论文部分内容阅读
摘要:本文研究的目的是针对目前计算机网络信息安全的迫切需求,提出一些利用網络安全“渗透测试”技术中存在的问题进行分析以及解决。
关键词:渗透测试;测试策略;网络攻击
引言
随着Internet技术的发展,网络在生活中地位的提升也直接导致其存在一定的危险性,自身存在的脆弱性以及外界带来的威胁性,存在的漏洞可能带来更为危险的安全隐患。而作为网络安全测评的工作人员来说,“渗透测试”是不可缺少的部分。
“渗透测试”是发现网络安全威胁比较好的手段。在国外,对于渗透性测试的研究以美国为代表的信息化发达国家早已经起步,几乎可以影响着全世界在网络安全风险评估领域的概念、观念和理念。目前我们国家的网络中Web系统结构十分复杂,所开发出来的app也各不相同,故而必须对渗透性测试方法和手段进行研究,这样才能适应网络安全渗透性测试的需求,建立可信的信息化工作体系。根据OWASP提出的前十大安全风险列表,并根据实际项目经验深入分析了网络安全常见的高风险漏洞,设计了整个渗透测试的流程,并详细介绍了各个流程内容。同时,本文研究了渗透测试存在的问题以及对于问题分析和给予解决方案。在文章的最后整理出对于“渗透测试”的报告模板。
渗透测试技术是最近几年兴起的一种网络安全测试技术,是一个相对较新的研究领域,近几年在国际上也慢慢引起了关注。相比以前传统的安全性的测试技术,如端口扫描和漏洞扫描技术,渗透测试的测试深度更深,其结果对于被测试的网络安全性的评估更有价值。
1网络安全“渗透测试”中存在的问题与原因分析
1.1 存在安全系统防护,导致测试不成功
漏洞攻击防护:网站安全防护目前可拦截常见的web漏洞攻击,例如SQL注入、XSS跨站、获取敏感信息、利用开源组件漏洞的攻击等常见的攻击行为。
网站安全防护(WAF)基于对http请求的分析,如果检测到请求是攻击行为,则会对请求进行阻断,不会让请求到业务的机器上去,提高业务的安全性,为web应用提供实时的防护。
1.2 用户名、密码经过Md5编码,不能破译
MD5即Message-Digest Algorithm 5(信息-摘要算法5),用于确保信息传输完整一致。是计算机广泛使用的杂凑算法之一(又译摘要算法、哈希算法),主流编程语言普遍已有MD5实现。将数据(如汉字)运算为另一固定长度值,是杂凑算法的基础原理。如果存在该类问题就不能直接使用工具解开md5,。
1.3 无法找到后台地址
通过网站管理后台,可以有效的管理网站供浏览者查阅的信息。网站的后台通常需要帐号及密码等信息的登陆验证,登陆信息正确则验证而后进入网站后台的管理界面进行相关的一系列操作。
未发现网站首页有后台链接、后台链接地址管理员设置的路径比较生僻字典扫不到、后台管理地址被IP限制链接
出现这问题的原因主要是因为网站管理员的安全意识比较强,可以经过改掉默认后台的物理路径。
1.4 无法上传非图片类型文件
针对目标站点图片上传时,目标站点对上传文件类型进行限制,无法上传非图片类型文件(jpg、gif、png等)的问题,解决的方法有以下两点:
1、可能是上传的图片大小比上传限制标准的大小要大
2、在渗透测试过程中上传木马一般选用的文件格式为asp、php、jsp等,一般管理员做了安全策略,对该几种格式进行了限制。
2 解决对策
2.1 简单编码绕过
比如WAF检测关键字,那么我们让他检测不到就可以了。比如检测union,那么我们就用%55也就是U的16进制编码来代替U,union写成 %55nION,结合大小写也可以绕过一些WAF,你可以随意替换一个或几个都可以。
2.2 暴力破解
通过前期渗透测试做的准备信息收集,将收集到的信息写成一个字典,利用暴力破解工具可能会爆破出账号以及密码,但是这样的几率也是比较小的。
2.3 字典查找法
关于渗透测试,信息的收集是必要的步骤,把一些上传的地址,后台地址、表段记录下来,是有好处的也可以去下些别人收集的字典,配合wwwscan 啊D 黑客动画巴明小子旁注之类的工具去扫描,不过成功机率不是很高(一般管理都是根据自己的习惯乱写的) 当然扫下总有好处的,说不定就会扫到后台或上传路径。
2.4 抓包
通过burpsuite抓包截断分析,然后修改上传文件类型,从而达到绕过文件上传限制,得到目标站点的webshell,从而控制系统有些可以直接在网站管理后台修改上传图片类型
