范 晶，焦運良，戴貽康

(華北計算機系統(tǒng)工程研究所，北京100083)

0 引言

互聯(lián)網(wǎng)中Web 應(yīng)用所產(chǎn)生的漏洞數(shù)量越來越多， 使得每年發(fā)生的黑客攻擊案件也在逐年增長[1]。為了保障網(wǎng)絡(luò)或系統(tǒng)的信息安全，在系統(tǒng)投入應(yīng)用之前都會對其進行滲透測試。滲透測試模擬黑客或者入侵者的攻擊行為，繞過或破壞目標(biāo)系統(tǒng)的安全防護并獲得一定的系統(tǒng)權(quán)限，在此過程中檢測系統(tǒng)漏洞或病毒并給出修復(fù)建議，從而分析與評估系統(tǒng)的安全等級。 通常使用的滲透測試工具有WVS、AppScan、Nessus 等， 這些工具測試時存在自動化水平低、 測試流量太大以及漏洞發(fā)現(xiàn)率較低等缺點?；诖耍疚脑O(shè)計一個基于TrackRay 的滲透測試平臺，功能強大，便于搭建，并且可以靈活地編寫插件快速實現(xiàn)Web 安全漏洞檢測。

1 Web 服務(wù)器與漏洞

1.1 Web 服務(wù)器

Web 服務(wù)器概念較為廣泛，一般是指網(wǎng)站服務(wù)器，運行于計算機上的服務(wù)程序，可以向Web 客戶端(如瀏覽器)提供文檔或者信息瀏覽服務(wù)[2]。 Web服務(wù)器主要是以HTTP 協(xié)議(請求-響應(yīng)協(xié)議)進行通信，所以也被稱為HTTP 服務(wù)器[3]。

Web 服務(wù)器的工作過程主要分為建立連接、發(fā)送請求、應(yīng)答和關(guān)閉連接四個步驟。 客戶端(包括瀏覽器和其他應(yīng)用程序)通過TCP/IP 協(xié)議(傳輸控制協(xié)議/網(wǎng)絡(luò)協(xié)議)建立和服務(wù)器的TCP 連接，通過打開虛擬文件socket 可以確認(rèn)是否連接成功；當(dāng)成功建立起連接后，客戶端向服務(wù)器發(fā)送基于HTTP 協(xié)議的用戶請求；服務(wù)器接收到請求后，經(jīng)過查詢與處理， 向客戶機發(fā)送基于HTTP 協(xié)議的回應(yīng)， 如果請求的網(wǎng)絡(luò)地址中包含有動態(tài)語言(如ASP，PHP，JSP等語言)的內(nèi)容，那么服務(wù)器端將會使用相應(yīng)動態(tài)語言的解釋引擎處理內(nèi)容，并將處理后的數(shù)據(jù)發(fā)送給客戶端，客戶端接收到服務(wù)器發(fā)回的數(shù)據(jù)后將信息顯示在窗口中；最后，當(dāng)發(fā)出的響應(yīng)結(jié)束后，Web服務(wù)器便與客戶端斷開，關(guān)閉連接。 具體的工作原理圖如圖1 所示。

1.2 漏洞

一般來說，如果在一個信息系統(tǒng)中存在某種問題，這種問題可能存在于設(shè)計、實現(xiàn)、運維等過程中，使得系統(tǒng)發(fā)生某種安全風(fēng)險， 如對系統(tǒng)的機密性、完整性、可用性產(chǎn)生泄露和破壞，那么此問題就可以統(tǒng)稱為漏洞[4]。 從目前存在的系統(tǒng)漏洞來看，操作系統(tǒng)漏洞是遠(yuǎn)遠(yuǎn)少于應(yīng)用程序漏洞的，絕大多數(shù)的漏洞類型屬于Web 服務(wù)器中的應(yīng)用程序漏洞[5]。其中Web 應(yīng)用程序漏洞又可以劃分為SQL 注入漏洞、文件上傳漏洞、跨站腳本攻擊等。

1.2.1 SQL 注入漏洞

SQL(結(jié)構(gòu)化查詢語言)注入攻擊是黑客針對數(shù)據(jù)庫進行攻擊的常見方式，通過在Web 表單或Web鏈接中插入SQL 查詢語句，欺騙服務(wù)器執(zhí)行攻擊者所插入的SQL 查詢語句[6]。 具體來說，SQL 注入攻擊利用服務(wù)器中運行的Web 應(yīng)用程序，將攻擊者編寫的SQL 查詢語句提交到到網(wǎng)站后臺執(zhí)行，然后返回給前臺頁面被SQL 注入攻擊的查詢結(jié)果。如果網(wǎng)站存在SQL 注入漏洞，攻擊者就可以通過輸入惡意SQL 查詢語句改變原先SQL 查詢語句的結(jié)構(gòu)，從而改變用戶真正所需的查詢結(jié)果。

