的安全問題己經(jīng)成為網(wǎng)絡(luò)應(yīng)用的主要問題之一,如何判斷Web應(yīng)用是否滿足安全需要,如何科學(xué)地加強(qiáng)Web應(yīng)用安全管理,如何科學(xué)地測(cè)試評(píng)估Web應(yīng)用的安全性是所有Web應(yīng)用系統(tǒng)所面臨的重要課題,對(duì)Web安全滲透測(cè)試展開全面的研究具有重要的理論意義和實(shí)用價(jià)值。
以上就是本文內(nèi)容,謝謝大家觀看。
