胡愛強(qiáng) 王曉澤 胡愛兵

摘 要：在網(wǎng)絡(luò)安全等級保護(hù)測評中，科學(xué)合理的測試方法有助于提高測評的準(zhǔn)確性與科學(xué)性。文章主要對網(wǎng)絡(luò)安全等級保護(hù)測評中Web應(yīng)用安全滲透測試方法的應(yīng)用進(jìn)行了探討，希望可以為網(wǎng)絡(luò)安全等級保護(hù)測評提供借鑒。

關(guān)鍵詞：網(wǎng)絡(luò)安全;測評;Web應(yīng)用安全滲透測試

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-1064（2021）01-042-02

DOI：10.12310/j.issn.1674-1064.2021.01.018

在信息化高速發(fā)展的今天，網(wǎng)絡(luò)安全顯得尤其重要。近年來，在國際以及國內(nèi)安全形勢中，頻頻發(fā)生網(wǎng)絡(luò)攻擊事件。2020年，國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）協(xié)調(diào)處理了8萬余起網(wǎng)絡(luò)安全事件，切斷黑客對810萬臺主機(jī)的控制。而且，我國網(wǎng)絡(luò)安全基礎(chǔ)不牢以及關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力差，成為網(wǎng)絡(luò)安全的致命弱點(diǎn)。因此，我國也相繼出臺了一系列網(wǎng)絡(luò)安全政策法規(guī)，以期將基礎(chǔ)信息系統(tǒng)的安全性提升到最基本的安全標(biāo)準(zhǔn)，同時Web應(yīng)用安全也成為網(wǎng)絡(luò)安全等級保護(hù)測評的重中之重[1]。

1 應(yīng)用安全測評中滲透測試的必要性

在網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)實(shí)施中，對信息系統(tǒng)的應(yīng)用安全要分別從身份鑒別、訪問控制、安全審計、入侵防范、數(shù)據(jù)完整性以及數(shù)據(jù)保密性等方面進(jìn)行全方位安全檢查，但還需配合滲透測試進(jìn)行安全性評估，以便發(fā)現(xiàn)信息系統(tǒng)中應(yīng)用安全存在的安全風(fēng)險，并針對存在的漏洞進(jìn)行及時修復(fù)整改，從而提高信息系統(tǒng)應(yīng)用安全的整體防護(hù)水平。

2 滲透測試的定義

滲透測試首先需要在合理授權(quán)條件下，通過所掌握的各種信息系統(tǒng)資料，利用各種工具及各種攻擊手段，模擬黑客進(jìn)行安全性滲透測試評估，以獲取信息系統(tǒng)最高權(quán)限為目的，從攻擊者角度發(fā)現(xiàn)信息系統(tǒng)存在的安全弱點(diǎn)，進(jìn)而幫助用戶進(jìn)行整改。

3 應(yīng)用安全滲透測試步驟

3.1 授權(quán)

由于網(wǎng)絡(luò)安全等級保護(hù)應(yīng)用安全滲透測試是一個復(fù)雜且多變的過程，為了盡量避免滲透測試對業(yè)務(wù)應(yīng)用正常運(yùn)行造成的影響，以及可能存在的風(fēng)險，需在滲透測試工作前，進(jìn)行用戶授權(quán)以及將可能發(fā)生的風(fēng)險點(diǎn)告知用戶;并且實(shí)施一系列安全防護(hù)措施，如與用戶溝通滲透測試方案，滲透測試時間選擇在業(yè)務(wù)訪問量不高的時間段進(jìn)行，在測試前進(jìn)行重要數(shù)據(jù)備份等。

3.2 滲透測試方法與流程

信息收集與分析系統(tǒng)如圖1所示。

跨站腳本攻擊?？缯灸_本是指攻擊者惡意向應(yīng)用程序頁面插入html代碼，在用戶不知情的情況下瀏覽該網(wǎng)頁時，其中的惡意代碼會被執(zhí)行，從而達(dá)到攻擊用戶的目的。

由于Web頁面開發(fā)者對用戶輸入的數(shù)據(jù)過濾不充分，或者未經(jīng)過濾就保存至數(shù)據(jù)庫中，當(dāng)其他用戶訪問Web頁面時重新返回至訪問Web頁面的用戶，因此就可能導(dǎo)致XSS漏洞的產(chǎn)生。所以，攻擊者提交的惡意代碼被其他用戶所瀏覽訪問，攻擊者就間接控制了當(dāng)前瀏覽用戶的瀏覽器，從而竊取用戶的敏感信息或者引導(dǎo)用戶訪問其他惡意網(wǎng)站。

