賀云龍

（海南世紀(jì)網(wǎng)安信息技術(shù)有限公司，?？?570100）

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，Web 應(yīng)用安全事件頻繁發(fā)生，黑客利用Web 安全漏洞對客戶端、服務(wù)器和數(shù)據(jù)庫等領(lǐng)域發(fā)起攻擊，出現(xiàn)用戶信息丟失、網(wǎng)頁被篡改及數(shù)據(jù)永久性破壞等安全問題，為用戶帶來嚴(yán)重?fù)p失。為保證Web 應(yīng)用系統(tǒng)安全，有必要采用滲透測試技術(shù)模擬各種攻擊方法識別Web 安全漏洞，評估系統(tǒng)安全狀態(tài)，為完善Web 安全設(shè)計方案打下基礎(chǔ)。

1 滲透測試技術(shù)概述

1.1 滲透測試概念

滲透測試技術(shù)是通過主動模擬攻擊者的思維和攻擊方式，分析評估系統(tǒng)安全漏洞、防御弱點和技術(shù)缺陷的檢測方法[1]。滲透測試技術(shù)屬于前瞻性的安全防御技術(shù)措施，能夠準(zhǔn)確識別出信息安全風(fēng)險事件，滿足系統(tǒng)安全設(shè)計需要。

1.2 滲透測試分類

1.2.1 白盒測試

測試者在對系統(tǒng)一無所知的狀態(tài)下進(jìn)行測試，測試人員要與客戶前期溝通，明確測試目標(biāo)和測試環(huán)境，從組織外部完成測試內(nèi)容。

1.2.2 黑盒測試

測試者通過模擬對被測試系統(tǒng)一無所知的狀態(tài)下進(jìn)行測試，這種測試方法更接近于真正的黑客攻擊，是當(dāng)前廣泛使用的滲透測試方法。

1.3 滲透測試手段

1.3.1 端口掃描

采用隱身掃描、UDP 掃描和TCP Null 等掃描技術(shù)搜集前期信息，鎖定主機開放端口。

1.3.2 操作系統(tǒng)探測

在搜集主機信息中，采用指紋探測技術(shù)、ICMP 技術(shù)和標(biāo)識信息探測技術(shù)等探測技術(shù)，縮小漏洞檢測范圍。

1.3.3 漏洞掃描

采用規(guī)則匹配技術(shù)掃描應(yīng)用、網(wǎng)絡(luò)和主機中的漏洞，可分為主動掃描與被動掃描2 種方式。

2 Web 應(yīng)用滲透測試技術(shù)的流程

Web 滲透測試流程主要包括信息收集、漏洞挖掘、漏洞利用、內(nèi)網(wǎng)轉(zhuǎn)發(fā)、內(nèi)網(wǎng)滲透、痕跡清除和撰寫滲透測試報告7 個環(huán)節(jié)[2]，具體應(yīng)用如下。

2.1 信息收集

信息收集包括主動信息收集和被動信息收集，主動信息收集是從Web 服務(wù)器中獲取信息，被動信息收集是從社交工具、搜索引擎等間接路徑中獲取信息。

2.1.1 獲取域名

從域名開始滲透測試，發(fā)現(xiàn)域名對應(yīng)的目標(biāo)Web 主機IP、服務(wù)器和端口等，根據(jù)收集的信息對攻擊面進(jìn)行分析。

2.1.2 查詢網(wǎng)站所有者

在收集目標(biāo)網(wǎng)站的IP 時采用Who.is 傳輸協(xié)議，在傳輸協(xié)議支持下，查出與同一域名注冊匹配的分布式業(yè)務(wù)網(wǎng)絡(luò)（DSN）記錄、域名等信息，當(dāng)獲取目標(biāo)網(wǎng)站所有者姓名、電話和電子郵箱等信息后進(jìn)行滲透測試。

2.1.3 查詢備案信息

在工業(yè)和信息化部的信息備案管理系統(tǒng)、企業(yè)信用信息公示系統(tǒng)及天眼查等系統(tǒng)中查詢域名的備案信息。

2.1.4 收集Web 服務(wù)器信息

使用dig 命令、host、dnstracer 和nslookup 等工具收集DNS 信息。當(dāng)DNS 配置不當(dāng)時，會導(dǎo)致DNS 域傳送漏洞，引發(fā)Web 網(wǎng)絡(luò)拓?fù)鋱D泄露風(fēng)險。