有兩種情況可以產(chǎn)生SQL 注入漏洞，一種是平臺層的配置錯誤或數(shù)據(jù)庫本身存在漏洞所導(dǎo)致的，還有一種是由于程序編寫者對輸入未進行過濾，或者在拼接SQL 注入字符串時沒有采用固定的結(jié)構(gòu)，從而執(zhí)行了非法的數(shù)據(jù)查詢。 因此，可以采用預(yù)編譯語句固定SQL 語句結(jié)構(gòu)，預(yù)先對外部輸入進行檢測、過濾等操作，以確保數(shù)據(jù)庫引擎所執(zhí)行的邏輯是未被篡改的。

1.2.2 文件上傳漏洞

在現(xiàn)代的Web 應(yīng)用程序中， 為了提高業(yè)務(wù)效率， 共享文件，Web 應(yīng)用程序一般都擁有允許用戶上傳文件的入口，雖然這種入口為用戶提供了很大的便利，但也給惡意用戶打開一扇門。 Web 應(yīng)用程序中這種上傳入口越多，服務(wù)器所面臨的風(fēng)險也就越大。 如果Web 程序?qū)ι蟼鞯奈募]有進行仔細(xì)的過濾和轉(zhuǎn)化，惡意用戶就有可能上傳對服務(wù)器有危害的腳本文件，執(zhí)行違法操作，如獲得服務(wù)器目錄和文件、獲得服務(wù)器數(shù)據(jù)庫訪問權(quán)限、對企業(yè)內(nèi)網(wǎng)進行掃描操作等[7]。 這些操作將會導(dǎo)致整個網(wǎng)站癱瘓和安全信息泄露，使用戶遭受嚴(yán)重的損失。

造成文件上傳漏洞的原因有多種情況，包括未對上傳文件的后綴名(擴展名)做嚴(yán)格檢查與限制；未對上傳文件的用戶權(quán)限進行限制； 以及Web 服務(wù)器對于上傳文件或者指定目錄的行為未做一定的限制等。 因此，對上傳文件的擴展名的合法性進行檢查，分析文件內(nèi)容、檢測文件類型的合法性和限制Web 服務(wù)器對于特定類型文件的操作， 可以減少發(fā)生文件上傳漏洞的可能性。

1.2.3 跨站腳本攻擊

圖1 Web 服務(wù)器工作原理

跨站腳本攻擊(Cross Site Scripting，XSS)，是指攻擊者利用網(wǎng)站漏洞惡意盜取用戶私人信息的行為。攻擊者一般通過XSS 漏洞將惡意腳本代碼注入到網(wǎng)站頁面鏈接中，并很好地偽裝成合法鏈接，當(dāng)用戶不小心點開鏈接后，信息便被泄露出去[8]。 XSS漏洞曾在安全領(lǐng)域中未受到足夠的重視，認(rèn)為其危害小可以忽略，但是隨著Web 應(yīng)用的普及和復(fù)雜性的提升，以及在擁有大量用戶的企業(yè)或網(wǎng)站受到越來越多的XSS 攻擊之后，XSS 漏洞也被重視起來。攻擊者可以通過XSS 漏洞規(guī)避網(wǎng)站的訪問控制權(quán)限，從而控制用戶在瀏覽器上的行為，記錄和讀取用戶的網(wǎng)站密碼等私人信息。

跨站腳本攻擊主要分為持久性跨站腳本攻擊和非持久性跨站腳本攻擊。持久性跨站腳本攻擊所依賴的數(shù)據(jù)會存儲在服務(wù)器數(shù)據(jù)庫或文件中，在數(shù)據(jù)被清除或漏洞被修復(fù)之前會一直存在。而非持久性跨站腳本攻擊是一次性的，僅在當(dāng)前訪問的鏈接或頁面中發(fā)揮作用， 如果頁面被關(guān)閉或者鏈接跳轉(zhuǎn)，那么這次攻擊的數(shù)據(jù)就會消失。 防御XSS 的關(guān)鍵就是在輸入不可信數(shù)據(jù)的時候進行合法編碼，對外部數(shù)據(jù)進行檢查、過濾等操作，并且考慮到不同瀏覽器之間的兼容情況應(yīng)設(shè)置不同的過濾規(guī)則；在將來自外部的數(shù)據(jù)插入到網(wǎng)站頁面中時，對外部數(shù)據(jù)進行超文本標(biāo)記語言實體編碼，以規(guī)避不合法的腳本在瀏覽器中解析運行。

