賀云龍

（海南世紀(jì)網(wǎng)安信息技術(shù)有限公司，海口 570100）

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，Web 應(yīng)用安全事件頻繁發(fā)生，黑客利用Web 安全漏洞對(duì)客戶端、服務(wù)器和數(shù)據(jù)庫(kù)等領(lǐng)域發(fā)起攻擊，出現(xiàn)用戶信息丟失、網(wǎng)頁(yè)被篡改及數(shù)據(jù)永久性破壞等安全問(wèn)題，為用戶帶來(lái)嚴(yán)重?fù)p失。為保證Web 應(yīng)用系統(tǒng)安全，有必要采用滲透測(cè)試技術(shù)模擬各種攻擊方法識(shí)別Web 安全漏洞，評(píng)估系統(tǒng)安全狀態(tài)，為完善Web 安全設(shè)計(jì)方案打下基礎(chǔ)。

1 滲透測(cè)試技術(shù)概述

1.1 滲透測(cè)試概念

滲透測(cè)試技術(shù)是通過(guò)主動(dòng)模擬攻擊者的思維和攻擊方式，分析評(píng)估系統(tǒng)安全漏洞、防御弱點(diǎn)和技術(shù)缺陷的檢測(cè)方法[1]。滲透測(cè)試技術(shù)屬于前瞻性的安全防御技術(shù)措施，能夠準(zhǔn)確識(shí)別出信息安全風(fēng)險(xiǎn)事件，滿足系統(tǒng)安全設(shè)計(jì)需要。

1.2 滲透測(cè)試分類

1.2.1 白盒測(cè)試

測(cè)試者在對(duì)系統(tǒng)一無(wú)所知的狀態(tài)下進(jìn)行測(cè)試，測(cè)試人員要與客戶前期溝通，明確測(cè)試目標(biāo)和測(cè)試環(huán)境，從組織外部完成測(cè)試內(nèi)容。

1.2.2 黑盒測(cè)試

測(cè)試者通過(guò)模擬對(duì)被測(cè)試系統(tǒng)一無(wú)所知的狀態(tài)下進(jìn)行測(cè)試，這種測(cè)試方法更接近于真正的黑客攻擊，是當(dāng)前廣泛使用的滲透測(cè)試方法。

1.3 滲透測(cè)試手段

1.3.1 端口掃描

采用隱身掃描、UDP 掃描和TCP Null 等掃描技術(shù)搜集前期信息，鎖定主機(jī)開(kāi)放端口。

1.3.2 操作系統(tǒng)探測(cè)

在搜集主機(jī)信息中，采用指紋探測(cè)技術(shù)、ICMP 技術(shù)和標(biāo)識(shí)信息探測(cè)技術(shù)等探測(cè)技術(shù)，縮小漏洞檢測(cè)范圍。

1.3.3 漏洞掃描

采用規(guī)則匹配技術(shù)掃描應(yīng)用、網(wǎng)絡(luò)和主機(jī)中的漏洞，可分為主動(dòng)掃描與被動(dòng)掃描2 種方式。

2 Web 應(yīng)用滲透測(cè)試技術(shù)的流程

Web 滲透測(cè)試流程主要包括信息收集、漏洞挖掘、漏洞利用、內(nèi)網(wǎng)轉(zhuǎn)發(fā)、內(nèi)網(wǎng)滲透、痕跡清除和撰寫滲透測(cè)試報(bào)告7 個(gè)環(huán)節(jié)[2]，具體應(yīng)用如下。

2.1 信息收集

信息收集包括主動(dòng)信息收集和被動(dòng)信息收集，主動(dòng)信息收集是從Web 服務(wù)器中獲取信息，被動(dòng)信息收集是從社交工具、搜索引擎等間接路徑中獲取信息。

2.1.1 獲取域名

從域名開(kāi)始滲透測(cè)試，發(fā)現(xiàn)域名對(duì)應(yīng)的目標(biāo)Web 主機(jī)IP、服務(wù)器和端口等，根據(jù)收集的信息對(duì)攻擊面進(jìn)行分析。

2.1.2 查詢網(wǎng)站所有者

在收集目標(biāo)網(wǎng)站的IP 時(shí)采用Who.is 傳輸協(xié)議，在傳輸協(xié)議支持下，查出與同一域名注冊(cè)匹配的分布式業(yè)務(wù)網(wǎng)絡(luò)（DSN）記錄、域名等信息，當(dāng)獲取目標(biāo)網(wǎng)站所有者姓名、電話和電子郵箱等信息后進(jìn)行滲透測(cè)試。

