夏龍++肖明明++馬天遠(yuǎn)++王瑾

摘要：伴隨著校園網(wǎng)絡(luò)的廣泛應(yīng)用，極大的方便和提升了教學(xué)質(zhì)量也豐富了校園生活；同時(shí)，大量師生信息等敏感數(shù)據(jù)存儲(chǔ)在校園網(wǎng)絡(luò)中，一旦遭受惡意攻擊，后果不堪設(shè)想；因此校園網(wǎng)絡(luò)的安全與防護(hù)問(wèn)題應(yīng)該得到足夠的重視。為此該文結(jié)合滲透測(cè)試技術(shù)和校園網(wǎng)絡(luò)的安全問(wèn)題，分析了校園網(wǎng)絡(luò)安全目標(biāo)，闡述了滲透測(cè)試技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用。

關(guān)鍵詞：校園網(wǎng)絡(luò)安全；滲透測(cè)試技術(shù)；應(yīng)用

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）20-0062-03

隨著網(wǎng)絡(luò)的使用越來(lái)越廣泛，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越被大眾關(guān)注。近幾年頻繁發(fā)生的重大黑客事件，金融圈發(fā)生多起信用卡個(gè)人信息泄漏事故，通信公司的用戶個(gè)人信息也被攻擊。個(gè)人隱私安全越來(lái)越受到威脅，尤其是大學(xué)校園網(wǎng)絡(luò)這種大量個(gè)人信息及重要信息密集存儲(chǔ)的系統(tǒng)，網(wǎng)絡(luò)安全問(wèn)題就顯得更為突出。因此，如何保證校園網(wǎng)絡(luò)的安全可靠則應(yīng)作為當(dāng)前高校網(wǎng)絡(luò)管理工作的重中之重。

1校園網(wǎng)絡(luò)安全存在的問(wèn)題

1.1操作系統(tǒng)安全問(wèn)題

1）客戶端存在的問(wèn)題

以筆者所在高校為例，研究發(fā)現(xiàn)大部分用于教學(xué)的主機(jī)操作系統(tǒng)是windows XP和windows 7兩種操作系統(tǒng)，由于主機(jī)本身硬件配置較低而且還要安裝大量教學(xué)用的軟件，管理員為了節(jié)約的系統(tǒng)資源，減少不必要的系統(tǒng)資源消耗，保障系統(tǒng)的流暢運(yùn)行，很少為其安裝殺毒防護(hù)軟件，甚至連操作系統(tǒng)自帶的防火墻都不開(kāi)啟，由于安裝的軟件較多相對(duì)開(kāi)放的端口也大大增加。這樣一來(lái)就造成了網(wǎng)絡(luò)中大量裸機(jī)的存在，加上各類使用者良莠不齊的安全意識(shí)，其中存在的網(wǎng)絡(luò)安全問(wèn)題可想而知。雖然，系統(tǒng)帶有還原保護(hù)卡，但是如果使用過(guò)程遭受惡意攻擊，其危害性還是不容小覷的。

2）服務(wù)器端存在的問(wèn)題

常見(jiàn)的服務(wù)器+腳本組合有：

鑒于在Linux操作系統(tǒng)上架設(shè)服務(wù)器相對(duì)比較復(fù)雜一些，大部分管理員選擇使用Windows系列的服務(wù)器，由于一些服務(wù)器安裝的比較早，一些應(yīng)用對(duì)服務(wù)版本的依賴性，管理員的疏忽等問(wèn)題，導(dǎo)致大量服務(wù)器存在使用的服務(wù)版本過(guò)低安全補(bǔ)丁安裝不及時(shí)，隨著時(shí)間的推移，會(huì)暴露出一系列針對(duì)服務(wù)器中服務(wù)版本的漏洞、錯(cuò)誤配置的漏洞等。如很早就曝出的Struts2的利用漏洞、IIS5.x/IIS6.0服務(wù)的文件解析漏洞、Apache服務(wù)的解析漏洞等，雖然針對(duì)這些服務(wù)的漏洞早已給出解決方案，但是由于種種原因在一些服務(wù)器中至今仍能經(jīng)常發(fā)現(xiàn)這些漏洞的身影。

1.2 web應(yīng)用安全問(wèn)題

1） 配置問(wèn)題

很多網(wǎng)站由于管理員比較懶或者安全意識(shí)比較薄弱，在本來(lái)不該給予寫(xiě)權(quán)限的地方給予了寫(xiě)權(quán)限；后臺(tái)密碼不符合安全標(biāo)準(zhǔn)，默認(rèn)口令、弱口令依然是密碼安全的重要威脅，常見(jiàn)后臺(tái)弱口令如：admin/admin、admin/admin888、admin/123456、manager/manager等；由于對(duì)上傳文件類型未過(guò)濾或者過(guò)濾機(jī)制不嚴(yán)，導(dǎo)致惡意用戶可以上傳腳本文件，通過(guò)上傳文件可達(dá)到控制網(wǎng)站權(quán)限的目的；默認(rèn)文件未刪除，導(dǎo)致信息泄露等。這些問(wèn)題都只是其中的冰山一角。