2 滲透測試平臺設(shè)計

TrackRay 是一個開源的插件化滲透測試平臺，集成有Metasploit、Nmap、SQLmap、AWVS 等知名安全工具，并內(nèi)置漏洞掃描器，可實現(xiàn)安全漏洞掃描功能。 主體使用Java 編寫，支持Java、Python、JSON 等多種方式編寫插件，從而可以方便靈活地根據(jù)自己的需求來編寫和調(diào)用不同類型的插件，實現(xiàn)快速安全漏洞檢測。

2.1 平臺搭建

首先安裝TrackRay 依賴環(huán)境，JDK1.8 和Maven是必須安裝的， 保證系統(tǒng)能夠執(zhí)行java-version 和mvn-verson。 同時安裝Metasploit、AWVS、Python 2.7和Nmap 等安全檢測工具，以實現(xiàn)Web 安全漏洞檢測。

整個平臺的搭建步驟如下所示。

(1)手動啟動AWVS 服務(wù)，登錄后臺生成一個安全的API 密碼。 復(fù)制此密鑰和AWVS 地址，以便進行密鑰和地址修改。

(2) 找到Python 的數(shù)據(jù)庫目錄， 修改python.package.path 參數(shù)，如圖2 所示。

圖2 修改Python 參數(shù)

(3)安裝Maven 后找到倉庫位置，一般在settings.xml 里配置指定倉庫目錄，并在當(dāng)前目錄下生成一個.m2 的目錄，并修改相應(yīng)參數(shù)，如圖3 所示。

圖3 修改Maven 參數(shù)

(4)Ceye.io 下注冊一個賬號， 記錄下分配到的域名和TOKEN，并修改配置文件，這是為DNSLOG回顯檢測漏洞時使用的，注冊頁面如圖4 所示。

圖4 注冊賬號

(5)啟動msf 和sqlmapapi 控制臺函數(shù)，以便進行插件調(diào)用。 在相應(yīng)的metasploit 和sqlmap 目錄下分別執(zhí)行，成功執(zhí)行后修改配置文件，如圖5 所示。

圖5 配置文件修改

(6)編譯打包程序，不同系統(tǒng)下的執(zhí)行命令不一樣：Windows 下運行package.bat；Linux 下運行package.sh。等待下載完成和程序編譯完成，若是此過程中未出現(xiàn)問題則會提示BUILD SUCESS，如圖6 所示。

(7)編譯成功后在當(dāng)前目錄下打包一個trackray.jar程序， 也就是TrackRay 的主程序， 接著直接執(zhí)行start.bat 或者startup.sh，就可以啟動該項服務(wù)。 沒有拋出異?；駿RROR 日志，則表示訪問8080 端口正常。 服務(wù)列表如圖7 所示。

圖6 編譯成功

至此，整個平臺搭建完成。 接下來通過調(diào)用服務(wù)或者調(diào)用相應(yīng)編寫好的插件， 便可以實現(xiàn)Web安全漏洞檢測。 本平臺支持多種語言編寫插件，并且插件類型豐富，可根據(jù)自己的需要靈活編寫。

2.2 插件編寫與調(diào)用

本平臺支持多種插件類型，包括：爬蟲插件、內(nèi)部插件、獨立應(yīng)用插件、漏洞掃描插件、交互式插件等。 其中漏洞掃描插件是本文研究的重點。

在創(chuàng)建掃描任務(wù)時，勾選“漏洞攻擊模塊”，便可以調(diào)用漏洞掃描插件，主要有獨立插件、漏洞規(guī)則和kunpeng JSON 插件三種。

獨立插件可以根據(jù)自己的需要進行編寫，給定requests、target 和task 參數(shù)，再調(diào)用check()和attack()等抽象方法重寫漏洞插件規(guī)則，以檢測出漏洞。 本平臺采用簡單的判斷響應(yīng)體就能夠識別出大多數(shù)漏洞， 因而相較于其他檢測工具的方法效率更高。kunpeng JSON 是一個Go 語言編寫的poc 測試平臺，只需按照該插件的格式規(guī)范創(chuàng)建一個JSON 文件到/resources/json 目錄下，便可以進行插件的調(diào)用。