2.1.3 查詢備案信息

在工業(yè)和信息化部的信息備案管理系統(tǒng)、企業(yè)信用信息公示系統(tǒng)及天眼查等系統(tǒng)中查詢域名的備案信息。

2.1.4 收集Web 服務(wù)器信息

使用dig 命令、host、dnstracer 和nslookup 等工具收集DNS 信息。當(dāng)DNS 配置不當(dāng)時(shí)，會(huì)導(dǎo)致DNS 域傳送漏洞，引發(fā)Web 網(wǎng)絡(luò)拓?fù)鋱D泄露風(fēng)險(xiǎn)。

2.1.5 收集子域名

通過(guò)搜索引擎、Layer 子域名挖掘機(jī)、子域名猜測(cè)和Phpinfo.me 等收集子域名，發(fā)現(xiàn)安全漏洞[3]。

2.1.6 收集IP

IP 地址查詢要繞過(guò)內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN），通過(guò)網(wǎng)絡(luò)命令Ping、歷史解析記錄、二級(jí)域名和網(wǎng)站漏洞等途徑收集IP 地址，保證IP 地址的真實(shí)性。

2.1.7 查詢旁站和C 段

利用Python 查詢同一Web 服務(wù)器上的其他站點(diǎn)和同一網(wǎng)絡(luò)端口上的其他服務(wù)器。

2.1.8 收集服務(wù)端口

端口滲透探測(cè)采用Nmap、masscan 工具，通過(guò)Web主機(jī)開(kāi)啟的服務(wù)器端口發(fā)現(xiàn)更多的安全漏洞。

2.1.9 收集網(wǎng)站架構(gòu)信息

利用Nmap、wappalyzer 和AWVS 工具對(duì)中間件、操作系統(tǒng)、腳本語(yǔ)言和數(shù)據(jù)庫(kù)等操作系統(tǒng)信息進(jìn)行收集；利用access、Oracle 和MySQL 數(shù)據(jù)庫(kù)對(duì)數(shù)據(jù)庫(kù)信息進(jìn)行收集；利用Apache、IIS 和Tomcat 軟件對(duì)網(wǎng)站中間件信息進(jìn)行收集；利用HTTP 消息中的header 工具、網(wǎng)頁(yè)默認(rèn)頁(yè)面對(duì)網(wǎng)站其他信息進(jìn)行收集。

2.1.10 收集敏感信息

利用搜索引擎、暴力字典枚舉目錄等工具收集敏感目錄、文件等信息，找到源碼泄露。

2.1.11 收集指紋信息

通過(guò)查看網(wǎng)頁(yè)代碼，使用云悉、bugscaner 等工具收集內(nèi)容管理系統(tǒng)指紋，在掌握指紋信息的情況下可對(duì)目標(biāo)網(wǎng)站中的CMA 信息類型進(jìn)行識(shí)別。

2.2 漏洞挖掘

以海量信息為依托，判斷網(wǎng)站是否存在漏洞，如SQL 注入、XSS 跨站腳本等，對(duì)此要采取具有針對(duì)性的探測(cè)工具，如AWVS、AppScan 等對(duì)漏洞加以探測(cè)[4]。漏洞挖掘常用的方法有工具掃描、手工檢測(cè)等。

2.2.1 工具掃描

這是一種能夠快速發(fā)現(xiàn)Web 站點(diǎn)中是否存在漏洞的方法，使用工具掃描漏洞的過(guò)程中，會(huì)生成有效載荷（payload），由此為漏洞分析提供便利條件。在各類掃描工具中，帶有集成掃描漏洞模塊越多的工具，其功能就越強(qiáng)大。工具掃描漏洞的具體方案如下：先對(duì)待掃描的目標(biāo)網(wǎng)站系統(tǒng)加以確定，選取適宜的掃描工具，掃描完畢后，對(duì)結(jié)果做輸出列表。

2.2.2 手工檢測(cè)