跨站腳本的危害包括獲取訪問者用戶瀏覽器中的cookie敏感信息，屏蔽正常頁面，偽造其他惡意頁面，突破局域網(wǎng)中的安全防護(hù)設(shè)備，并且與其他漏洞結(jié)合，形成更大危害。

口令破解。通過口令進(jìn)行身份認(rèn)證，是目前計算機(jī)上實(shí)現(xiàn)用戶權(quán)限鑒別的主要手段之一，許多網(wǎng)絡(luò)應(yīng)用系統(tǒng)都采用用戶名+密碼機(jī)制進(jìn)行身份認(rèn)證，保護(hù)應(yīng)用系統(tǒng)中的敏感數(shù)據(jù)?？诹钇平庵饕捎梅欠治鍪侄危绺F舉口令、字典攻擊和軟件分析等方法進(jìn)行口令猜測，并且最終獲取正確口令。

一般口令破解采用默認(rèn)口令攻擊、字典攻擊以及暴力破解方式，其中：

默認(rèn)口令攻擊為系統(tǒng)和應(yīng)用程序內(nèi)置的口令，這些內(nèi)置口令是默認(rèn)公開的，一般情況下，用戶首次使用這些系統(tǒng)或應(yīng)用程序時，需要先更改默認(rèn)的內(nèi)置口令以避免造成安全漏洞。但有些用戶由于安全意識不足，未將默認(rèn)口令進(jìn)行更改，從而導(dǎo)致攻擊者可利用這些默認(rèn)口令嘗試獲取對目標(biāo)系統(tǒng)的訪問。

密碼字典攻擊是基于用戶可能會使用易于記憶的英語單詞，或自己的姓名、生日、身份證號、電話號碼等搭配作為口令，因此攻擊者可通過以上信息進(jìn)行組合，從而生成一個字典，進(jìn)行暴力破解，如圖2所示。

暴力攻擊是通過窮舉所有可能口令的方法來進(jìn)行攻擊，在現(xiàn)有網(wǎng)絡(luò)計算環(huán)境中，猜測一個口令的投入很小，攻擊者很容易利用軟件進(jìn)行連續(xù)測試，理論上只要有足夠時間，所有口令都可被破解。

SQL注入。對于web應(yīng)用程序而言，用戶核心數(shù)據(jù)存儲在數(shù)據(jù)庫中，如MySQL、SQL、Server、Oracle。通過SQL注入攻擊，可以獲取、修改、刪除數(shù)據(jù)庫信息，并且通過提權(quán)來控制web服務(wù)器等其他操作。SQL注入，即攻擊者通過構(gòu)造特殊的SQL語句入侵目標(biāo)系統(tǒng)，致使后臺數(shù)據(jù)庫泄露數(shù)據(jù)的過程。

Web應(yīng)用程序開發(fā)使用的SQL、Per和PHP等語言，屬于解釋性語言，即在運(yùn)行時，運(yùn)行組件解釋語言代碼并執(zhí)行其中包含的指令。這類解釋語言易于產(chǎn)生代碼注入攻擊;攻擊者可以提交一段預(yù)先構(gòu)造的惡意代碼作為輸入，輸入信息被解釋為執(zhí)行程序指令，從而對應(yīng)用程序及執(zhí)行代碼注入進(jìn)行攻擊，SQL注入是危害最嚴(yán)重的攻擊方式之一。

SQL注入攻擊的原理為，攻擊者通過post/get方式輸入非法代碼改變SQL語句，以達(dá)到執(zhí)行SQL語句對Web應(yīng)用攻擊的目的，從而獲得整個系統(tǒng)的最高權(quán)限，如圖3所示。

文件上傳漏洞。文件上傳漏洞是指，利用應(yīng)用程序中的上傳路徑，上傳一些過濾不嚴(yán)且可執(zhí)行的文件到服務(wù)器上，再通過URL或者其他連接工具進(jìn)行連接并且執(zhí)行，以達(dá)到控制服務(wù)器的目的。

4 結(jié)語

我國網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，應(yīng)用安全更是重中之重，因此文章結(jié)合網(wǎng)絡(luò)安全等級保護(hù)應(yīng)用安全與滲透測試進(jìn)行了探討，以幫助以后在等級保護(hù)測評應(yīng)用安全工作中，結(jié)合滲透測試進(jìn)行全方位的檢測評估，將應(yīng)用安全提升至一個新的高度。

參考文獻(xiàn)

[1] 王世軼，吳江，張輝.滲透測試在網(wǎng)絡(luò)安全等級保護(hù)測評中的應(yīng)用[J].計算機(jī)應(yīng)用與軟件，2018，35（11）：190-193.