◆陳志偉

（福建林業(yè)職業(yè)技術(shù)學(xué)院 福建 353000）

滲透技術(shù)是以模仿攻擊者入侵的手段及方法來檢測網(wǎng)絡(luò)是否健壯可靠的測試技術(shù)，該技術(shù)一方面從白盒測試的路徑全覆蓋考慮，另一方面以黑盒測試的功能性目的考慮，分析測試網(wǎng)站的缺陷及可能存在的弱點(diǎn)，并嘗試?yán)眠@些弱點(diǎn)實(shí)施入侵的行為過程，以此評估可能存在的風(fēng)險(xiǎn)及等級[1]。由于滲透技術(shù)具有精度高、效率快等優(yōu)點(diǎn)，已經(jīng)被廣泛應(yīng)用到系統(tǒng)、程序、應(yīng)用等安全檢測中，并取得了一定的應(yīng)用成就。以此對Web 滲透實(shí)例分析與實(shí)踐進(jìn)行了深入研究，為滲透技術(shù)在Web 中的應(yīng)用提供理論依據(jù)。

1 Web 滲透實(shí)例分析

Web 中存在多種安全隱患，經(jīng)常受到網(wǎng)絡(luò)攻擊，其中包括注入漏洞、失效身份認(rèn)證、跨網(wǎng)站腳本（XSS）、信息外泄漏洞、偽造跨網(wǎng)站請求（CSRF）等，具體說明如表1 所示。

表1 Web 安全隱患及漏洞列表

危險(xiǎn)對象直接引用 Web 開發(fā)人員暴露對內(nèi)實(shí)現(xiàn)對象引用，比如xml、database 等 Web 在沒有訪問控制檢測或其他保護(hù)時(shí)，黑客會操控暴露的引用去訪問Web未授權(quán)數(shù)據(jù) 配置類漏洞 安全配置錯(cuò)誤 屬于網(wǎng)頁漏洞 由于Web 網(wǎng)站默認(rèn)值不安全而導(dǎo)致 信息外泄漏洞 信息包括用戶名、口令等敏感性數(shù)據(jù) 黑客運(yùn)用不正當(dāng)手段進(jìn)入Web 中對敏感數(shù)據(jù)進(jìn)行竊取形成攻擊行為 功能級訪問控制失效 應(yīng)用程序功能級訪問控制無效 服務(wù)器端執(zhí)行相同的訪問控制檢查測量，為Web 攻擊者提供便利條件 偽造跨網(wǎng)站 請 求（CSRF） 攻擊者將偽造的跨網(wǎng)站請求發(fā)送到Web 上 Web 自身存在某些漏洞，偽造的請求會被認(rèn)為是合法請求造成Web 攻擊 使用含已知漏洞的組件 Web 上某些程序使用帶有已知漏洞的組件 攻擊者利用已知漏洞，對Web 進(jìn)行一系列攻擊 未驗(yàn)證定向和轉(zhuǎn)發(fā) Web 將用戶定向和轉(zhuǎn)發(fā)到位置網(wǎng)頁中進(jìn)行驗(yàn)證 攻擊者利用特定用戶到惡意網(wǎng)站或使用轉(zhuǎn)發(fā)去訪問未授權(quán)的頁面

依據(jù)表1 Web 安全隱患及漏洞列表中的問題，對Web 進(jìn)行滲透測試實(shí)例分析，在整個(gè)Web 滲透測試過程中采用掃描、抓包及代碼審查等方法，使用Fluxy、X-Scan、Wireshark、Burpsuite、Sniffer 及Python IDLE 等工具，測試分析某醫(yī)療Web 是否存在上文提出的安全隱患及漏洞。為便于歸納總結(jié)，將發(fā)現(xiàn)的安全隱患和漏洞分類加以分析，側(cè)重于從注入類漏洞、腳本類漏洞和配置類漏洞三個(gè)角度對滲透實(shí)例分析。

