顧海燕

摘要：本文研究的目的是針對目前計(jì)算機(jī)網(wǎng)絡(luò)信息安全的迫切需求，提出一些利用網(wǎng)絡(luò)安全“滲透測試”技術(shù)中存在的問題進(jìn)行分析以及解決。

關(guān)鍵詞：滲透測試；測試策略；網(wǎng)絡(luò)攻擊

引言

隨著Internet技術(shù)的發(fā)展，網(wǎng)絡(luò)在生活中地位的提升也直接導(dǎo)致其存在一定的危險(xiǎn)性，自身存在的脆弱性以及外界帶來的威脅性，存在的漏洞可能帶來更為危險(xiǎn)的安全隱患。而作為網(wǎng)絡(luò)安全測評的工作人員來說，“滲透測試”是不可缺少的部分。

“滲透測試”是發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅比較好的手段。在國外，對于滲透性測試的研究以美國為代表的信息化發(fā)達(dá)國家早已經(jīng)起步，幾乎可以影響著全世界在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估領(lǐng)域的概念、觀念和理念。目前我們國家的網(wǎng)絡(luò)中Web系統(tǒng)結(jié)構(gòu)十分復(fù)雜，所開發(fā)出來的app也各不相同，故而必須對滲透性測試方法和手段進(jìn)行研究，這樣才能適應(yīng)網(wǎng)絡(luò)安全滲透性測試的需求，建立可信的信息化工作體系。根據(jù)OWASP提出的前十大安全風(fēng)險(xiǎn)列表，并根據(jù)實(shí)際項(xiàng)目經(jīng)驗(yàn)深入分析了網(wǎng)絡(luò)安全常見的高風(fēng)險(xiǎn)漏洞，設(shè)計(jì)了整個(gè)滲透測試的流程，并詳細(xì)介紹了各個(gè)流程內(nèi)容。同時(shí)，本文研究了滲透測試存在的問題以及對于問題分析和給予解決方案。在文章的最后整理出對于“滲透測試”的報(bào)告模板。

滲透測試技術(shù)是最近幾年興起的一種網(wǎng)絡(luò)安全測試技術(shù)，是一個(gè)相對較新的研究領(lǐng)域，近幾年在國際上也慢慢引起了關(guān)注。相比以前傳統(tǒng)的安全性的測試技術(shù)，如端口掃描和漏洞掃描技術(shù)，滲透測試的測試深度更深，其結(jié)果對于被測試的網(wǎng)絡(luò)安全性的評估更有價(jià)值。

1網(wǎng)絡(luò)安全“滲透測試”中存在的問題與原因分析

1.1 存在安全系統(tǒng)防護(hù)，導(dǎo)致測試不成功

漏洞攻擊防護(hù)：網(wǎng)站安全防護(hù)目前可攔截常見的web漏洞攻擊，例如SQL注入、XSS跨站、獲取敏感信息、利用開源組件漏洞的攻擊等常見的攻擊行為。

網(wǎng)站安全防護(hù)（WAF）基于對http請求的分析，如果檢測到請求是攻擊行為，則會(huì)對請求進(jìn)行阻斷，不會(huì)讓請求到業(yè)務(wù)的機(jī)器上去，提高業(yè)務(wù)的安全性，為web應(yīng)用提供實(shí)時(shí)的防護(hù)。

1.2 用戶名、密碼經(jīng)過Md5編碼，不能破譯

MD5即Message-Digest Algorithm 5（信息-摘要算法5），用于確保信息傳輸完整一致。是計(jì)算機(jī)廣泛使用的雜湊算法之一（又譯摘要算法、哈希算法），主流編程語言普遍已有MD5實(shí)現(xiàn)。將數(shù)據(jù)（如漢字）運(yùn)算為另一固定長度值，是雜湊算法的基礎(chǔ)原理。如果存在該類問題就不能直接使用工具解開md5，。

1.3 無法找到后臺地址

通過網(wǎng)站管理后臺，可以有效的管理網(wǎng)站供瀏覽者查閱的信息。網(wǎng)站的后臺通常需要帳號及密碼等信息的登陸驗(yàn)證，登陸信息正確則驗(yàn)證而后進(jìn)入網(wǎng)站后臺的管理界面進(jìn)行相關(guān)的一系列操作。

未發(fā)現(xiàn)網(wǎng)站首頁有后臺鏈接、后臺鏈接地址管理員設(shè)置的路徑比較生僻字典掃不到、后臺管理地址被IP限制鏈接

出現(xiàn)這問題的原因主要是因?yàn)榫W(wǎng)站管理員的安全意識比較強(qiáng)，可以經(jīng)過改掉默認(rèn)后臺的物理路徑。

1.4 無法上傳非圖片類型文件

針對目標(biāo)站點(diǎn)圖片上傳時(shí)，目標(biāo)站點(diǎn)對上傳文件類型進(jìn)行限制，無法上傳非圖片類型文件（jpg、gif、png等）的問題，解決的方法有以下兩點(diǎn)：

