基于滲透測試的漏洞危害實例分析與防范策略

劉陽

摘 要：信息系統遭受入侵的主要原因是系統存在漏洞。漏洞是系統中客觀存在的，它的存在并不能導致對系統的損害，但是攻擊者可以利用漏洞對系統實施攻擊，在機密性、完整性和可用性等方面造成損害。文章以互聯網信息系統滲透測試為基礎，對漏洞危害進行實例分析，提出安全防范策略。

關鍵詞：信息系統；安全漏洞；危害分析；防范措施

中圖分類號：TP393 文獻標識碼：B

Example analysis and prevention strategy of loopholes

in penetration tests

Abstract： Loophole in systems is the primary reason why systems are penetrable. The existence of loopholes is inevitable， and cannot directly jeopardize the system. However the attacker can take advantage of loopholes to initiate an attack， and cause damage to the confidentiality， integrity， and accessibility of the system. The following passage analyzes representative cases and formulates prevention strategies based on penetration tests performed on Internet network informatics.

Key words： information system； security breach； damage analysis； prevention strategy

1 引言

信息系統遭受入侵的主要原因是系統存在漏洞，漏洞也叫脆弱性，是信息系統在設計、編碼、實現、配置、運行中有意或無意產生的。漏洞是信息系統中客觀存在的，它的存在并不能導致對系統的損害，但是攻擊者可以利用漏洞對系統實施攻擊，在機密性、完整性和可用性等方面造成損害。

2 信息系統安全風險測評

在信息系統安全運維工作中，開展安全風險評估和滲透測試，是發現網絡安全問題和缺陷、彌補安全漏洞、確保系統穩定運行的有效手段。通過網絡拓撲分析、漏洞掃描工具、滲透測試、安全基線配置檢查等手段對信息資產產生的安全漏洞進行識別，確定漏洞可利用程度，評估影響范圍及危害程度。

以一次安全測評服務為例，對40個互聯網業務系統的295臺主機進行安全檢測，其中32項業務系統的64臺主機被檢測到漏洞，分別占比例80%和21.7%。共計發現中高危漏洞152個，其中緊急漏洞5個，高危漏62個，中危漏洞85個。這些系統不同程度地存在Web應用安全配置錯誤、Web應用注入漏洞、XSS跨站漏洞、Web服務的默認管理網頁、中間件使用了有缺陷的版本、弱口令等問題。這些問題是業務系統面臨的主要威脅，存在極大的安全風險，在開放的互聯網環境中，將嚴重威脅業務系統信息安全。

3 信息安全漏洞危害實例分析

系統漏洞對安全造成的威脅不限于它的直接可能性，一次成功的入侵行為往往不需要高超的技術，只需要收集、過濾信息，層層深入，利用系統安全漏洞實施攻擊，獲取管理員權限，獲取系統敏感信息，破壞系統及網絡的正常運行。下面分析利用風險測評中發現的安全漏洞進行攻擊的實例，闡述安全漏洞對系統的危害性。

目錄遍歷漏洞是由Web服務器或者Web應用程序對用戶輸入的文件名稱的安全性驗證不足而導致的一種安全漏洞，使得攻擊者通過利用一些特殊字符就可以繞過服務器的安全限制，訪問任意的文件，甚至執行系統命令。

攻擊者通過NMAP掃描，確定系統內部分服務器開放了Web服務和SSH服務。使用Web漏洞掃描軟件進行掃描，發現存在一個目錄遍歷漏洞。仔細查看目錄中文件內容，發現一個文件中保存了數據庫登錄的用戶名和密碼。結合NMAP的掃描結果，可以發現一臺服務器運行MySQl數據庫服務，立即使用Navicat For MySQL進行連接，成功登錄一名有經驗的攻擊者，會進一步聯想到SSH的登錄用戶可能與數據庫登錄名一樣，于是打開PuTTY進行SSH連接測試，結果成功登錄主機。如圖1所示。

至此，已經完成了一次入侵行為，數據庫、主機都被占領，可以安裝后門、發起DDoS攻擊等破壞行為。目錄遍歷漏洞是一種常見的Web漏洞，一般危害性不大，屬于中危漏洞。但是攻擊者利用該漏洞獲得存儲了數據庫登錄用戶名和密碼的敏感文件，可以直接登錄操作系統，進而控制主機，對系統安全造成極大危害。

