◆陳志偉

?

基于滲透測試實(shí)例的Web安全研究

◆陳志偉

(福建省南平市福建林業(yè)職業(yè)技術(shù)學(xué)院 福建 353000)

如今，Web安全使用技術(shù)在各領(lǐng)域都有了越來越廣泛的應(yīng)用，但是因?yàn)榉缸锓肿俞槍eb使用程序中有關(guān)安全漏洞的開發(fā)、利用及惡意攻擊技術(shù)方法的不斷出現(xiàn)，造成Web的使用程序在給使用者們提供方便、簡潔服務(wù)的同時(shí)，這些使用者不得不為自身系統(tǒng)程序可能會存在的Web安全漏洞而擔(dān)心。因此，針對Web使用程序進(jìn)行有關(guān)安全測驗(yàn)，以期找出其可能存在的安全隱患，并進(jìn)行進(jìn)一步的修復(fù)、升級，可以更加有效地提高Web使用程序的安全性及穩(wěn)定性。

滲透測試；實(shí)例研究；Web安全；漏洞

0 引言

由于目前許多類型的網(wǎng)絡(luò)安全系統(tǒng)的使用技術(shù)和各領(lǐng)域的網(wǎng)絡(luò)化、數(shù)字化發(fā)展相結(jié)合使用的進(jìn)程不斷加快，使Web的使用程序在各領(lǐng)域內(nèi)都受到了廣泛的推及與使用[1]。但是，在Web使用程序給使用者們提供方便、簡潔服務(wù)的同時(shí)，犯罪分子針對Web使用程序有關(guān)安全漏洞的開發(fā)、利用及攻擊技術(shù)手法的不斷出現(xiàn)[2]，因而造成Web使用程序內(nèi)部可能出現(xiàn)的安全問題令人擔(dān)心。因此，針對Web使用程序進(jìn)行一定程度上的安全測驗(yàn)，以便及時(shí)找出其內(nèi)部存在的安全隱患，并進(jìn)行進(jìn)一步的改造、修復(fù)及升級，可以更加有效地提高Web使用程序的安全性及穩(wěn)定性[3]。在Internet普及化及Web新技術(shù)快速發(fā)展的今天，用戶使用安全所面臨的困難日益嚴(yán)重。隨著電子化信息建設(shè)的不斷加深，Web技術(shù)的日益演變、發(fā)展，Web使用技術(shù)已經(jīng)在各大電子商務(wù)、政務(wù)平臺上得到廣泛地推廣，以便更好地協(xié)助工作、社會大眾網(wǎng)絡(luò)設(shè)施服務(wù)網(wǎng)以及以托管服務(wù)為代表的Web技術(shù)，在一定程度上改變?nèi)藗兒凸ぷ髦g共同的交流方式[4]。但這些新方法在給商業(yè)內(nèi)容的發(fā)展帶來基于的同時(shí)，也帶來了前所未有的商業(yè)挑戰(zhàn)。隨著在線網(wǎng)絡(luò)信息可用性服務(wù)化的提高，基于Web的攻擊和毀壞速度的快速增加，安全事故的發(fā)生率也隨之達(dá)到了以前從未有過的高度。Web技術(shù)在操作過程中可能會出現(xiàn)各種安全隱患的事故，要解決Web安全問題，首先就需要知道什么是Web技術(shù)[5]，Web通常是指World Wide Web，簡稱為WWW。利用Web，互聯(lián)網(wǎng)上的各種信息、視頻、數(shù)據(jù)資源，都可以在一個(gè)共同網(wǎng)頁的界面里以一種比較直觀、科學(xué)、簡潔的畫面進(jìn)行展示。因此，在網(wǎng)頁內(nèi)容及網(wǎng)頁所鏈接的各種網(wǎng)絡(luò)資源的安全使用基礎(chǔ)上形成了以Web安全為實(shí)體界面的操作平臺。Web的網(wǎng)絡(luò)服務(wù)站點(diǎn)就是在為社會群體、公司、組織機(jī)構(gòu)傳播社會信息、提供大眾服務(wù)、進(jìn)行產(chǎn)品銷售和溝通業(yè)務(wù)聯(lián)系之中經(jīng)常性使用的網(wǎng)絡(luò)傳媒工具，這才并發(fā)出現(xiàn)，為人們提供各種高能、優(yōu)秀服務(wù)的同時(shí)，也成為某些不法團(tuán)體或個(gè)人出于各種謀求私利的目的而進(jìn)行網(wǎng)絡(luò)群體攻擊的手段[6]。黑客對Web網(wǎng)絡(luò)服務(wù)站點(diǎn)的非法攻擊的頻率也在不斷增加，尤其是那些安全防守手段很弱的Web站點(diǎn)早已成為不少黑客們進(jìn)行攻擊的主要對象。這主要是因?yàn)槟切￤eb站點(diǎn)的特別性導(dǎo)致的，例如攻擊手段往往是利用Web服務(wù)站點(diǎn)中腳本固有的安全漏洞去進(jìn)行攻擊的，或者通過Web網(wǎng)絡(luò)服務(wù)站點(diǎn)非正常工作時(shí)所通過的安全端口進(jìn)行攻擊，如70、445、4624、8080等。隨著漏洞開發(fā)尋找技術(shù)和漏洞結(jié)合機(jī)制的不斷開發(fā)、完善，將會有許多的安全漏洞被眾人發(fā)現(xiàn)[7]。但同時(shí)，也應(yīng)該注意到，隨著網(wǎng)絡(luò)攻擊手段的不斷增多、門檻的不斷降低，這種針對個(gè)別安全漏洞進(jìn)行攻擊的不法行為幾乎下一秒就會發(fā)生，從網(wǎng)絡(luò)世界上可以很容易地就找到對某些特殊漏洞的攻擊語言程序，再加上各種私利的不斷驅(qū)使，所以，針對安全漏洞的攻擊手段、方法常常令人防不勝防。針對近年不斷出現(xiàn)的Web安全隱患事故，著重研究對Web使用程序危害極大的兩種安全漏洞——SQL注入和XSS漏洞，并對Web安全的滲透測試進(jìn)行試驗(yàn)。

