基于渗透测试实例的Web安全研究

2018-11-09陈志伟

网络安全技术与应用 2018年11期

◆陈志伟

基于渗透测试实例的Web安全研究

◆陈志伟

(福建省南平市福建林业职业技术学院福建 353000)

如今，Web安全使用技术在各领域都有了越来越广泛的应用，但是因为犯罪分子针对Web使用程序中有关安全漏洞的开发、利用及恶意攻击技术方法的不断出现，造成Web的使用程序在给使用者们提供方便、简洁服务的同时，这些使用者不得不为自身系统程序可能会存在的Web安全漏洞而担心。因此，针对Web使用程序进行有关安全测验，以期找出其可能存在的安全隐患，并进行进一步的修复、升级，可以更加有效地提高Web使用程序的安全性及稳定性。

渗透测试；实例研究；Web安全；漏洞

0 引言

由于目前许多类型的网络安全系统的使用技术和各领域的网络化、数字化发展相结合使用的进程不断加快，使Web的使用程序在各领域内都受到了广泛的推及与使用[1]。但是，在Web使用程序给使用者们提供方便、简洁服务的同时，犯罪分子针对Web使用程序有关安全漏洞的开发、利用及攻击技术手法的不断出现[2]，因而造成Web使用程序内部可能出现的安全问题令人担心。因此，针对Web使用程序进行一定程度上的安全测验，以便及时找出其内部存在的安全隐患，并进行进一步的改造、修复及升级，可以更加有效地提高Web使用程序的安全性及稳定性[3]。在Internet普及化及Web新技术快速发展的今天，用户使用安全所面临的困难日益严重。随着电子化信息建设的不断加深，Web技术的日益演变、发展，Web使用技术已经在各大电子商务、政务平台上得到广泛地推广，以便更好地协助工作、社会大众网络设施服务网以及以托管服务为代表的Web技术，在一定程度上改变人们和工作之间共同的交流方式[4]。但这些新方法在给商业内容的发展带来基于的同时，也带来了前所未有的商业挑战。随着在线网络信息可用性服务化的提高，基于Web的攻击和毁坏速度的快速增加，安全事故的发生率也随之达到了以前从未有过的高度。Web技术在操作过程中可能会出现各种安全隐患的事故，要解决Web安全问题，首先就需要知道什么是Web技术[5]，Web通常是指World Wide Web，简称为WWW。利用Web，互联网上的各种信息、视频、数据资源，都可以在一个共同网页的界面里以一种比较直观、科学、简洁的画面进行展示。因此，在网页内容及网页所链接的各种网络资源的安全使用基础上形成了以Web安全为实体界面的操作平台。Web的网络服务站点就是在为社会群体、公司、组织机构传播社会信息、提供大众服务、进行产品销售和沟通业务联系之中经常性使用的网络传媒工具，这才并发出现，为人们提供各种高能、优秀服务的同时，也成为某些不法团体或个人出于各种谋求私利的目的而进行网络群体攻击的手段[6]。黑客对Web网络服务站点的非法攻击的频率也在不断增加，尤其是那些安全防守手段很弱的Web站点早已成为不少黑客们进行攻击的主要对象。这主要是因为那些Web站点的特别性导致的，例如攻击手段往往是利用Web服务站点中脚本固有的安全漏洞去进行攻击的，或者通过Web网络服务站点非正常工作时所通过的安全端口进行攻击，如70、445、4624、8080等。随着漏洞开发寻找技术和漏洞结合机制的不断开发、完善，将会有许多的安全漏洞被众人发现[7]。但同时，也应该注意到，随着网络攻击手段的不断增多、门槛的不断降低，这种针对个别安全漏洞进行攻击的不法行为几乎下一秒就会发生，从网络世界上可以很容易地就找到对某些特殊漏洞的攻击语言程序，再加上各种私利的不断驱使，所以，针对安全漏洞的攻击手段、方法常常令人防不胜防。针对近年不断出现的Web安全隐患事故，着重研究对Web使用程序危害极大的两种安全漏洞——SQL注入和XSS漏洞，并对Web安全的渗透测试进行试验。

1 渗透测试具体的流程步骤

由于渗透测试是一项利用测试工作者站在诸多攻击的立场上，因此，攻击者的想法和攻击动作就必须进行现实的模拟，然后再对系统进行主动解析，打破测试项目的安全防护，分析系统上存在的每一个弱点、缺陷以及每一个可能为测试工作者所利用、掌握的任何一项安全漏洞等的安全事故，最后获得对系统控制访问权的安全测试。渗透测试的过程一般是针对特别项目，依据原先就设计好的过程手续进行实时检验，而并不是简简单单地进行没有大致目的地对测试目标进行任意操作，所以，渗透测试的具体流程步骤如下：

1.1 前期互相阶段

前期互相阶段，一般指的是由测试工作者与委托者就测试内容的前期问题进行互相了解并掌握，这样就可以明确测试的大众目标、工作范围。这一阶段的主要内容就是根据委托方的需求进行大面积的信息搜集，再让委托者对测试过程之中需要检查的内容、工作范围有一定的认识，同时，测验相关的主管工作人员需要制定测试步骤并为被测试人员分配一定的工作相关内容。