挖掘Web 站點(diǎn)內(nèi)的漏洞時(shí)，若是服務(wù)器裝有防火墻，使用工具掃描，則會(huì)在較短的時(shí)間內(nèi)頻繁訪問(wèn)系統(tǒng)，這樣一來(lái)，將會(huì)造成IP 遭到攔截限制，進(jìn)而無(wú)法對(duì)Web站點(diǎn)內(nèi)的程序進(jìn)行訪問(wèn)。對(duì)此，可以通過(guò)手工檢測(cè)的方法來(lái)挖掘漏洞。具體做法如下：①先判斷Web 站點(diǎn)內(nèi)是否存在SQL 注入，可以采用的判斷方法有id 參數(shù)后加單引號(hào)，或是and1=1、and1=2 回顯等；②對(duì)后臺(tái)登錄進(jìn)行檢測(cè)，看是否存在弱口令，可在后臺(tái)的登錄地址中，輸入以下指令：admin，也可嘗試使用萬(wàn)能密碼登錄；③用Google語(yǔ)法，如site：xxx.com inurl：upload 等，查看有無(wú)編輯器[5]。

2.3 漏洞利用

當(dāng)探測(cè)到網(wǎng)站內(nèi)存在漏洞之后，可以有針對(duì)性地對(duì)漏洞加以利用。正常情況下，僅憑借單一的漏洞是無(wú)法順利獲取到網(wǎng)站的代碼執(zhí)行環(huán)境（Webshell），只有借助多個(gè)漏洞，才能獲取到網(wǎng)站的Webshell。在這一過(guò)程中，對(duì)SQLmap、AWVS 等工具加以利用，能夠達(dá)到事半功倍的效果。當(dāng)Webshell 獲取后，要對(duì)其提權(quán)，常用的提權(quán)方法有以下幾種：溢出漏洞提權(quán)、數(shù)據(jù)庫(kù)提權(quán)及第三方軟件提權(quán)等。其中數(shù)據(jù)庫(kù)提權(quán)的效果比較好，可用的數(shù)據(jù)庫(kù)類型包括SQLServer 和MySQL 等[6]。

2.4 內(nèi)網(wǎng)轉(zhuǎn)發(fā)

當(dāng)順利獲取到Webshell 之后，若是需要開(kāi)展?jié)B透測(cè)試，則還要對(duì)內(nèi)網(wǎng)中主機(jī)的相關(guān)信息進(jìn)行探測(cè)，此時(shí)便需要內(nèi)網(wǎng)轉(zhuǎn)發(fā)。由于滲透測(cè)試的過(guò)程無(wú)法與內(nèi)網(wǎng)的主機(jī)實(shí)時(shí)通信，所以要利用Webshell 網(wǎng)站中的服務(wù)器，并結(jié)合proxychains 代理鏈。

2.5 內(nèi)網(wǎng)滲透

當(dāng)與內(nèi)網(wǎng)主機(jī)建立起正常的通信之后，便可開(kāi)展內(nèi)網(wǎng)滲透。為對(duì)在線的內(nèi)網(wǎng)主機(jī)進(jìn)行有效的探測(cè)，要對(duì)內(nèi)網(wǎng)主機(jī)開(kāi)展全面掃描，在這一過(guò)程中，可以使用Nmap，并對(duì)如下信息加以明確：開(kāi)放的端口、操作系統(tǒng)等。目前，絕大多數(shù)內(nèi)網(wǎng)用戶使用的都是Windows 系統(tǒng)，在內(nèi)網(wǎng)滲透時(shí)，可以圍繞與該系統(tǒng)有關(guān)的漏洞展開(kāi)，如果發(fā)現(xiàn)系統(tǒng)中存在漏洞，則可應(yīng)用Metasploit 工具完成內(nèi)網(wǎng)滲透。這樣便能夠找到域控服務(wù)器，并從中獲取到相應(yīng)的權(quán)限，進(jìn)而實(shí)現(xiàn)用戶主機(jī)的登錄。在應(yīng)用Metasploit 時(shí)，要掌握正確的流程，具體如下：先進(jìn)入到Web 框架中，選取search 命令，對(duì)系統(tǒng)中可能存在的漏洞進(jìn)行查找，使用use 模塊，并查看其中的信息，設(shè)置好攻擊荷載及相關(guān)的參數(shù)后，開(kāi)始攻擊[7]。

2.6 痕跡清除

當(dāng)內(nèi)網(wǎng)滲透測(cè)試完畢后，要將測(cè)試過(guò)程殘留的痕跡全部清除，包括網(wǎng)絡(luò)痕跡和日志。掩蓋網(wǎng)絡(luò)痕跡時(shí)，可以使用多層代理，掩蓋真實(shí)的IP 地址，或是借助代理鏈工具，如proxychains 進(jìn)行掩蓋。清除系統(tǒng)日志的過(guò)程中，應(yīng)結(jié)合系統(tǒng)選取清除方式，這是因?yàn)椴煌南到y(tǒng)日志清除方式不同，若是選擇不當(dāng)，則無(wú)法達(dá)到清除的目的。比如Windows 操作系統(tǒng)應(yīng)將Log 文件刪除，而Linux 系統(tǒng)則需要將/var/log 下的文件刪除。