2.1.5 收集子域名

通過搜索引擎、Layer 子域名挖掘機、子域名猜測和Phpinfo.me 等收集子域名，發(fā)現(xiàn)安全漏洞[3]。

2.1.6 收集IP

IP 地址查詢要繞過內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN），通過網(wǎng)絡(luò)命令Ping、歷史解析記錄、二級域名和網(wǎng)站漏洞等途徑收集IP 地址，保證IP 地址的真實性。

2.1.7 查詢旁站和C 段

利用Python 查詢同一Web 服務(wù)器上的其他站點和同一網(wǎng)絡(luò)端口上的其他服務(wù)器。

2.1.8 收集服務(wù)端口

端口滲透探測采用Nmap、masscan 工具，通過Web主機開啟的服務(wù)器端口發(fā)現(xiàn)更多的安全漏洞。

2.1.9 收集網(wǎng)站架構(gòu)信息

利用Nmap、wappalyzer 和AWVS 工具對中間件、操作系統(tǒng)、腳本語言和數(shù)據(jù)庫等操作系統(tǒng)信息進(jìn)行收集；利用access、Oracle 和MySQL 數(shù)據(jù)庫對數(shù)據(jù)庫信息進(jìn)行收集；利用Apache、IIS 和Tomcat 軟件對網(wǎng)站中間件信息進(jìn)行收集；利用HTTP 消息中的header 工具、網(wǎng)頁默認(rèn)頁面對網(wǎng)站其他信息進(jìn)行收集。

2.1.10 收集敏感信息

利用搜索引擎、暴力字典枚舉目錄等工具收集敏感目錄、文件等信息，找到源碼泄露。

2.1.11 收集指紋信息

通過查看網(wǎng)頁代碼，使用云悉、bugscaner 等工具收集內(nèi)容管理系統(tǒng)指紋，在掌握指紋信息的情況下可對目標(biāo)網(wǎng)站中的CMA 信息類型進(jìn)行識別。

2.2 漏洞挖掘

以海量信息為依托，判斷網(wǎng)站是否存在漏洞，如SQL 注入、XSS 跨站腳本等，對此要采取具有針對性的探測工具，如AWVS、AppScan 等對漏洞加以探測[4]。漏洞挖掘常用的方法有工具掃描、手工檢測等。

2.2.1 工具掃描

這是一種能夠快速發(fā)現(xiàn)Web 站點中是否存在漏洞的方法，使用工具掃描漏洞的過程中，會生成有效載荷（payload），由此為漏洞分析提供便利條件。在各類掃描工具中，帶有集成掃描漏洞模塊越多的工具，其功能就越強大。工具掃描漏洞的具體方案如下：先對待掃描的目標(biāo)網(wǎng)站系統(tǒng)加以確定，選取適宜的掃描工具，掃描完畢后，對結(jié)果做輸出列表。

2.2.2 手工檢測

挖掘Web 站點內(nèi)的漏洞時，若是服務(wù)器裝有防火墻，使用工具掃描，則會在較短的時間內(nèi)頻繁訪問系統(tǒng)，這樣一來，將會造成IP 遭到攔截限制，進(jìn)而無法對Web站點內(nèi)的程序進(jìn)行訪問。對此，可以通過手工檢測的方法來挖掘漏洞。具體做法如下：①先判斷Web 站點內(nèi)是否存在SQL 注入，可以采用的判斷方法有id 參數(shù)后加單引號，或是and1=1、and1=2 回顯等；②對后臺登錄進(jìn)行檢測，看是否存在弱口令，可在后臺的登錄地址中，輸入以下指令：admin，也可嘗試使用萬能密碼登錄；③用Google語法，如site：xxx.com inurl：upload 等，查看有無編輯器[5]。

