顧海燕

摘要：本文研究的目的是針對目前計算機網(wǎng)絡信息安全的迫切需求，提出一些利用網(wǎng)絡安全“滲透測試”技術(shù)中存在的問題進行分析以及解決。

關(guān)鍵詞：滲透測試；測試策略；網(wǎng)絡攻擊

引言

隨著Internet技術(shù)的發(fā)展，網(wǎng)絡在生活中地位的提升也直接導致其存在一定的危險性，自身存在的脆弱性以及外界帶來的威脅性，存在的漏洞可能帶來更為危險的安全隱患。而作為網(wǎng)絡安全測評的工作人員來說，“滲透測試”是不可缺少的部分。

“滲透測試”是發(fā)現(xiàn)網(wǎng)絡安全威脅比較好的手段。在國外，對于滲透性測試的研究以美國為代表的信息化發(fā)達國家早已經(jīng)起步，幾乎可以影響著全世界在網(wǎng)絡安全風險評估領(lǐng)域的概念、觀念和理念。目前我們國家的網(wǎng)絡中Web系統(tǒng)結(jié)構(gòu)十分復雜，所開發(fā)出來的app也各不相同，故而必須對滲透性測試方法和手段進行研究，這樣才能適應網(wǎng)絡安全滲透性測試的需求，建立可信的信息化工作體系。根據(jù)OWASP提出的前十大安全風險列表，并根據(jù)實際項目經(jīng)驗深入分析了網(wǎng)絡安全常見的高風險漏洞，設(shè)計了整個滲透測試的流程，并詳細介紹了各個流程內(nèi)容。同時，本文研究了滲透測試存在的問題以及對于問題分析和給予解決方案。在文章的最后整理出對于“滲透測試”的報告模板。

滲透測試技術(shù)是最近幾年興起的一種網(wǎng)絡安全測試技術(shù)，是一個相對較新的研究領(lǐng)域，近幾年在國際上也慢慢引起了關(guān)注。相比以前傳統(tǒng)的安全性的測試技術(shù)，如端口掃描和漏洞掃描技術(shù)，滲透測試的測試深度更深，其結(jié)果對于被測試的網(wǎng)絡安全性的評估更有價值。

1網(wǎng)絡安全“滲透測試”中存在的問題與原因分析

1.1 存在安全系統(tǒng)防護，導致測試不成功

漏洞攻擊防護：網(wǎng)站安全防護目前可攔截常見的web漏洞攻擊，例如SQL注入、XSS跨站、獲取敏感信息、利用開源組件漏洞的攻擊等常見的攻擊行為。

網(wǎng)站安全防護（WAF）基于對http請求的分析，如果檢測到請求是攻擊行為，則會對請求進行阻斷，不會讓請求到業(yè)務的機器上去，提高業(yè)務的安全性，為web應用提供實時的防護。

1.2 用戶名、密碼經(jīng)過Md5編碼，不能破譯

MD5即Message-Digest Algorithm 5（信息-摘要算法5），用于確保信息傳輸完整一致。是計算機廣泛使用的雜湊算法之一（又譯摘要算法、哈希算法），主流編程語言普遍已有MD5實現(xiàn)。將數(shù)據(jù)（如漢字）運算為另一固定長度值，是雜湊算法的基礎(chǔ)原理。如果存在該類問題就不能直接使用工具解開md5，。

1.3 無法找到后臺地址

通過網(wǎng)站管理后臺，可以有效的管理網(wǎng)站供瀏覽者查閱的信息。網(wǎng)站的后臺通常需要帳號及密碼等信息的登陸驗證，登陸信息正確則驗證而后進入網(wǎng)站后臺的管理界面進行相關(guān)的一系列操作。