2.7 撰寫滲透測(cè)試報(bào)告

當(dāng)滲透測(cè)試完畢，并將所有的痕跡全部清除之后，便可依據(jù)測(cè)試結(jié)果，編寫相關(guān)的測(cè)試報(bào)告，結(jié)合實(shí)際情況，指出系統(tǒng)存在的漏洞情況，并根據(jù)漏洞，提出具有針對(duì)性的修補(bǔ)途徑。用戶便可依據(jù)報(bào)告中給出的方法，對(duì)系統(tǒng)漏洞加以修復(fù)，從而達(dá)到強(qiáng)化Web 信息安全的目的。

3 Web 安全防御方案設(shè)計(jì)

在運(yùn)用滲透測(cè)試技術(shù)識(shí)別出Web 應(yīng)用安全漏洞后，明確Web 開(kāi)發(fā)面臨的主要安全威脅，進(jìn)而針對(duì)這些安全漏洞設(shè)計(jì)出一套完整的安全防御方案，有效避免安全漏洞的產(chǎn)生，提高Web 應(yīng)用的安全性。

3.1 輸入驗(yàn)證

在Web 應(yīng)用中，輸入驗(yàn)證環(huán)節(jié)存在惡意輸入、未經(jīng)驗(yàn)證輸入及依賴客戶端驗(yàn)證等安全漏洞，針對(duì)這些輸入驗(yàn)證中的安全漏洞設(shè)計(jì)以下安全防護(hù)方案：①將數(shù)據(jù)源分為可信數(shù)據(jù)源、非可信數(shù)據(jù)源，采用“白名單”策略驗(yàn)證非可信數(shù)據(jù)源，去除未經(jīng)過(guò)驗(yàn)證的數(shù)據(jù)。②驗(yàn)證User-Agent、Cookie 和Host 等客戶端請(qǐng)求的參數(shù)，獲取每項(xiàng)驗(yàn)證信息的數(shù)據(jù)類型、取值范圍和長(zhǎng)度等信息，識(shí)別驗(yàn)證數(shù)據(jù)中是否存在危險(xiǎn)字符，采用正則表達(dá)式檢測(cè)字符，通過(guò)檢測(cè)的驗(yàn)證數(shù)據(jù)列入白名單，未通過(guò)檢測(cè)的驗(yàn)證數(shù)據(jù)列入黑名單。③對(duì)危險(xiǎn)字符執(zhí)行過(guò)濾程序，包括特殊字符（＜、＞、%、&、等）、換行符（%0a、 等）及空字節(jié)（%00）等[8]。

3.2 身份驗(yàn)證

在Web 應(yīng)用中，身份驗(yàn)證存在允許越權(quán)賬戶、混合個(gè)人設(shè)置與身份驗(yàn)證、保護(hù)憑據(jù)、使用弱密鑰和會(huì)話周期過(guò)長(zhǎng)等安全漏洞，針對(duì)此類安全漏洞設(shè)計(jì)以下安全防護(hù)方案：①設(shè)計(jì)一次性驗(yàn)證替代多步驗(yàn)證，消除身份驗(yàn)證環(huán)節(jié)失效風(fēng)險(xiǎn)，并利用日志記錄身份驗(yàn)證失敗信息。②在服務(wù)端進(jìn)行身份驗(yàn)證，避免在客戶端設(shè)計(jì)身份驗(yàn)證。③身份驗(yàn)證失敗的信息提示要模糊處理（如“用戶名或密碼不正確”），不能給予精準(zhǔn)提示（如“用戶名不正確”“密碼不正確”）。④設(shè)置身份驗(yàn)證失敗上限次數(shù)，當(dāng)用戶連續(xù)登陸失敗后設(shè)置用戶鎖定時(shí)間，合理確定限制登陸時(shí)間長(zhǎng)短。⑤在用戶成功登陸后，要提示用戶上次登陸的相關(guān)信息，以便于用戶做好個(gè)人信息安全防護(hù)。