结论
从文中分析可以看出,由于“渗透测试”这一门技术还处在日益成熟的发展道路上,在测试过程中还存在很多的问题需要得到完善。
渗透测试作为一种重要的主动式网络安全防御工具,正日益得到国内外众多网络安全机构和用户的关注,理论和应用研究都得到了很大的发展。渗透测试的发展还需要更多的专业人士积极地参与研究,使之正规化、模型化,促进渗透测试的发展,使渗透测试在我国的网络安全建设过程中起到更加重要的作用。
参考文献:
[1]王颉,何勇亮,林恒辉.2010年OWASP基金会.OWASP安全编码规范参考.Creative Commons Attribution ShareAlike 3.0 license
[2](美)哈里斯(Harris,S.),(美)哈珀(Harper,A.),郭旭. 灰帽攻击安全手册.清华大学出版社,2007
[3]网络扫描技术揭秘.机械工业出版社.2012
[4]陈明照.网站渗透测试实战入门.机械工业出版社.2015
[5](美)麦肯兰勃.网络安全评估.中国电力出版社.2006
[6]吴亚非,李新友,禄凯.信息安全风险评估.清华大学出版社.2007
[7]姚军,姚明.渗透测试实践指南:必知必会的工具与方法. The Basics of Hacking and Penetratio.机械工业出版社.2014
[8]彼得·基姆 (Peter Kim).黑客秘笈:渗透测试实用指南. 人民邮电出版社; 第1版 (2015年7月1日)
[9](美)James Broad / Andrew Bindner. kali渗透测试技术实战.IDF实验室.2014
[10]钟晨鸣,徐少培.web前端黑客技术揭秘.电子工业出版社.2013
[11]吴瀚清.白帽子讲web安全.电子工业出版社.2012
[12]网络安全专家. 网络渗透攻击及安防修炼.电子工业出版社.2009
[13]李均. 网络渗透测试.电子工业出版社.2007
[14]诸葛建伟 王珩 孙松柏. metasploit渗透测试指南.电子工业出版社
[15]安全之路——Web渗透技术及实战案例解析(第2版).电子工业出版社
关键词:渗透测试;测试策略;网络攻击
引言
随着Internet技术的发展,网络在生活中地位的提升也直接导致其存在一定的危险性,自身存在的脆弱性以及外界带来的威胁性,存在的漏洞可能带来更为危险的安全隐患。而作为网络安全测评的工作人员来说,“渗透测试”是不可缺少的部分。
“渗透测试”是发现网络安全威胁比较好的手段。在国外,对于渗透性测试的研究以美国为代表的信息化发达国家早已经起步,几乎可以影响着全世界在网络安全风险评估领域的概念、观念和理念。目前我们国家的网络中Web系统结构十分复杂,所开发出来的app也各不相同,故而必须对渗透性测试方法和手段进行研究,这样才能适应网络安全渗透性测试的需求,建立可信的信息化工作体系。根据OWASP提出的前十大安全风险列表,并根据实际项目经验深入分析了网络安全常见的高风险漏洞,设计了整个渗透测试的流程,并详细介绍了各个流程内容。同时,本文研究了渗透测试存在的问题以及对于问题分析和给予解决方案。在文章的最后整理出对于“渗透测试”的报告模板。
渗透测试技术是最近几年兴起的一种网络安全测试技术,是一个相对较新的研究领域,近几年在国际上也慢慢引起了关注。相比以前传统的安全性的测试技术,如端口扫描和漏洞扫描技术,渗透测试的测试深度更深,其结果对于被测试的网络安全性的评估更有价值。
1网络安全“渗透测试”中存在的问题与原因分析
1.1 存在安全系统防护,导致测试不成功
漏洞攻击防护:网站安全防护目前可拦截常见的web漏洞攻击,例如SQL注入、XSS跨站、获取敏感信息、利用开源组件漏洞的攻击等常见的攻击行为。
网站安全防护(WAF)基于对http请求的分析,如果检测到请求是攻击行为,则会对请求进行阻断,不会让请求到业务的机器上去,提高业务的安全性,为web应用提供实时的防护。
1.2 用户名、密码经过Md5编码,不能破译
MD5即Message-Digest Algorithm 5(信息-摘要算法5),用于确保信息传输完整一致。是计算机广泛使用的杂凑算法之一(又译摘要算法、哈希算法),主流编程语言普遍已有MD5实现。将数据(如汉字)运算为另一固定长度值,是杂凑算法的基础原理。如果存在该类问题就不能直接使用工具解开md5,。