1.2 搜集、整理阶段

对检验目标进行渗透测试的时候，需要进行一场检验，这对信息的搜集、整理工作相当重要，检测人员可以利用Google的相关技术对目标内容进行一些敏感项目的进一步搜集，利用Whois对工作人员的有关工作信息进行查询收集，利用漏洞检查器对被测试内容进行检测等与信息整理有关工作的方法、手段。有时测试工作者也需要使用到社会信息工程学的知识进行必要的信息搜查。需要对信息进行搜集、整理基本如表1所示。

表1 基本信息表

1.3 解析漏洞

如果信息的搜集、整理结束，整个测试团队的每个工作人员就必须自行汇报搜集的信息，并将所有搜集信息、数据进行归纳总结和整理，以便各组人员之间进行项目讨论，有利于推动适合的测试方案的产生，为渗透测试方法的出现起到促进和奠基的作用。工作人员利用信息的集合、整理所需要的数据信息进行解析、漏洞开发，举例剖析可供使用的薄弱环节、上传信息、越权链接等有关安全事故的漏洞整合，工作人员能够针对一定范围内的安全漏洞进行攻击，并对代码的研发进行研究。

2 基于渗透测试实例的Web安全漏洞

2.1 SQL注入式漏洞

SQL注入（SQL Injection）漏洞一般会对Web的使用或数据信息带来潜在的安全问题，如果这种漏洞被发现在测试系统内，那么测试人员就可以建立起特殊的SQL语言与数据信息库进行交换，通过对Web使用程序的改善和应答，得出其想要了解的信息内容。目前，学界对SQL注入的研究主要偏向于主动攻击和防范应答。SQL注入是Web使用程序中最常见的安全威胁，其产生原因是开发人员在对Web使用程序进行编写与测试过程中，忽视了对使用者所输入字符串信息的合法性检查，导致一些SQL语言在未被有效过滤的情况下，通过使用被系统网络的终端服务器误认为是合法命令的程序而去执行，通过查询后台数据库获得敏感信息输出，更有甚者能直接修改或者添加敏感信息，见图1。

图1 SQL注入漏洞的示意图

因此，这种程序很容易会受到SQL的注入式攻击。利用对SQL注入是漏洞的编写，漏洞发现者可以对数据信息的利用进行再次加工、删改、更正、询问等操作，如可以利用结构特殊的SQL语言对使用者的信息账户进行增加、删改等，或者进行输出文件的导入等操作，因而造成客户敏感信息的外漏等。漏洞发现者还可以利用该漏洞获取网络信息资源甚至逾越系统最高权限的限制，达到掌握总体数据资源、操作界面的目的。

2.2 XSS跨站脚本攻击漏洞

目前，绝大多数网站中都或多或少包含一些的非静态内容以提高用户体验，所谓非静态内容，就是根据用户的环境和需要，Web的使用程序能够输出相应的内容。而这些非静态的站点容易受到一种名为“跨站脚本攻击（Cross Site Scripting）”的威胁，为了不与重叠样式组合（Cascading Style Sheets，CSS）混为一谈，所以，将跨站脚本的主动攻击改为XSS。XSS是一项经常出现在Web使用程序的网络安全使用漏洞，这会造成Web系统的恶意用户将编码编入其它使用者常常使用的界面中。比如，这些编码包括HTML编码、客户端口的角色等等。攻击角色会利用XSS的安全漏洞避免控制链接访问，例如，同源策略（Same origin policy），这种安全漏洞是因为被大量黑客用来编写威胁性更大的Phishing攻击，使得其攻击更为厉害。

构建URL攻击技术的传播范围毕竟有限，第三方使用者只要有一般的安全意识就可以避免，因此这种技术手法的危险性比较小。相较而言，通过发表内容及观点而搭建的存储型XSS的危害就要大很多。在可以发表用户个人观点的微博、论坛、贴吧及博客等网站上，用户发表的信息会被保存起来，并允许其他用户浏览。这些被保存的信息显示在页面上的时候，如果没有经过有效安全地处理，就容易使攻击者设计的内容显示出来，一旦访问这些信息的用户就可能中招，如果该页面信息流传甚广，则影响会更为严重，见图2。

图2 存储型XSS的攻击示意图

XSS漏洞是由于非静态网页的Web实用程序对用户所提交的字符串信息未做充分的检查过滤，允许用户在提交的字符串中夹杂代码，然后未经重新组织、编码而输出到了第三方用户的客户端浏览器上，这些攻击者有意无意提交的代码就会被第三方用户的浏览器解释执行。如果一个系统的界面使用应用动态界面向用户发出来错误消息，就会造成一般性的XSS系统漏洞。通常，该界面会包含一个文本消息的基本参数因素，并在组合使用中将这个文本信息反馈给用户。