1.1 注入類漏洞滲透

在進(jìn)行注入漏洞滲透測試時(shí)，首先要測試分析Web 是否存在注入點(diǎn)以及注入的類型，運(yùn)用NMAP 或者Burpsuite 等工具對Web 進(jìn)行掃描，掃描結(jié)果可以查看到Web 數(shù)據(jù)庫是否存在未過濾非法字符[2]。如果有表明存在輸入漏洞，此時(shí)Web 顯示的數(shù)據(jù)都為錯(cuò)誤數(shù)據(jù)。經(jīng)掃描發(fā)現(xiàn)，該醫(yī)療Web 的某HTTP 的ID 參數(shù)存在注入點(diǎn)，運(yùn)用sqlmap 工具對注入點(diǎn)進(jìn)行攻擊驗(yàn)證，驗(yàn)證結(jié)果如表2 所示。

表2 注入驗(yàn)證數(shù)據(jù)

從表2 中可以看出，驗(yàn)證表單存在字符型的SQL 注入漏洞，并且該漏洞已經(jīng)獲取到醫(yī)療Web 一部分?jǐn)?shù)據(jù)。

1.2 腳本類漏洞滲透

嘗試對該醫(yī)療Web 進(jìn)行腳本類漏洞進(jìn)行分析，通過Appscan、Wireshark 等工具對Web 找回密碼過程發(fā)送的HTTP 請求進(jìn)行抓包，發(fā)現(xiàn)Web 找回密碼功能中，一些Web 功能未進(jìn)行加密保護(hù)，同時(shí)通過Fluxy 工具掃描Web，發(fā)現(xiàn)可以通過admin 身份直接登錄到該醫(yī)療Web 后臺，并且發(fā)現(xiàn)該醫(yī)療Web 存在腳本類漏洞[3]。針對這一類漏洞，通過獲取短信驗(yàn)證的方式進(jìn)行加密處理，以確保用戶身份的真實(shí)有效，同時(shí)通過設(shè)置Web 后臺權(quán)限，規(guī)避非預(yù)期的越權(quán)操作，對腳本類漏洞進(jìn)行了修復(fù)。

1.3 配置類漏洞滲透

對該醫(yī)療Web 進(jìn)行配置類漏洞進(jìn)行滲透分析，通過X-Scan掃描器掃描，發(fā)現(xiàn)Web 服務(wù)器中web.coinsdf 明文存儲了數(shù)據(jù)庫的賬戶連接信息[4]?？梢圆榭吹揭徊糠轴t(yī)療信息，其中包括患者檢查報(bào)告、注冊患者基本信息等。證明該Web 存在配置類漏洞，后經(jīng)過驗(yàn)證，證實(shí)了滲透推測結(jié)果。

1.4 Web 滲透測試結(jié)果分析

通過對該醫(yī)療Web 注入類漏洞、腳本類漏洞、配置類漏洞的滲透測試，發(fā)現(xiàn)了大量的Web 安全隱患，具體測試結(jié)果如表3所示。

表3 Web 滲透測試結(jié)果

通過表3 和滲透過程分析可以發(fā)現(xiàn)，該醫(yī)療Web 存在大量的安全漏洞，其中以注入漏洞、失效身份認(rèn)證、跨網(wǎng)站腳本（XSS）三種漏洞數(shù)量較多，對Web 的安全運(yùn)行影響較大。注入類漏洞導(dǎo)致醫(yī)療信息泄露[5]；腳本類漏洞導(dǎo)致Web 部分功能失效；配置類漏洞導(dǎo)致攻擊者收集信息、攻擊系統(tǒng)更加便捷，甚至直接通過泄露的敏感信息侵入系統(tǒng)，Web 的魯棒性處于低值，影響正常使用。為修復(fù)以上漏洞，對該醫(yī)療Web 需要立即采取相應(yīng)措施，解決Web 安全隱患問題，以此實(shí)現(xiàn)了Web 滲透實(shí)例分析。