1、可能是上傳的圖片大小比上傳限制標(biāo)準(zhǔn)的大小要大

2、在滲透測試過程中上傳木馬一般選用的文件格式為asp、php、jsp等，一般管理員做了安全策略，對該幾種格式進(jìn)行了限制。

2 解決對策

2.1 簡單編碼繞過

比如WAF檢測關(guān)鍵字，那么我們讓他檢測不到就可以了。比如檢測union，那么我們就用%55也就是U的16進(jìn)制編碼來代替U，union寫成 %55nION，結(jié)合大小寫也可以繞過一些WAF，你可以隨意替換一個(gè)或幾個(gè)都可以。

2.2 暴力破解

通過前期滲透測試做的準(zhǔn)備信息收集，將收集到的信息寫成一個(gè)字典，利用暴力破解工具可能會(huì)爆破出賬號以及密碼，但是這樣的幾率也是比較小的。

2.3 字典查找法

關(guān)于滲透測試，信息的收集是必要的步驟，把一些上傳的地址，后臺地址、表段記錄下來，是有好處的也可以去下些別人收集的字典，配合wwwscan 啊D 黑客動(dòng)畫巴明小子旁注之類的工具去掃描，不過成功機(jī)率不是很高（一般管理都是根據(jù)自己的習(xí)慣亂寫的） 當(dāng)然掃下總有好處的，說不定就會(huì)掃到后臺或上傳路徑。

2.4 抓包

通過burpsuite抓包截?cái)喾治?，然后修改上傳文件類型，從而達(dá)到繞過文件上傳限制，得到目標(biāo)站點(diǎn)的webshell，從而控制系統(tǒng)有些可以直接在網(wǎng)站管理后臺修改上傳圖片類型

結(jié)論

從文中分析可以看出，由于“滲透測試”這一門技術(shù)還處在日益成熟的發(fā)展道路上，在測試過程中還存在很多的問題需要得到完善。

滲透測試作為一種重要的主動(dòng)式網(wǎng)絡(luò)安全防御工具，正日益得到國內(nèi)外眾多網(wǎng)絡(luò)安全機(jī)構(gòu)和用戶的關(guān)注，理論和應(yīng)用研究都得到了很大的發(fā)展。滲透測試的發(fā)展還需要更多的專業(yè)人士積極地參與研究，使之正規(guī)化、模型化，促進(jìn)滲透測試的發(fā)展，使?jié)B透測試在我國的網(wǎng)絡(luò)安全建設(shè)過程中起到更加重要的作用。

參考文獻(xiàn)：

[1]王頡，何勇亮，林恒輝.2010年OWASP基金會(huì).OWASP安全編碼規(guī)范參考.Creative Commons Attribution ShareAlike 3.0 license

[2]（美）哈里斯（Harris，S.），（美）哈珀（Harper，A.），郭旭. 灰帽攻擊安全手冊.清華大學(xué)出版社，2007

[3]網(wǎng)絡(luò)掃描技術(shù)揭秘.機(jī)械工業(yè)出版社.2012

[4]陳明照.網(wǎng)站滲透測試實(shí)戰(zhàn)入門.機(jī)械工業(yè)出版社.2015

[5]（美）麥肯蘭勃.網(wǎng)絡(luò)安全評估.中國電力出版社.2006

[6]吳亞非，李新友，祿凱.信息安全風(fēng)險(xiǎn)評估.清華大學(xué)出版社.2007

[7]姚軍，姚明.滲透測試實(shí)踐指南：必知必會(huì)的工具與方法. The Basics of Hacking and Penetratio.機(jī)械工業(yè)出版社.2014

[8]彼得·基姆 （Peter Kim）.黑客秘笈：滲透測試實(shí)用指南. 人民郵電出版社； 第1版 （2015年7月1日）

[9]（美）James Broad / Andrew Bindner. kali滲透測試技術(shù)實(shí)戰(zhàn).IDF實(shí)驗(yàn)室.2014

[10]鐘晨鳴，徐少培.web前端黑客技術(shù)揭秘.電子工業(yè)出版社.2013

[11]吳瀚清.白帽子講web安全.電子工業(yè)出版社.2012

[12]網(wǎng)絡(luò)安全專家. 網(wǎng)絡(luò)滲透攻擊及安防修煉.電子工業(yè)出版社.2009

[13]李均. 網(wǎng)絡(luò)滲透測試.電子工業(yè)出版社.2007

[14]諸葛建偉 王珩 孫松柏. metasploit滲透測試指南.電子工業(yè)出版社

[15]安全之路——Web滲透技術(shù)及實(shí)戰(zhàn)案例解析（第2版）.電子工業(yè)出版社