2）應(yīng)用程序編碼問(wèn)題

由于應(yīng)用程序開(kāi)發(fā)人員的水平所限，應(yīng)用程序在開(kāi)發(fā)的過(guò)程就已經(jīng)帶有安全隱患了。例如，應(yīng)用程序中使用動(dòng)態(tài)拼接的sql語(yǔ)句、頁(yè)面異常信息（錯(cuò)誤信息）處理不當(dāng)、未判斷變量傳入合法性等造成的sql注入漏洞；未做容錯(cuò)處理，導(dǎo)致信息泄露等。

1.3管理規(guī)范問(wèn)題

由于網(wǎng)絡(luò)管理人員的安全意識(shí)淡薄和專業(yè)知識(shí)水平所限，沒(méi)有關(guān)注服務(wù)器日志的習(xí)慣，只有等到出現(xiàn)了嚴(yán)重問(wèn)題才會(huì)想起瀏覽日志查看錯(cuò)誤來(lái)源，而這樣往往可能錯(cuò)過(guò)了最佳問(wèn)題排除時(shí)間；對(duì)于服務(wù)器的管理員的密碼沒(méi)有嚴(yán)格的保護(hù)機(jī)制，有些管理員為了方便甚至將整個(gè)網(wǎng)站或者服務(wù)器的所有賬戶密碼保存在本地某個(gè)文件中而且不做任何加密措施。這些都是一些嚴(yán)重的安全管理隱患，如果管理員的個(gè)人電腦遭到攻擊，很有可能所有服務(wù)器管理權(quán)限都輕松落入攻擊者手中。

2滲透測(cè)試技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用

如果要制造不錯(cuò)的盾牌，首先要研究對(duì)方的長(zhǎng)矛。同理，為了進(jìn)行防御首先要學(xué)習(xí)有關(guān)攻擊的知識(shí)。對(duì)于網(wǎng)絡(luò)安全更好的防御方法，可以通過(guò)了解惡意黑客們的攻擊手法來(lái)加固系統(tǒng)安全性能。

2.1滲透測(cè)試技術(shù)

滲透測(cè)試事實(shí)上并沒(méi)有一個(gè)明確統(tǒng)一的定義。從國(guó)外一些安全組織達(dá)成的共識(shí)來(lái)看，滲透測(cè)試是通過(guò)模擬惡意黑客的攻擊手法，來(lái)對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估 方式，這個(gè)過(guò)程會(huì)包含系統(tǒng)的任何薄弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)發(fā)現(xiàn)與分析。從而 實(shí)現(xiàn)變被動(dòng)防御為主動(dòng)防御的目的。

滲透測(cè)試的過(guò)程與其他評(píng)估方式是不同的。常用的評(píng)估方式是利用當(dāng)前已經(jīng)知道的資源信息或者其他的被測(cè)評(píng)對(duì)象，去發(fā)掘所有與之相關(guān)聯(lián)的安全問(wèn)題。滲透測(cè)試方法這是利用已經(jīng)存在的相關(guān)安全漏洞，去發(fā)掘是不是存在相對(duì)應(yīng)的資源。兩者相對(duì)比的話，滲透測(cè)試的方式更關(guān)注于安全漏洞的嚴(yán)重性，而通常的評(píng)估測(cè)試方法更注重評(píng)估結(jié)果的全面性。

2.2滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)中的各個(gè)階段

1）前期交互階段：前期交互階段通常是由滲透測(cè)試人員與要進(jìn)行滲透測(cè)試的客戶組織進(jìn)行討論，來(lái)確定滲透測(cè)試的范圍和目標(biāo)。

2）情報(bào)收集階段：在情報(bào)搜集階段，測(cè)試人員需要采用各種可能的方法來(lái)搜集將要攻擊客戶組織的所有信息，包括使用社交媒體網(wǎng)絡(luò)、Google Hacking技術(shù)、目標(biāo)系統(tǒng)踩點(diǎn)等等。

3）威脅建模階段：威脅建模主要是使用你在情報(bào)收集階段所獲取的信息，來(lái)標(biāo)識(shí)目標(biāo)系統(tǒng)上可能存在的安全漏洞與弱點(diǎn)。

4）漏洞分析階段：在漏洞分析階段，測(cè)試者將綜合從前面幾個(gè)環(huán)節(jié)中獲取到的信息，并從中分析和理解哪些攻擊途徑會(huì)是可行的。

5）滲透攻擊階段：滲透攻擊可能是在滲透測(cè)試過(guò)程中最具魅力的環(huán)節(jié)，然而在實(shí)際情況下往往沒(méi)有所預(yù)想那么“一帆風(fēng)順”，往往是“曲徑通幽”。