1 滲透測試具體的流程步驟

由于滲透測試是一項(xiàng)利用測試工作者站在諸多攻擊的立場上，因此，攻擊者的想法和攻擊動(dòng)作就必須進(jìn)行現(xiàn)實(shí)的模擬，然后再對系統(tǒng)進(jìn)行主動(dòng)解析，打破測試項(xiàng)目的安全防護(hù)，分析系統(tǒng)上存在的每一個(gè)弱點(diǎn)、缺陷以及每一個(gè)可能為測試工作者所利用、掌握的任何一項(xiàng)安全漏洞等的安全事故，最后獲得對系統(tǒng)控制訪問權(quán)的安全測試。滲透測試的過程一般是針對特別項(xiàng)目，依據(jù)原先就設(shè)計(jì)好的過程手續(xù)進(jìn)行實(shí)時(shí)檢驗(yàn)，而并不是簡簡單單地進(jìn)行沒有大致目的地對測試目標(biāo)進(jìn)行任意操作，所以，滲透測試的具體流程步驟如下：

1.1 前期互相階段

前期互相階段，一般指的是由測試工作者與委托者就測試內(nèi)容的前期問題進(jìn)行互相了解并掌握，這樣就可以明確測試的大眾目標(biāo)、工作范圍。這一階段的主要內(nèi)容就是根據(jù)委托方的需求進(jìn)行大面積的信息搜集，再讓委托者對測試過程之中需要檢查的內(nèi)容、工作范圍有一定的認(rèn)識，同時(shí)，測驗(yàn)相關(guān)的主管工作人員需要制定測試步驟并為被測試人員分配一定的工作相關(guān)內(nèi)容。