在日常安全運維工作中，需要加強Web應用的目錄權限配置，一般情況下，禁止目錄遍歷功能，尤其是存放了配置文件的目錄。加強日常的密碼管理，單從密碼本身而言，密碼設置可能不一定簡單，但為了使用方便，數據庫和SSH登錄都使用了相同的用戶名和密碼，導致突破一點，攻破全局。

4 信息安全漏洞的防范

4.1信息安全漏洞的產生

分析安全測評中發現的漏洞情況，我們可以總結出系統漏洞產生主要有幾個方面。

（1）資產安全管理不規范。主要表現在資產責任單位、責任人不明確，缺乏有效完整的資產列表，資產上線流程不規范等。造成出現問題難以快速定位資產物理位置；未經安全檢查、安全加固直接上線運行的主機存在安全漏洞，可被攻擊者利用。

（2）系統配置存在安全問題。例如運維中為了方便管理，啟用TRACE、Telnet服務，Web應用、SSH服務使用默認用戶名和口令等，目錄遍歷、敏感信息泄露、弱口令等漏洞都是由于不安全配置引起的，是攻擊者收集信息的利用點。

（3）系統運行版本低存在安全漏洞。任何系統軟件都存在不同程度的漏洞，定期進行系統升級、打補丁，可以有效防止非法入侵。有些系統建成后運行穩定，系統運維人員忽略了此項工作，或者擔心軟件升級導致系統運行不正常，從未進行軟件升級，已經公布出的高危漏洞存在于系統中，使系統易受到攻擊。

（4）研發過程缺乏安全管理規范。例如SQL注入和XSS跨站漏洞都是由于沒有對輸入的字符進行嚴格檢查和過濾造成的；越權訪問漏洞是研發過程中沒有進行充分的功能和權限測試，導致通過修改某些參數，就可以訪問到其他用戶的信息，進行非法操作。

4.2 信息安全漏洞防范策略

信息系統設計、建設、運行的生命周期各階段都要建立安全風險管理與控制，采取必要的防范措施，減少漏洞生成，保障系統安全。

（1）加強系統運維、開發人員安全意識。系統設計應滿足安全需求，規范安全編碼要求，定期進行系統補丁升級工作。加強安全培訓，提升開發人員安全開發能力，掌握安全檢查技能，落實安全管理制度，減少系統漏洞的產生。

（2）業務系統上線前進行全面安全檢測。檢查工作包括信息資產清單登記、漏洞掃描與滲透測試，完成檢查中發現問題的整改，由安全管理部門審核后正式上線提供業務服務。

（3）落實安全基線合規性檢查。部分資產脆弱性是由于配置缺陷造成的，如目錄遍歷、存在示例頁面、使用默認錯誤提示頁面等，系統上線前需要根據安全配置基線來糾正這些錯誤，確保安全配置符合要求，盡可能控制安全風險。

（4）部署安全審計設備。結合實際業務應用，配置合理的、細粒度、符合等級保護要求的安全審計策略。審計對象要覆蓋到每個用戶和應用系統的重要安全事件，審計記錄內容要全面詳實。

（5）持續開展安全風險測評。信息安全是一個動態的防護過程，一次安全測試完成不代表系統就永遠安全。系統運行一段時間后，當前使用的系統、中間件、數據庫等會暴露出新的漏洞，需要持續開展安全測試。

（6）落實安全管理。信息系統安全防護過程中，安全技術和安全管理同等重要，需要有完善的安全管理制度和有效落實。

5 結束語

本文通過分析利用安全風險測評中發現的漏洞進行攻擊的實例，闡述了安全漏洞對系統的危害性。總結系統安全漏洞產生的主要方面，提出防范策略。在日常安全運維工作中，定期開展安全風險評估和滲透測試工作，查找系統存在的漏洞和隱患，完成漏洞修復整改工作。在信息系統的全生命周期建立安全風險管理與控制，落實安全防范策略，將有效減少漏洞生成，提升信息系統安全保障水平。

參考文獻

[1] 吳世忠，劉暉，郭濤，易錦.信息安全漏洞分析基礎[M].北京：科學出版社，2013.

[2] 田俊峰，杜瑞忠，楊曉輝.網絡攻防原理與實踐[M].北京：高等教育出版社，2012.

[3] 王燕飛，趙敏.信息安全防護探討[J].網絡空間安全，2016，（02）：3-5.

[4] 劉曙生.淺談信息安全風險評估與風險分析方法的應用[J].網絡空間安全，2017，（Z2）：78-80.