從黑客思維談Web滲透性測試

巨騰飛　王楠　趙少飛

摘 要：隨著進(jìn)入Web3.0時(shí)代，網(wǎng)站功能越趨復(fù)雜，尤其是互聯(lián)網(wǎng)的廣泛普及和應(yīng)用，如電子政務(wù)、電子商務(wù)、網(wǎng)絡(luò)辦公、網(wǎng)絡(luò)媒體以及虛擬社區(qū)的出現(xiàn)，正深刻影響著人類生活、工作的方式。與此同時(shí)，Web安全的重要性也在不斷提升。網(wǎng)站功能越復(fù)雜就意味著更多的漏洞暴露于互聯(lián)網(wǎng)之上，政府、企業(yè)各類組織所面臨的Web安全問題越來越多樣化、復(fù)雜化，黑客威脅正在飛速增長，給企業(yè)的信息網(wǎng)絡(luò)造成嚴(yán)重的破壞甚至于不可挽回的損失。為了更好地應(yīng)對這些更加復(fù)雜的黑客攻擊，模擬黑客思維開展?jié)B透性測試，找出網(wǎng)站所存在的脆弱性，更好地了解網(wǎng)站本身，以助于網(wǎng)站管理者更好地解決安全隱患。

關(guān)鍵詞：網(wǎng)站；黑客；滲透性測試；脆弱性

中圖分類號：TP306+.2 文獻(xiàn)標(biāo)識碼：A

Abstract： With the advent of Web3.0， the functions of websites have become more and more complicated. In particular， the widespread adoption and application of the Internet， such as the emergence of e-government， e-commerce， online office， online media， and virtual communities， are profoundly affecting the way people live and work. . At the same time， the importance of Web security is constantly increasing. The more complex the website function means more vulnerabilities are exposed on the Internet. The Web security issues faced by various organizations of governments and enterprises are becoming more and more diversified and complicated. The threat of hackers is growing at a fast rate， causing the information network of enterprises to increase. Serious damage is even irreversible. In order to better deal with these more sophisticated hacking attacks， simulated hacker thinking to develop permeability tests， find the site's existing vulnerability， and better understand the site itself， to help website managers better solve security risks.

Key words： website； hacker； penetration testing； vulnerability

1 引言

互聯(lián)網(wǎng)網(wǎng)站是最重要、最普遍的信息系統(tǒng)入口，針對網(wǎng)站的攻擊仍然是當(dāng)前黑客主要攻擊方式。2013年，互聯(lián)網(wǎng)黑客地下產(chǎn)業(yè)仍然較為活躍，針對中國互聯(lián)網(wǎng)站的篡改、后門攻擊事件數(shù)量呈現(xiàn)逐年上升趨勢，其中門戶網(wǎng)站是重要的攻擊目標(biāo)。黑客的黑色產(chǎn)業(yè)追名逐利的特性日趨明顯，以網(wǎng)站暗鏈、網(wǎng)頁掛馬為代表的黑客攻擊以及仿冒門戶網(wǎng)站是黑客重要的獲利渠道。信息系統(tǒng)漏洞特別是高危漏洞呈現(xiàn)逐年遞增趨勢，這給了黑客發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊或針對重要價(jià)值目標(biāo)發(fā)起攻擊的便利條件。網(wǎng)站信息系統(tǒng)所承載的數(shù)據(jù)機(jī)密性、服務(wù)可用性、信息完整性受到嚴(yán)重的威脅，影響到網(wǎng)站的服務(wù)體驗(yàn)和用戶上網(wǎng)安全。

2 何為黑客

最早“黑客”這個(gè)詞語由英語Hacker直譯而來，是指專門探索、研究、發(fā)現(xiàn)計(jì)算機(jī)以及網(wǎng)絡(luò)漏洞的計(jì)算機(jī)興趣愛好者。他們是隨著計(jì)算機(jī)不斷發(fā)展而逐漸產(chǎn)生的。黑客對于網(wǎng)絡(luò)有著極其執(zhí)著的追求，他們通過不斷地研究網(wǎng)絡(luò)安全知識，從而發(fā)現(xiàn)網(wǎng)絡(luò)中所存在的安全漏洞，喜歡挑戰(zhàn)從高難度的網(wǎng)絡(luò)系統(tǒng)中找到安全漏洞，然后向網(wǎng)絡(luò)管理員提出漏洞的解決和修補(bǔ)方法。

黑客跟安全人員有著很大的區(qū)別。黑客往往非常的獨(dú)立，總是一個(gè)人在狂熱的編寫代碼，測試程序，尋找機(jī)會一些機(jī)會追逐利益，甚至肆意妄為。而安全人員則是隊(duì)伍的一份子，有著各種各樣規(guī)定或者紀(jì)律的約束，包括資源運(yùn)用、部門之間的配合以及公司政策等。一個(gè)從安全角度考慮的想法，要讓位于產(chǎn)品研發(fā)、市場推廣、戰(zhàn)略架構(gòu)等。

3 黑客如何入侵網(wǎng)站

黑客往往入侵網(wǎng)站是不計(jì)后果的，所以相比于安全管理員更能直觀的發(fā)現(xiàn)網(wǎng)站漏洞。一種黑客首先會進(jìn)行大批量網(wǎng)站的掃描工作，發(fā)現(xiàn)網(wǎng)站存在的通用漏洞，然后進(jìn)行批量漏洞驗(yàn)證，驗(yàn)證漏洞存在后直接利用網(wǎng)站漏洞進(jìn)行網(wǎng)站入侵，進(jìn)一步獲取網(wǎng)站后臺甚至服務(wù)器權(quán)限。另一種黑客更具針對性，首先會對目標(biāo)網(wǎng)站進(jìn)行漏掃，發(fā)現(xiàn)網(wǎng)站存在的應(yīng)用漏洞，然后利用漏洞，直接達(dá)到獲取網(wǎng)站后臺甚至服務(wù)器權(quán)限，均通過修改網(wǎng)站頁面或者盜取用戶信息達(dá)到入侵目的，最后黑客將會在網(wǎng)站留下后門，方便下一次入侵，入侵完成后往往會進(jìn)行日志清除工作，免除后顧之憂，讓安全管理員無跡可尋。