1.2 搜集、整理階段

對檢驗(yàn)?zāi)繕?biāo)進(jìn)行滲透測試的時(shí)候，需要進(jìn)行一場檢驗(yàn)，這對信息的搜集、整理工作相當(dāng)重要，檢測人員可以利用Google的相關(guān)技術(shù)對目標(biāo)內(nèi)容進(jìn)行一些敏感項(xiàng)目的進(jìn)一步搜集，利用Whois對工作人員的有關(guān)工作信息進(jìn)行查詢收集，利用漏洞檢查器對被測試內(nèi)容進(jìn)行檢測等與信息整理有關(guān)工作的方法、手段。有時(shí)測試工作者也需要使用到社會信息工程學(xué)的知識進(jìn)行必要的信息搜查。需要對信息進(jìn)行搜集、整理基本如表1所示。

表1 基本信息表

1.3 解析漏洞

如果信息的搜集、整理結(jié)束，整個(gè)測試團(tuán)隊(duì)的每個(gè)工作人員就必須自行匯報(bào)搜集的信息，并將所有搜集信息、數(shù)據(jù)進(jìn)行歸納總結(jié)和整理，以便各組人員之間進(jìn)行項(xiàng)目討論，有利于推動(dòng)適合的測試方案的產(chǎn)生，為滲透測試方法的出現(xiàn)起到促進(jìn)和奠基的作用。工作人員利用信息的集合、整理所需要的數(shù)據(jù)信息進(jìn)行解析、漏洞開發(fā)，舉例剖析可供使用的薄弱環(huán)節(jié)、上傳信息、越權(quán)鏈接等有關(guān)安全事故的漏洞整合，工作人員能夠針對一定范圍內(nèi)的安全漏洞進(jìn)行攻擊，并對代碼的研發(fā)進(jìn)行研究。

2 基于滲透測試實(shí)例的Web安全漏洞

2.1 SQL注入式漏洞

SQL注入（SQL Injection）漏洞一般會對Web的使用或數(shù)據(jù)信息帶來潛在的安全問題，如果這種漏洞被發(fā)現(xiàn)在測試系統(tǒng)內(nèi)，那么測試人員就可以建立起特殊的SQL語言與數(shù)據(jù)信息庫進(jìn)行交換，通過對Web使用程序的改善和應(yīng)答，得出其想要了解的信息內(nèi)容。目前，學(xué)界對SQL注入的研究主要偏向于主動(dòng)攻擊和防范應(yīng)答。SQL注入是Web使用程序中最常見的安全威脅，其產(chǎn)生原因是開發(fā)人員在對Web使用程序進(jìn)行編寫與測試過程中，忽視了對使用者所輸入字符串信息的合法性檢查，導(dǎo)致一些SQL語言在未被有效過濾的情況下，通過使用被系統(tǒng)網(wǎng)絡(luò)的終端服務(wù)器誤認(rèn)為是合法命令的程序而去執(zhí)行，通過查詢后臺數(shù)據(jù)庫獲得敏感信息輸出，更有甚者能直接修改或者添加敏感信息，見圖1。

圖1 SQL注入漏洞的示意圖

因此，這種程序很容易會受到SQL的注入式攻擊。利用對SQL注入是漏洞的編寫，漏洞發(fā)現(xiàn)者可以對數(shù)據(jù)信息的利用進(jìn)行再次加工、刪改、更正、詢問等操作，如可以利用結(jié)構(gòu)特殊的SQL語言對使用者的信息賬戶進(jìn)行增加、刪改等，或者進(jìn)行輸出文件的導(dǎo)入等操作，因而造成客戶敏感信息的外漏等。漏洞發(fā)現(xiàn)者還可以利用該漏洞獲取網(wǎng)絡(luò)信息資源甚至逾越系統(tǒng)最高權(quán)限的限制，達(dá)到掌握總體數(shù)據(jù)資源、操作界面的目的。