2.3 漏洞利用

當(dāng)探測到網(wǎng)站內(nèi)存在漏洞之后，可以有針對性地對漏洞加以利用。正常情況下，僅憑借單一的漏洞是無法順利獲取到網(wǎng)站的代碼執(zhí)行環(huán)境（Webshell），只有借助多個漏洞，才能獲取到網(wǎng)站的Webshell。在這一過程中，對SQLmap、AWVS 等工具加以利用，能夠達(dá)到事半功倍的效果。當(dāng)Webshell 獲取后，要對其提權(quán)，常用的提權(quán)方法有以下幾種：溢出漏洞提權(quán)、數(shù)據(jù)庫提權(quán)及第三方軟件提權(quán)等。其中數(shù)據(jù)庫提權(quán)的效果比較好，可用的數(shù)據(jù)庫類型包括SQLServer 和MySQL 等[6]。

2.4 內(nèi)網(wǎng)轉(zhuǎn)發(fā)

當(dāng)順利獲取到Webshell 之后，若是需要開展?jié)B透測試，則還要對內(nèi)網(wǎng)中主機的相關(guān)信息進(jìn)行探測，此時便需要內(nèi)網(wǎng)轉(zhuǎn)發(fā)。由于滲透測試的過程無法與內(nèi)網(wǎng)的主機實時通信，所以要利用Webshell 網(wǎng)站中的服務(wù)器，并結(jié)合proxychains 代理鏈。

2.5 內(nèi)網(wǎng)滲透

當(dāng)與內(nèi)網(wǎng)主機建立起正常的通信之后，便可開展內(nèi)網(wǎng)滲透。為對在線的內(nèi)網(wǎng)主機進(jìn)行有效的探測，要對內(nèi)網(wǎng)主機開展全面掃描，在這一過程中，可以使用Nmap，并對如下信息加以明確：開放的端口、操作系統(tǒng)等。目前，絕大多數(shù)內(nèi)網(wǎng)用戶使用的都是Windows 系統(tǒng)，在內(nèi)網(wǎng)滲透時，可以圍繞與該系統(tǒng)有關(guān)的漏洞展開，如果發(fā)現(xiàn)系統(tǒng)中存在漏洞，則可應(yīng)用Metasploit 工具完成內(nèi)網(wǎng)滲透。這樣便能夠找到域控服務(wù)器，并從中獲取到相應(yīng)的權(quán)限，進(jìn)而實現(xiàn)用戶主機的登錄。在應(yīng)用Metasploit 時，要掌握正確的流程，具體如下：先進(jìn)入到Web 框架中，選取search 命令，對系統(tǒng)中可能存在的漏洞進(jìn)行查找，使用use 模塊，并查看其中的信息，設(shè)置好攻擊荷載及相關(guān)的參數(shù)后，開始攻擊[7]。

2.6 痕跡清除

當(dāng)內(nèi)網(wǎng)滲透測試完畢后，要將測試過程殘留的痕跡全部清除，包括網(wǎng)絡(luò)痕跡和日志。掩蓋網(wǎng)絡(luò)痕跡時，可以使用多層代理，掩蓋真實的IP 地址，或是借助代理鏈工具，如proxychains 進(jìn)行掩蓋。清除系統(tǒng)日志的過程中，應(yīng)結(jié)合系統(tǒng)選取清除方式，這是因為不同的系統(tǒng)日志清除方式不同，若是選擇不當(dāng)，則無法達(dá)到清除的目的。比如Windows 操作系統(tǒng)應(yīng)將Log 文件刪除，而Linux 系統(tǒng)則需要將/var/log 下的文件刪除。

2.7 撰寫滲透測試報告

當(dāng)滲透測試完畢，并將所有的痕跡全部清除之后，便可依據(jù)測試結(jié)果，編寫相關(guān)的測試報告，結(jié)合實際情況，指出系統(tǒng)存在的漏洞情況，并根據(jù)漏洞，提出具有針對性的修補途徑。用戶便可依據(jù)報告中給出的方法，對系統(tǒng)漏洞加以修復(fù)，從而達(dá)到強化Web 信息安全的目的。

3 Web 安全防御方案設(shè)計

在運用滲透測試技術(shù)識別出Web 應(yīng)用安全漏洞后，明確Web 開發(fā)面臨的主要安全威脅，進(jìn)而針對這些安全漏洞設(shè)計出一套完整的安全防御方案，有效避免安全漏洞的產(chǎn)生，提高Web 應(yīng)用的安全性。

