Web安全滲透測試

◆黃承彬

?

Web安全滲透測試

◆黃承彬

（福建省廈門市文化遺產(chǎn)監(jiān)管中心 福建 361012）

網(wǎng)絡技術的發(fā)展深化了Web對人們生活的影響，但也讓它成為黑客入侵的渠道之一，所以保證Web程序的安全，是各使用單位必須思考的問題。目前解決這一問題的方式是，使用前進行Web安全滲透測試，檢測其是否有安全漏洞，保證Web的安全。

Web安全滲透測試；SQL安全漏洞；實驗模擬

0 引言

Web安全滲透測試的進行，需先了解Web內(nèi)有哪些安全漏洞，基于這些漏洞出現(xiàn)的原因，選擇思路完成滲透測試。借此，可提高檢測的效率，并及時發(fā)現(xiàn)Web的漏洞，并分析漏洞的特征，給出具體的分析報告，并可以根據(jù)新出現(xiàn)的漏洞，拓展思路，保證安全滲透測試的可靠。

1 Web的安全漏洞

1.1 類別

Web內(nèi)的安全漏洞包括以下幾點：注入攻擊、跨站腳本攻擊、安全性誤配置等。其中注入攻擊主要出現(xiàn)于服務器端，是攻擊者最常做出的攻擊行為。該攻擊的特點是，用戶輸入的數(shù)據(jù)變?yōu)榇a，而這個攻擊的有效需滿足兩個條件，用戶可自主輸入，程序的運行需要代碼，把輸入的數(shù)據(jù)拼接。它最常見的形態(tài)是代碼、XML等注入攻擊。

1.2 出現(xiàn)的原因

這些安全漏洞出現(xiàn)的原因是，用戶可在系統(tǒng)內(nèi)提交任意一個類型的數(shù)據(jù)，但服務器終端只是接收數(shù)據(jù)，并未進行數(shù)據(jù)驗證。而從內(nèi)部操作分析，是Web編程中，程序員并未考慮到編程的安全，并疏于配置軟件，增加安全隱患。同時，Web投入使用后，所有操作、管理以及定期維護，均由人完成，但Web系統(tǒng)的安全會因為個人的操作不當，被攻擊者找到機會，入侵系統(tǒng)，直接導致系統(tǒng)的崩壞[1]。

2 Web安全滲透測試

2.1 安全滲透測試

這一測試是模擬攻擊者的操作，使用相應的攻擊技術，利用系統(tǒng)的漏洞，對目標對象進行深入探測，以從系統(tǒng)內(nèi)發(fā)現(xiàn)最易受到攻擊的環(huán)節(jié)。由此提出的安全滲透測試，是得客戶的許可后，用可控、不會帶來破壞的方式，找到服務器的薄弱位置，它進行的時間可以是系統(tǒng)發(fā)布前，或是系統(tǒng)投入使用后，對系統(tǒng)進行實時跟蹤，盡肯能保證系統(tǒng)安全。

2.2 測試過程

其測試的具體過程如下：收集信息，攻擊者做出攻擊行為前，必然會先收攻擊對象的信息，以為攻擊的進行做好信息準備，即了解Web系統(tǒng)的相關信息后，對其有基本的認識，初步確定攻擊方式。信息收集可采用的方式有域名、不同的信息服務；整理并掃描信息后，可確定網(wǎng)絡所在的外部特征，對特定的位置進行掃描，根據(jù)掃描結果，決定是否攻擊，而從掃描得到的漏洞中，可選擇某個漏洞作為攻擊的突破口。但如果漏洞掃描后，攻擊者不可以直接使用時，可把得到的信息分成兩類，第一類是安全敏感的信息，包含預先收集的信息，第二類是漏洞信息，主要由個人疏忽造成，借由這些可快速確定攻擊的點；攻擊，上兩個階段的操作結束后，經(jīng)過分析，可用選擇的方式是直接攻擊。攻擊的方式可分成兩類，第一類是攻擊對象再無反應，讓系統(tǒng)癱瘓，第二類攻擊是借由工具盜取系統(tǒng)內(nèi)的某些信息，比如高級機密、系統(tǒng)的控制權等，攻擊行為只是真實目的的掩蓋；攻擊成功后，攻擊者為便于下次攻擊，會在系統(tǒng)內(nèi)放入后門，有便捷的入侵渠道。網(wǎng)絡主體內(nèi)的系統(tǒng)會隨著技術的發(fā)展與維護，把系統(tǒng)升級，自動修補漏洞，攻擊者可攻擊的路徑消失，而植入后門后，攻擊者經(jīng)過后門即可進入系統(tǒng)，且整個過程不會被使用者察覺；最后，消除經(jīng)過的痕跡，Web攻擊是一個完整的過程，攻擊者從系統(tǒng)中得到信息后，必須消除自己來過的痕跡，這些痕跡會在系統(tǒng)檢測或管理員維護中發(fā)現(xiàn)，有時甚至會因為檢查，完全暴露自己，所以痕跡的消除，是把所有經(jīng)過的部分全部清理。