2 Web 滲透實(shí)踐

一次完整的Web 滲透實(shí)踐，要經(jīng)過目標(biāo)搜索、信息收集、漏洞探索、漏洞利用、內(nèi)網(wǎng)轉(zhuǎn)發(fā)、內(nèi)網(wǎng)滲透、痕跡清除、撰寫測試等過程，下圖為Web 滲透流程圖。

在Web 滲透實(shí)踐過程中，首先要盡快確定目標(biāo)，廣泛搜索各種與目標(biāo)相關(guān)的有效信息，比如Web 域名、IP 地址等，以此來獲取目標(biāo)的跟蹤，同時(shí)利用掃描軟件對Web 進(jìn)行全面掃描，決定潛在目標(biāo)[6]；當(dāng)搜索到目標(biāo)后，運(yùn)用挖掘工具對目標(biāo)信息進(jìn)行深度挖掘并加以整理，常用的挖掘工具有社交工程、物理闖入等，從外網(wǎng)收集被測目標(biāo)的基本信息，然后利用各種掃描工具（如TK2012 掃描器、X-Scan 掃描器、Fluxy 掃描器、NMAP 掃描器），對目標(biāo)進(jìn)行端口掃描，以此來獲取端口開放信息，同時(shí)對Web的操作系統(tǒng)進(jìn)行目標(biāo)識別，以及對Web 服務(wù)軟件的基本信息進(jìn)行識別，獲取到Web 的防火墻規(guī)則等[7]。除此以外，測試人員還需要獲取到Web 的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息以及路由信息等，盡可能多的挖掘到有效信息；采集到有效信息后，以其作為依據(jù)將被測目標(biāo)與安全漏洞進(jìn)行關(guān)聯(lián)[8]。漏洞關(guān)聯(lián)在整個(gè)Web 滲透實(shí)踐中具有重要的作用，選取被測目標(biāo)的一些特殊信息，將其與已開放的安全漏洞的相關(guān)信息進(jìn)行對比，以此判斷出目標(biāo)是否存在漏洞；關(guān)聯(lián)完漏洞后進(jìn)入到入侵攻擊測試階段，在該階段要根據(jù)漏洞關(guān)聯(lián)發(fā)現(xiàn)的Web 漏洞進(jìn)行有針對性的應(yīng)對，利用合理的漏洞工具進(jìn)行維持權(quán)限，采取相應(yīng)的應(yīng)對措施解決Web 漏洞問題，在攻擊結(jié)束之后要對Web 上的攻擊痕跡進(jìn)行清除，以此完成Web 滲透實(shí)踐。

圖1 Web 滲透實(shí)踐流程

通過上述步驟的Web 滲透實(shí)踐，全面的掃描了Web 的漏洞，并對這些漏洞進(jìn)行了修復(fù)，經(jīng)再次使用不同工具軟件掃描，Web的漏洞已經(jīng)修復(fù)，提高了該醫(yī)療Web 的魯棒性，使用體驗(yàn)得以大幅提升。

3 結(jié)束語

通過此次研究表明了滲透技術(shù)對Web 安全具有重要的作用，可以有效保護(hù)Web 安全運(yùn)行，快速掃描、分析出Web 上存在的安全隱患和漏洞，為Web 的穩(wěn)定運(yùn)行提供了良好的保障。計(jì)算機(jī)技術(shù)是在飛速發(fā)展，不斷進(jìn)步的，不排除后續(xù)發(fā)現(xiàn)新的安全隱患和漏洞的可能，同時(shí)由于個(gè)人能力以及研究時(shí)間有限，此次雖然在Web 滲透方面取得了一定的研究成果，但是還存在一些不足之處，今后還需要在該方面進(jìn)行深入的探索和研究，為Web滲透技術(shù)的發(fā)展與應(yīng)用提供依據(jù)。