3.1 輸入驗證

在Web 應(yīng)用中，輸入驗證環(huán)節(jié)存在惡意輸入、未經(jīng)驗證輸入及依賴客戶端驗證等安全漏洞，針對這些輸入驗證中的安全漏洞設(shè)計以下安全防護(hù)方案：①將數(shù)據(jù)源分為可信數(shù)據(jù)源、非可信數(shù)據(jù)源，采用“白名單”策略驗證非可信數(shù)據(jù)源，去除未經(jīng)過驗證的數(shù)據(jù)。②驗證User-Agent、Cookie 和Host 等客戶端請求的參數(shù)，獲取每項驗證信息的數(shù)據(jù)類型、取值范圍和長度等信息，識別驗證數(shù)據(jù)中是否存在危險字符，采用正則表達(dá)式檢測字符，通過檢測的驗證數(shù)據(jù)列入白名單，未通過檢測的驗證數(shù)據(jù)列入黑名單。③對危險字符執(zhí)行過濾程序，包括特殊字符（＜、＞、%、&、等）、換行符（%0a、 等）及空字節(jié)（%00）等[8]。

3.2 身份驗證

在Web 應(yīng)用中，身份驗證存在允許越權(quán)賬戶、混合個人設(shè)置與身份驗證、保護(hù)憑據(jù)、使用弱密鑰和會話周期過長等安全漏洞，針對此類安全漏洞設(shè)計以下安全防護(hù)方案：①設(shè)計一次性驗證替代多步驗證，消除身份驗證環(huán)節(jié)失效風(fēng)險，并利用日志記錄身份驗證失敗信息。②在服務(wù)端進(jìn)行身份驗證，避免在客戶端設(shè)計身份驗證。③身份驗證失敗的信息提示要模糊處理（如“用戶名或密碼不正確”），不能給予精準(zhǔn)提示（如“用戶名不正確”“密碼不正確”）。④設(shè)置身份驗證失敗上限次數(shù)，當(dāng)用戶連續(xù)登陸失敗后設(shè)置用戶鎖定時間，合理確定限制登陸時間長短。⑤在用戶成功登陸后，要提示用戶上次登陸的相關(guān)信息，以便于用戶做好個人信息安全防護(hù)。

3.3 密碼管理

在Web 應(yīng)用中，用戶設(shè)置密碼過于簡單會出現(xiàn)賬號信息泄露風(fēng)險，針對此類安全漏洞設(shè)計以下安全防護(hù)方案：①設(shè)計復(fù)雜程度相對較高的用戶密碼設(shè)置要求，如密碼長度不小于8 字節(jié)，混合使用數(shù)字、字母和符號等，不得使用相同單一數(shù)字或簡單單詞作為密碼。當(dāng)用戶設(shè)置完密碼后，運用自動檢測算法判定密碼風(fēng)險高低，對高風(fēng)險密碼予以提示。②在服務(wù)器端加密存儲用戶密碼，采用哈希函數(shù)加密用戶密鑰，不得使用MD5 加密。用戶成功登錄后，對訪問數(shù)據(jù)加密處理，設(shè)定合理的加密有效期[1]。③對設(shè)置默認(rèn)密碼的Web 應(yīng)用網(wǎng)站，當(dāng)用戶首次登錄后要提示用戶修改密碼，修改后重新登錄，再次進(jìn)行身份驗證。

3.4 會話管理

在Web 應(yīng)用中，會話管理存在允許超長會話周期、未加密信息傳遞、不安全會話狀態(tài)存儲和放置會話標(biāo)識符等安全漏洞，針對此類安全漏洞設(shè)計以下安全防護(hù)方案：①采用復(fù)雜設(shè)計方法設(shè)計會話標(biāo)識符，避免出現(xiàn)偽造會話標(biāo)識符的風(fēng)險。②對Cookie 設(shè)置域和路徑，消除固定會話安全漏洞，當(dāng)用戶登錄后需設(shè)置新的Session ID，盡量縮短Session 有效期。③在每個會話請求中設(shè)計Token，通過隨機令牌防范CSRF 攻擊。④在用戶注銷賬戶時，需刪除服務(wù)器Session 信息和客戶端Cookie 信息，避免出現(xiàn)信息泄露風(fēng)險。