圖7 服務(wù)列表

在進行插件調(diào)用時，本平臺提供一個簡單友好的MSF 控制臺界面，只需簡單地輸入命令行，便可以有效地執(zhí)行命令，調(diào)用插件，以及直觀地觀察執(zhí)行后的結(jié)果。 MSF 控制臺如圖8 所示。

圖8 MSF 控制臺

在圖8 中的首行msf＞＞后面輸入下面的第一行插件服務(wù)命令后，平臺便開始調(diào)用和執(zhí)行相應(yīng)的插件，并將結(jié)果直接反饋回控制臺，運行的結(jié)果如圖9所示，可以直觀形象地觀察到檢測結(jié)果。

3 滲透試驗測試

對一臺主機的端口和Web 瀏覽器作為測試對象， 提供該主機的IP 或域名作為測試對象輸入，圖10 是本平臺進行滲透測試實驗的流程圖。

圖9 MSF 執(zhí)行結(jié)果

圖10 試驗測試流程圖

首先進行TrackRay 的系統(tǒng)平臺環(huán)境搭建，即設(shè)置各種參數(shù)；接著輸入目標(biāo)的IP 或者域名，即輸入測試對象；對此IP 或域名進行端口掃描操作，掃描操作默認(rèn)為收集目標(biāo)的詳細(xì)信息，包括各個端口的開放情況、 開放的端口所使用的服務(wù)以及服務(wù)版本、目標(biāo)主機所運行的操作系統(tǒng)類型以及可能的版本。 在掃描結(jié)束之后，此模塊會將掃描結(jié)果存儲在一個XML 文件中，以供后續(xù)步驟的分析。 在判斷調(diào)用插件的規(guī)則后，若目標(biāo)運行了Web 服務(wù)，便進行漏洞檢測， 同樣是只需在MSF 控制臺輸入相應(yīng)的調(diào)用命令，便可以記住相應(yīng)的插件操作。 同時將漏洞檢測結(jié)果以報告的形式直觀地顯示出來。若是目標(biāo)并沒有運行Web 服務(wù)， 則跳過此漏洞檢測步驟而報告端口的掃描結(jié)果。

為了測試本文基于TrackRay 的滲透測試平臺對于檢測Web 服務(wù)網(wǎng)站的安全漏洞效果，搭建起一個帶有漏洞的網(wǎng)站站點(192.168.1.21)，使用較為流行的開源博客系統(tǒng)WordPress 搭建，在搭建過程中，放入兩個漏洞弱點，其一是后臺弱口令弱點，另一個弱點是文件內(nèi)容讀取漏洞。使用Nessus 掃描工具和本文設(shè)計的滲透測試平臺對網(wǎng)站的安全性進行驗證，實驗結(jié)果如圖11 所示。

圖11 Nessus 掃描結(jié)果

首先搭建起Nessus 的掃描環(huán)境，雖然花費的時間并不是很久(半小時左右)，但是從Nessus 的掃描結(jié)果中可以看出：Nessus 只報告了關(guān)于中間版本和PHP 版本的漏洞，而預(yù)先放置的兩個漏洞都沒有檢測出來。

圖12 是對本文設(shè)計的滲透測試平臺進行測試試驗得出的結(jié)果。

圖12 基于TrackRay 的滲透測試平臺的測試結(jié)果

首先搭建本文的滲透測試平臺，只需二十分鐘左右便可以搭建完成，而進行整個試驗的運行時間也是在十分鐘以內(nèi)，故相對而言本文的滲透測試平臺簡單易用。 再看檢測結(jié)果可知： 使用poc_2014_0216 驗證子程序?qū)δ繕?biāo)系統(tǒng)進行漏洞驗證，最終檢測出弱口令和文件內(nèi)容讀取漏洞，優(yōu)于Nessus 掃描工具檢測結(jié)果。

4 結(jié)論

Web 網(wǎng)頁或者信息系統(tǒng)的安全漏洞的驗證與修復(fù)一直是網(wǎng)絡(luò)安全研究中的重要問題。本文重點介紹如何搭建起基于TrackRay 的滲透測試平臺，并且重點說明了該平臺的簡便實用性，以及漏洞檢測與插件的編寫支持多樣性和可移植性高。通過對主機的端口和Web 服務(wù)進行試驗測試， 最后的試驗結(jié)果也表明：本文設(shè)計的滲透測試平臺搭建簡單快捷，可以進行靈活的編寫插件，以及實現(xiàn)了快速的Web 安全漏洞檢測。