根據(jù)這個過程完成測試，可找到測試內(nèi)容的風險，并出具風險評估報告，提供全面的滲透測試服務。

2.3 具體操作

本文中的具體操作是以SQL安全漏洞為例，完成測試。

（1）注入漏洞的分析

SQL注入是供給系統(tǒng)的數(shù)據(jù)庫，它的具體連接中是利用現(xiàn)有數(shù)據(jù)庫的外部接口，通過接口把數(shù)據(jù)作為操作語言，輸入到數(shù)據(jù)庫內(nèi)，以實現(xiàn)數(shù)據(jù)庫的入侵，并控制系統(tǒng)。程序員因為對編程的安全性認識不足，并未過濾用戶輸入的數(shù)據(jù)，引發(fā)漏洞，攻擊者抓住這些機會后，可輸入操作語句，從數(shù)據(jù)庫內(nèi)得到數(shù)據(jù)，或是把數(shù)據(jù)刪除，影響主機運行[2]。

（2）實驗模擬

如圖1，通過實驗模擬，可了解這一漏洞可能帶來哪些危害。但試驗進行需要相應的環(huán)境，所以環(huán)境是Windows 7系統(tǒng)的一個網(wǎng)址，IP地址是localhost。這一網(wǎng)址的正常登陸是在登錄界面輸入用戶名和密碼，輸入正確后即可登錄系統(tǒng)，這一情況下，攻擊者選擇的方式是入侵數(shù)據(jù)庫，具體方式是與數(shù)據(jù)庫交互，用后端編程操控，而多個程序語言的交互后，可得到界面。但因為實驗進行中，所有數(shù)據(jù)都可進行后臺查詢，所以具體編程過程中，可把多個字符拼接在一起，這給攻擊者留下了加入SQL語句的機會，改變操作流程，得到系統(tǒng)的操作權限。由此，對于其帶來危害的判斷，是輕者丟失數(shù)據(jù)庫內(nèi)的數(shù)據(jù)，重者直接失去系統(tǒng)道的操作權限。

圖1 模擬網(wǎng)址的登錄頁面

（3）檢測思路

基于這一思路帶來的危害，要求在實際操作中必須明確具體檢測的思路，即使用HTTP協(xié)議，給出請求報文。從給出的報文中，攻擊者可用工具修改報文中的內(nèi)容，把內(nèi)部的GET變?yōu)镻OST，改變數(shù)據(jù)的內(nèi)容，并修改內(nèi)部的Cookie。如果出現(xiàn)這些情況，在客戶端驗證登錄者的信息，沒有任何作用。所以，攻擊者攻擊的方式是，改變HTTP協(xié)議的申請報文（如圖2），觀察服務器是否響應，從中找到漏洞。所以，對于這一漏洞的檢測，是檢查所有提交數(shù)據(jù)的環(huán)節(jié)與數(shù)據(jù)內(nèi)容，查看與服務器交互的位置，檢查參數(shù)設置，判斷服務器是否響應，確定是否有安全漏洞存在。

圖2 HTTP申請文本的更改

實際應用的分析：確定檢測思路后，可選擇某個真實的網(wǎng)站，用不同方式注入信息，判斷這一方法是否有效。注入漏洞的方式是，GET、POST等，用這兩種方式注入漏洞后，都返回了錯誤信息，說明有漏洞存在。隨后測試人員修改了HTTP請求并發(fā)送到遠程服務器后，服務器響應。由此，說明這一方法是有效的。

由此，總結出Web安全滲透測試的思路是正確，且方法也具有可行性，可模擬攻擊者做出的行為，判斷系統(tǒng)內(nèi)是否有安全漏洞，有良好的使用效果。而為完善該思路，讓測試有序進行，也可使用相應的測試工具，借助測試工具的優(yōu)勢，找到新的方案，減少系統(tǒng)被攻擊的可能性，保證系統(tǒng)運行的穩(wěn)定與安全，降低風險。另根據(jù)漏洞出現(xiàn)的原因，要求編程人員必須注重編程過程的安全，從編程入手，控制風險，保證安全。

3 結語

Web安全滲透測試，是根據(jù)漏洞的類型與出現(xiàn)的原因，以及安全滲透測試的思路進行試驗模擬，驗證理論與想法的可行性，指明攻擊者攻擊的方式。如此，可切實保證系統(tǒng)的安全，確保系統(tǒng)運行的穩(wěn)定，但與此同時，也要完善使用的技術，借助檢測工具等確定思路，實現(xiàn)思路的優(yōu)化，完成漏洞的進一步分析。

[1]徐光.基于Kali Linux的Web滲透測試研究[J].信息安全與技術，2015.

[2]羅啟漢，陳深龍，李寧等.中國科學院教育信息化中的Web應用安全增強實踐[J].科研信息化技術與應用，2011.