6）后滲透攻擊階段：后滲透攻擊階段就是從你已經(jīng)攻陷了的一些系統(tǒng)或取得域管理權(quán)限之后開(kāi)始，但離你搞定收工還有很多事情要做。后滲透攻擊時(shí)，需要投入更多的時(shí)間來(lái)確定各 種不同系統(tǒng)的用途，以及它們中不同的用戶角色，還要在難以處理的場(chǎng)景中尋找可用信息，激發(fā)靈感，并達(dá)成所設(shè)置的攻擊目標(biāo)。

7）報(bào)告階段：報(bào)告是滲透測(cè)試過(guò)程中最為重要的因素，你將使用報(bào)告文檔來(lái)交流你在滲透測(cè)試過(guò)程中做了哪些如何做的，以及最為重要的——被測(cè)系統(tǒng)如何修復(fù)你所發(fā)現(xiàn)的安全漏洞與弱點(diǎn)。

根據(jù)以上各階段的目的，可以總結(jié)歸納出如下常用的測(cè)試流程：

2.3小結(jié)

滲透測(cè)試技術(shù)說(shuō)白了就是嘗試黑客的思維與手法，對(duì)已知的網(wǎng)絡(luò)系統(tǒng)進(jìn)行模擬的攻擊測(cè)試，以此來(lái)評(píng)估該系統(tǒng)是不是存在安全問(wèn)題。在整個(gè)測(cè)試的過(guò)程中包括了對(duì)系統(tǒng)存在的任何薄弱點(diǎn)、技術(shù)缺陷或漏洞等進(jìn)行主動(dòng)的發(fā)現(xiàn)與分析，整個(gè)過(guò)程使用的是攻擊者的視角，更有利于漏洞的發(fā)現(xiàn)。

既然是基于黑客的思維和手法進(jìn)行模擬的攻擊行為，那么對(duì)系統(tǒng)的測(cè)試相對(duì)來(lái)說(shuō)會(huì)更全面更精準(zhǔn)，因?yàn)闇y(cè)試者扮演的角色可能會(huì)在任何的位置，可能是網(wǎng)絡(luò)內(nèi)部，也可能是網(wǎng)絡(luò)內(nèi)部，測(cè)試的范圍可以是系統(tǒng)、主機(jī)、應(yīng)用等任何可以利用的媒介。所不同的是，整個(gè)滲透測(cè)試過(guò)程的漏洞情況測(cè)試人員會(huì)輸出測(cè)試報(bào)告并提交給網(wǎng)絡(luò)的安全維護(hù)人員，然后維護(hù)人員即可根據(jù)測(cè)試報(bào)告對(duì)已知的安全隱患進(jìn)行逐一的排查與修復(fù)。從而達(dá)到主動(dòng)防御的目的。

利用滲透測(cè)試的方法我們收集到了大量有價(jià)值的校園網(wǎng)絡(luò)安全漏洞，這些漏洞已證實(shí)有較高的危害性。例如下面所示的部分高危漏洞信息：

3結(jié)束語(yǔ)

滲透測(cè)試技術(shù)可以通過(guò)主動(dòng)發(fā)掘目標(biāo)系統(tǒng)當(dāng)前所存在的漏洞，分析漏洞的成因并加以及時(shí)的修補(bǔ)，以達(dá)到主動(dòng)防御、防患于未然的目的。該文結(jié)合滲透測(cè)試技術(shù)和校園網(wǎng)絡(luò)存在的安全漏洞問(wèn)題，給出了測(cè)試方法以及測(cè)試結(jié)果，并針對(duì)漏洞進(jìn)行了修復(fù)，用進(jìn)攻作為最好的防守，證明滲透測(cè)試技術(shù)應(yīng)用于校園網(wǎng)絡(luò)保障校園網(wǎng)絡(luò)安全的可行性以及有效性。

參考文獻(xiàn)：

[1] 王文君，李建蒙.Web應(yīng)用安全威脅與防治[M].電子工業(yè)出版社，2013.

[2] 耿杰計(jì).算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].清華大學(xué)出版社，2013.

[3] 鐘晨鳴，徐少培.Web 前端黑客技術(shù)[M].電子工業(yè)出版社，2013.

[4] 恒盛杰.黑客攻防從入門(mén)到精通[M].機(jī)械工業(yè)出版社，2013.

[5] 諸葛建偉，陳立波，孫松柏，等.Metasploit魔鬼訓(xùn)練營(yíng)[M].機(jī)械工業(yè)出版社，2015.

[6] （美）斯托林斯 （Stallings W）.網(wǎng)絡(luò)安全基礎(chǔ)應(yīng)用與標(biāo)準(zhǔn)[M].清華大學(xué)出版社，2015.

[7] Stuart McClure 黑客大曝光[M].清華大學(xué)出版社，2013.

[8] 余朝暉，王長(zhǎng)征，趙怡程.系統(tǒng)防護(hù)網(wǎng)絡(luò)安全[M].中國(guó)鐵道出版社，2015.