4 如何開展Web滲透性測試

為了更加規(guī)范網(wǎng)站滲透性測試流程，參考黑客入侵網(wǎng)站思路，對網(wǎng)站開展非破壞性質(zhì)的入侵，將滲透性測試流程總結(jié)為七點(diǎn)。

4.1 書面授權(quán)

任何滲透性測試都需要得到網(wǎng)站所有者進(jìn)行書面的授權(quán)，任何未授權(quán)進(jìn)行滲透性測試屬于違法行為。

4.2 建立聯(lián)系機(jī)制

在進(jìn)行滲透測試工作前，應(yīng)該與被測單位溝通確定好此次工作的內(nèi)容、實(shí)施時(shí)間及聯(lián)系人信息， 確保被測單位做好系統(tǒng)數(shù)據(jù)備份及突發(fā)情況下的應(yīng)急預(yù)案。

4.3 信息收集

信息收集作為滲透性測試中最重要的一環(huán)，主要利用人工以及自動化方式進(jìn)行，包括漏洞掃描、搜索引擎搜索、敏感路徑掃描等方式，對網(wǎng)站的組件、脆弱性、站點(diǎn)信息等進(jìn)行收集，對網(wǎng)站本身有一個(gè)較為全面的了解。

4.4 脆弱性分析

主要是通過分析信息收集所獲取的網(wǎng)站信息，分析出可以被利用的脆弱性來進(jìn)行深入的測試工作。一般主要分析通用組件脆弱性以及網(wǎng)站脆弱性。

4.5 脆弱性利用及記錄過程

網(wǎng)站脆弱性利用通常采用的是SQL注入、存儲型XSS、口令破解、上傳Webshell、遠(yuǎn)程代碼執(zhí)行等方法獲取相關(guān)網(wǎng)站甚至服務(wù)器管理員權(quán)限。在利用的過程中，記錄漏洞的利用過程，包括測試過程截圖以及相關(guān)資料留存，更加有利于測試單位全面、直觀地認(rèn)識到網(wǎng)站脆弱性利用所帶來的實(shí)際危害。

4.6 消除影響

滲透性測試工作完成后，測試人員應(yīng)進(jìn)行測試痕跡清除工作，清理上傳的Webshell（以免被其他人利用），測試賬號以及驗(yàn)證痕跡等，對于一些無法清理的信息都會進(jìn)行詳細(xì)記錄，提供給被測試方進(jìn)行處理。

4.7 工作總結(jié)

本階段作為測試的最終階段主要是完成總結(jié)報(bào)告，總結(jié)網(wǎng)站滲透測試詳細(xì)操作流程，對滲透測試過程中所發(fā)現(xiàn)的網(wǎng)站安全問題進(jìn)行詳細(xì)介紹并提出整改建議，對網(wǎng)站進(jìn)行整體安全性分析。

5 結(jié)束語

本文主要基于黑客思維介紹網(wǎng)站滲透性測試，全面介紹了從認(rèn)知黑客、黑客入侵網(wǎng)站思維及如何開展?jié)B透性測試，著重介紹了滲透測試的流程。網(wǎng)站滲透性測試，主要強(qiáng)調(diào)對網(wǎng)站影響小、過程詳細(xì)、總結(jié)到位，直觀地展現(xiàn)給網(wǎng)站安全管理人員，使其對黑客有更加清晰的認(rèn)知，了解到網(wǎng)絡(luò)黑客攻擊行為危害的嚴(yán)重性，更有助于提高網(wǎng)站管理人員安全管理能力。

參考文獻(xiàn)

[1] 劉亮.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及對策分析[J].網(wǎng)絡(luò)空間安全，2016（02）.

[2] 趙麗娟.Web應(yīng)用程序滲透測試方法研究[D].中南大學(xué)，2014：8-13.

[3] 金濤.基于SQL注入的Web滲透技術(shù)取證方法的研究[J].網(wǎng)絡(luò)空間安全，2016（03）.

[4] David.Litchfield Chris.Anley. The database hacker's handbook[M].Wiley Publishing Inc，2005.

作者簡介：

巨騰飛（1990-） 男，漢族，陜西韓城人，西安郵電大學(xué)，信息安全專業(yè)，陜西省網(wǎng)絡(luò)與信息安全測評中心，信息安全工程師，助理工程師；主要研究方向和關(guān)注領(lǐng)域：Web滲透測試、互聯(lián)網(wǎng)云防御。

王楠（1991-） 男，漢族，陜西西安人，西安郵電大學(xué)，信息安全專業(yè)，陜西省網(wǎng)絡(luò)與信息安全測評中心，信息安全工程師，助理工程師；主要研究方向和關(guān)注領(lǐng)域：Web滲透測試、互聯(lián)網(wǎng)云防御。

趙少飛（1984-） 男，漢族，陜西渭南人，西安文理學(xué)院，計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)，陜西省網(wǎng)絡(luò)與信息安全測評中心，信息安全工程師，助理工程師；主要研究方向和關(guān)注領(lǐng)域：Web滲透測試、網(wǎng)站空間安全監(jiān)測。