1.3 无法找到后台地址
通过网站管理后台,可以有效的管理网站供浏览者查阅的信息。网站的后台通常需要帐号及密码等信息的登陆验证,登陆信息正确则验证而后进入网站后台的管理界面进行相关的一系列操作。
未发现网站首页有后台链接、后台链接地址管理员设置的路径比较生僻字典扫不到、后台管理地址被IP限制链接
出现这问题的原因主要是因为网站管理员的安全意识比较强,可以经过改掉默认后台的物理路径。
1.4 无法上传非图片类型文件
针对目标站点图片上传时,目标站点对上传文件类型进行限制,无法上传非图片类型文件(jpg、gif、png等)的问题,解决的方法有以下两点:
1、可能是上传的图片大小比上传限制标准的大小要大
2、在渗透测试过程中上传木马一般选用的文件格式为asp、php、jsp等,一般管理员做了安全策略,对该几种格式进行了限制。
2 解决对策
2.1 简单编码绕过
比如WAF检测关键字,那么我们让他检测不到就可以了。比如检测union,那么我们就用%55也就是U的16进制编码来代替U,union写成 %55nION,结合大小写也可以绕过一些WAF,你可以随意替换一个或几个都可以。
2.2 暴力破解
通过前期渗透测试做的准备信息收集,将收集到的信息写成一个字典,利用暴力破解工具可能会爆破出账号以及密码,但是这样的几率也是比较小的。
2.3 字典查找法
关于渗透测试,信息的收集是必要的步骤,把一些上传的地址,后台地址、表段记录下来,是有好处的也可以去下些别人收集的字典,配合wwwscan 啊D 黑客动画巴明小子旁注之类的工具去扫描,不过成功机率不是很高(一般管理都是根据自己的习惯乱写的) 当然扫下总有好处的,说不定就会扫到后台或上传路径。
2.4 抓包
通过burpsuite抓包截断分析,然后修改上传文件类型,从而达到绕过文件上传限制,得到目标站点的webshell,从而控制系统有些可以直接在网站管理后台修改上传图片类型
结论
从文中分析可以看出,由于“渗透测试”这一门技术还处在日益成熟的发展道路上,在测试过程中还存在很多的问题需要得到完善。
渗透测试作为一种重要的主动式网络安全防御工具,正日益得到国内外众多网络安全机构和用户的关注,理论和应用研究都得到了很大的发展。渗透测试的发展还需要更多的专业人士积极地参与研究,使之正规化、模型化,促进渗透测试的发展,使渗透测试在我国的网络安全建设过程中起到更加重要的作用。
参考文献:
[1]王颉,何勇亮,林恒辉.2010年OWASP基金会.OWASP安全编码规范参考.Creative Commons Attribution ShareAlike 3.0 license
[2](美)哈里斯(Harris,S.),(美)哈珀(Harper,A.),郭旭. 灰帽攻击安全手册.清华大学出版社,2007
[3]网络扫描技术揭秘.机械工业出版社.2012
[4]陈明照.网站渗透测试实战入门.机械工业出版社.2015
[5](美)麦肯兰勃.网络安全评估.中国电力出版社.2006
[6]吴亚非,李新友,禄凯.信息安全风险评估.清华大学出版社.2007
[7]姚军,姚明.渗透测试实践指南:必知必会的工具与方法. The Basics of Hacking and Penetratio.机械工业出版社.2014
[8]彼得·基姆 (Peter Kim).黑客秘笈:渗透测试实用指南. 人民邮电出版社; 第1版 (2015年7月1日)
[9](美)James Broad / Andrew Bindner. kali渗透测试技术实战.IDF实验室.2014
[10]钟晨鸣,徐少培.web前端黑客技术揭秘.电子工业出版社.2013
[11]吴瀚清.白帽子讲web安全.电子工业出版社.2012
[12]网络安全专家. 网络渗透攻击及安防修炼.电子工业出版社.2009
[13]李均. 网络渗透测试.电子工业出版社.2007
[14]诸葛建伟 王珩 孙松柏. metasploit渗透测试指南.电子工业出版社
[15]安全之路——Web渗透技术及实战案例解析(第2版).电子工业出版社