3.5 訪問控制

Web 部署的過程中，未對URL 訪問權(quán)限進(jìn)行有效的控制，致使攻擊者能夠以修改URL 導(dǎo)致的方式，訪問原本需要認(rèn)證授權(quán)后，才能訪問的網(wǎng)站資源，即URL 越權(quán)訪問。針對此類安全漏洞，可以通過訪問控制來加以解決，具體方案如下：①經(jīng)過授權(quán)后的用戶才能對相應(yīng)的資源進(jìn)行訪問，這是訪問控制實現(xiàn)安全目標(biāo)的關(guān)鍵，具體包括服務(wù)、數(shù)據(jù)屬性信息、程序數(shù)據(jù)、受保護(hù)的URL 及與安全相關(guān)的配置信息等。②對于驗證失敗的訪問操作，應(yīng)當(dāng)由訪問控制做安全處理，如用戶在某一個時間段內(nèi)執(zhí)行的事務(wù)頻率要加以限制，這就要求頻率閾值的設(shè)置合理可行，一方面能夠使相關(guān)的業(yè)務(wù)需求得到滿足，另一方面還要能夠防止自動攻擊。

3.6 數(shù)據(jù)庫安全

在數(shù)據(jù)庫內(nèi)存儲有大量的Web 數(shù)據(jù)，這些數(shù)據(jù)中，有一部分是用戶隱私，如果丟失，則會造成嚴(yán)重的后果。為此確保數(shù)據(jù)庫安全尤為重要。針對數(shù)據(jù)庫漏洞，可以設(shè)計如下安全防護(hù)方案：①開發(fā)人員在設(shè)計數(shù)據(jù)庫的過程中，可選用強類型的參數(shù)化查詢方式，以此來代替原本的動態(tài)SQL 語句。②庫的連接字符做加密處理。③將數(shù)據(jù)庫中非必要的默認(rèn)賬戶全部刪除，并將無用的數(shù)據(jù)庫功能關(guān)閉，由此能夠大幅度提升數(shù)據(jù)庫的安全性。

3.7 文件管理

在Web 應(yīng)用中，文件上傳存在著安全驗證缺失的隱患，造成文件管理漏洞，黑客通過攻擊漏洞獲取Webshell。針對此類安全漏洞設(shè)計以下安全防護(hù)方案：①采用白名單策略，對用戶上傳的文件類型進(jìn)行檢查和過濾，禁止不符合業(yè)務(wù)需要的文件類型上傳。文件檢查項目包括文件MIME 類型、文件后綴名和文件內(nèi)容驗證等。②分開保存Web 應(yīng)用源碼文件與上傳文件，設(shè)置文件上傳權(quán)限。③借助白名單檢查文件路徑參數(shù)，及時禁止黑客利用漏洞執(zhí)行的攻擊操作。④不允許設(shè)置絕對路徑，特別在客戶端中不可以采用絕對路徑。

3.8 日志管理

日志是程序維護(hù)與安全管理的重要手段，但是日志中易存在安全漏洞，需采用以下安全防范方案設(shè)計：①在應(yīng)用系統(tǒng)中將常用的調(diào)試錯誤頁替換為定制的錯誤頁面，防范錯誤處理中泄露賬號、ID 等私密信息。②設(shè)定日志記錄內(nèi)容，包括安全事件的失敗操作或成功防御。③設(shè)定日志禁止記錄的信息類型，如敏感信息等。④查看日志時，禁止代碼解析日志數(shù)據(jù)，采用哈希算法隨時驗證日志的完整性，及時檢測出日志被篡改的攻擊操作。

4 結(jié)束語

綜上所述，Web 應(yīng)用開發(fā)與設(shè)計要采用滲透測試技術(shù)評估Web 安全性，及時識別Web 存在的安全漏洞，剖析各類漏洞的成因，并提出解決辦法，進(jìn)而制定出完整的Web 安全防御體系。在Web 安全防御設(shè)計中，要重點做好輸入驗證、身份驗證、密碼管理、會話管理、訪問控制和數(shù)據(jù)庫的安全設(shè)計，消除黑客經(jīng)常發(fā)起攻擊的漏洞，保證Web 應(yīng)用安全。