2.2 XSS跨站腳本攻擊漏洞

目前，絕大多數(shù)網(wǎng)站中都或多或少包含一些的非靜態(tài)內(nèi)容以提高用戶體驗(yàn)，所謂非靜態(tài)內(nèi)容，就是根據(jù)用戶的環(huán)境和需要，Web的使用程序能夠輸出相應(yīng)的內(nèi)容。而這些非靜態(tài)的站點(diǎn)容易受到一種名為“跨站腳本攻擊（Cross Site Scripting）”的威脅，為了不與重疊樣式組合（Cascading Style Sheets，CSS）混為一談，所以，將跨站腳本的主動(dòng)攻擊改為XSS。XSS是一項(xiàng)經(jīng)常出現(xiàn)在Web使用程序的網(wǎng)絡(luò)安全使用漏洞，這會造成Web系統(tǒng)的惡意用戶將編碼編入其它使用者常常使用的界面中。比如，這些編碼包括HTML編碼、客戶端口的角色等等。攻擊角色會利用XSS的安全漏洞避免控制鏈接訪問，例如，同源策略（Same origin policy），這種安全漏洞是因?yàn)楸淮罅亢诳陀脕砭帉懲{性更大的Phishing攻擊，使得其攻擊更為厲害。

構(gòu)建URL攻擊技術(shù)的傳播范圍畢竟有限，第三方使用者只要有一般的安全意識就可以避免，因此這種技術(shù)手法的危險(xiǎn)性比較小。相較而言，通過發(fā)表內(nèi)容及觀點(diǎn)而搭建的存儲型XSS的危害就要大很多。在可以發(fā)表用戶個(gè)人觀點(diǎn)的微博、論壇、貼吧及博客等網(wǎng)站上，用戶發(fā)表的信息會被保存起來，并允許其他用戶瀏覽。這些被保存的信息顯示在頁面上的時(shí)候，如果沒有經(jīng)過有效安全地處理，就容易使攻擊者設(shè)計(jì)的內(nèi)容顯示出來，一旦訪問這些信息的用戶就可能中招，如果該頁面信息流傳甚廣，則影響會更為嚴(yán)重，見圖2。

圖2 存儲型XSS的攻擊示意圖

XSS漏洞是由于非靜態(tài)網(wǎng)頁的Web實(shí)用程序?qū)τ脩羲峤坏淖址畔⑽醋龀浞值臋z查過濾，允許用戶在提交的字符串中夾雜代碼，然后未經(jīng)重新組織、編碼而輸出到了第三方用戶的客戶端瀏覽器上，這些攻擊者有意無意提交的代碼就會被第三方用戶的瀏覽器解釋執(zhí)行。如果一個(gè)系統(tǒng)的界面使用應(yīng)用動(dòng)態(tài)界面向用戶發(fā)出來錯(cuò)誤消息，就會造成一般性的XSS系統(tǒng)漏洞。通常，該界面會包含一個(gè)文本消息的基本參數(shù)因素，并在組合使用中將這個(gè)文本信息反饋給用戶。

3 結(jié)束語

本文對基于滲透測驗(yàn)實(shí)例的Web安全進(jìn)行分析，依托滲透測驗(yàn)實(shí)例結(jié)合機(jī)制，根據(jù)具體的流程步驟、攻擊技術(shù)方法及示意圖，對系統(tǒng)安全的Web界面進(jìn)行調(diào)整，實(shí)現(xiàn)本文研究。測驗(yàn)實(shí)例表明，本文設(shè)計(jì)的方法具備極高的有效性。希望本文的研究能夠?yàn)榛跐B透測驗(yàn)實(shí)例的Web安全提供理論依據(jù)。

[1]杜經(jīng)農(nóng).基于Web應(yīng)用軟件安全漏洞測試方法研究[D].華中科技大學(xué)，2017.

[2]常艷，王冠.網(wǎng)絡(luò)安全滲透測試研究[J].信息網(wǎng)絡(luò)安全，2017.

[3]唐曉東，唐偉，王賢菊.入侵檢測系統(tǒng)與漏洞掃描聯(lián)動(dòng)的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017.

[4]張馳，羅森林.基于端口和編號的漏洞代碼匹配方案研究[J].信息網(wǎng)絡(luò)安全，2016.

[5]朱遠(yuǎn)文，張煜，常暢，王春東.基于Cookie的安全防護(hù)技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2017.

[6]祝瑞，車敏.基于HTTP協(xié)議的服務(wù)器程序分析[J].現(xiàn)代電子技術(shù)，2017.

[7]都娟.基于模糊測試方法的Web應(yīng)用安全性測試技術(shù)的研宄及其工具實(shí)現(xiàn)[D].華東師范大學(xué)，2017.