未發(fā)現(xiàn)網(wǎng)站首頁有后臺鏈接、后臺鏈接地址管理員設(shè)置的路徑比較生僻字典掃不到、后臺管理地址被IP限制鏈接

出現(xiàn)這問題的原因主要是因為網(wǎng)站管理員的安全意識比較強，可以經(jīng)過改掉默認后臺的物理路徑。

1.4 無法上傳非圖片類型文件

針對目標站點圖片上傳時，目標站點對上傳文件類型進行限制，無法上傳非圖片類型文件（jpg、gif、png等）的問題，解決的方法有以下兩點：

1、可能是上傳的圖片大小比上傳限制標準的大小要大

2、在滲透測試過程中上傳木馬一般選用的文件格式為asp、php、jsp等，一般管理員做了安全策略，對該幾種格式進行了限制。

2 解決對策

2.1 簡單編碼繞過

比如WAF檢測關(guān)鍵字，那么我們讓他檢測不到就可以了。比如檢測union，那么我們就用%55也就是U的16進制編碼來代替U，union寫成 %55nION，結(jié)合大小寫也可以繞過一些WAF，你可以隨意替換一個或幾個都可以。

2.2 暴力破解

通過前期滲透測試做的準備信息收集，將收集到的信息寫成一個字典，利用暴力破解工具可能會爆破出賬號以及密碼，但是這樣的幾率也是比較小的。

2.3 字典查找法

關(guān)于滲透測試，信息的收集是必要的步驟，把一些上傳的地址，后臺地址、表段記錄下來，是有好處的也可以去下些別人收集的字典，配合wwwscan 啊D 黑客動畫巴明小子旁注之類的工具去掃描，不過成功機率不是很高（一般管理都是根據(jù)自己的習慣亂寫的） 當然掃下總有好處的，說不定就會掃到后臺或上傳路徑。

2.4 抓包

通過burpsuite抓包截斷分析，然后修改上傳文件類型，從而達到繞過文件上傳限制，得到目標站點的webshell，從而控制系統(tǒng)有些可以直接在網(wǎng)站管理后臺修改上傳圖片類型

結(jié)論

從文中分析可以看出，由于“滲透測試”這一門技術(shù)還處在日益成熟的發(fā)展道路上，在測試過程中還存在很多的問題需要得到完善。

滲透測試作為一種重要的主動式網(wǎng)絡安全防御工具，正日益得到國內(nèi)外眾多網(wǎng)絡安全機構(gòu)和用戶的關(guān)注，理論和應用研究都得到了很大的發(fā)展。滲透測試的發(fā)展還需要更多的專業(yè)人士積極地參與研究，使之正規(guī)化、模型化，促進滲透測試的發(fā)展，使?jié)B透測試在我國的網(wǎng)絡安全建設(shè)過程中起到更加重要的作用。

參考文獻：

[1]王頡，何勇亮，林恒輝.2010年OWASP基金會.OWASP安全編碼規(guī)范參考.Creative Commons Attribution ShareAlike 3.0 license

[2]（美）哈里斯（Harris，S.），（美）哈珀（Harper，A.），郭旭. 灰帽攻擊安全手冊.清華大學出版社，2007

[3]網(wǎng)絡掃描技術(shù)揭秘.機械工業(yè)出版社.2012

[4]陳明照.網(wǎng)站滲透測試實戰(zhàn)入門.機械工業(yè)出版社.2015

[5]（美）麥肯蘭勃.網(wǎng)絡安全評估.中國電力出版社.2006

[6]吳亞非，李新友，祿凱.信息安全風險評估.清華大學出版社.2007

[7]姚軍，姚明.滲透測試實踐指南：必知必會的工具與方法. The Basics of Hacking and Penetratio.機械工業(yè)出版社.2014

[8]彼得·基姆 （Peter Kim）.黑客秘笈：滲透測試實用指南. 人民郵電出版社； 第1版 （2015年7月1日）

[9]（美）James Broad / Andrew Bindner. kali滲透測試技術(shù)實戰(zhàn).IDF實驗室.2014

[10]鐘晨鳴，徐少培.web前端黑客技術(shù)揭秘.電子工業(yè)出版社.2013

[11]吳瀚清.白帽子講web安全.電子工業(yè)出版社.2012

[12]網(wǎng)絡安全專家. 網(wǎng)絡滲透攻擊及安防修煉.電子工業(yè)出版社.2009

[13]李均. 網(wǎng)絡滲透測試.電子工業(yè)出版社.2007

[14]諸葛建偉 王珩 孫松柏. metasploit滲透測試指南.電子工業(yè)出版社

[15]安全之路——Web滲透技術(shù)及實戰(zhàn)案例解析（第2版）.電子工業(yè)出版社