3.3 密碼管理

在Web 應(yīng)用中，用戶設(shè)置密碼過(guò)于簡(jiǎn)單會(huì)出現(xiàn)賬號(hào)信息泄露風(fēng)險(xiǎn)，針對(duì)此類安全漏洞設(shè)計(jì)以下安全防護(hù)方案：①設(shè)計(jì)復(fù)雜程度相對(duì)較高的用戶密碼設(shè)置要求，如密碼長(zhǎng)度不小于8 字節(jié)，混合使用數(shù)字、字母和符號(hào)等，不得使用相同單一數(shù)字或簡(jiǎn)單單詞作為密碼。當(dāng)用戶設(shè)置完密碼后，運(yùn)用自動(dòng)檢測(cè)算法判定密碼風(fēng)險(xiǎn)高低，對(duì)高風(fēng)險(xiǎn)密碼予以提示。②在服務(wù)器端加密存儲(chǔ)用戶密碼，采用哈希函數(shù)加密用戶密鑰，不得使用MD5 加密。用戶成功登錄后，對(duì)訪問(wèn)數(shù)據(jù)加密處理，設(shè)定合理的加密有效期[1]。③對(duì)設(shè)置默認(rèn)密碼的Web 應(yīng)用網(wǎng)站，當(dāng)用戶首次登錄后要提示用戶修改密碼，修改后重新登錄，再次進(jìn)行身份驗(yàn)證。

3.4 會(huì)話管理

在Web 應(yīng)用中，會(huì)話管理存在允許超長(zhǎng)會(huì)話周期、未加密信息傳遞、不安全會(huì)話狀態(tài)存儲(chǔ)和放置會(huì)話標(biāo)識(shí)符等安全漏洞，針對(duì)此類安全漏洞設(shè)計(jì)以下安全防護(hù)方案：①采用復(fù)雜設(shè)計(jì)方法設(shè)計(jì)會(huì)話標(biāo)識(shí)符，避免出現(xiàn)偽造會(huì)話標(biāo)識(shí)符的風(fēng)險(xiǎn)。②對(duì)Cookie 設(shè)置域和路徑，消除固定會(huì)話安全漏洞，當(dāng)用戶登錄后需設(shè)置新的Session ID，盡量縮短Session 有效期。③在每個(gè)會(huì)話請(qǐng)求中設(shè)計(jì)Token，通過(guò)隨機(jī)令牌防范CSRF 攻擊。④在用戶注銷賬戶時(shí)，需刪除服務(wù)器Session 信息和客戶端Cookie 信息，避免出現(xiàn)信息泄露風(fēng)險(xiǎn)。

3.5 訪問(wèn)控制

Web 部署的過(guò)程中，未對(duì)URL 訪問(wèn)權(quán)限進(jìn)行有效的控制，致使攻擊者能夠以修改URL 導(dǎo)致的方式，訪問(wèn)原本需要認(rèn)證授權(quán)后，才能訪問(wèn)的網(wǎng)站資源，即URL 越權(quán)訪問(wèn)。針對(duì)此類安全漏洞，可以通過(guò)訪問(wèn)控制來(lái)加以解決，具體方案如下：①經(jīng)過(guò)授權(quán)后的用戶才能對(duì)相應(yīng)的資源進(jìn)行訪問(wèn)，這是訪問(wèn)控制實(shí)現(xiàn)安全目標(biāo)的關(guān)鍵，具體包括服務(wù)、數(shù)據(jù)屬性信息、程序數(shù)據(jù)、受保護(hù)的URL 及與安全相關(guān)的配置信息等。②對(duì)于驗(yàn)證失敗的訪問(wèn)操作，應(yīng)當(dāng)由訪問(wèn)控制做安全處理，如用戶在某一個(gè)時(shí)間段內(nèi)執(zhí)行的事務(wù)頻率要加以限制，這就要求頻率閾值的設(shè)置合理可行，一方面能夠使相關(guān)的業(yè)務(wù)需求得到滿足，另一方面還要能夠防止自動(dòng)攻擊。

3.6 數(shù)據(jù)庫(kù)安全

在數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)有大量的Web 數(shù)據(jù)，這些數(shù)據(jù)中，有一部分是用戶隱私，如果丟失，則會(huì)造成嚴(yán)重的后果。為此確保數(shù)據(jù)庫(kù)安全尤為重要。針對(duì)數(shù)據(jù)庫(kù)漏洞，可以設(shè)計(jì)如下安全防護(hù)方案：①開(kāi)發(fā)人員在設(shè)計(jì)數(shù)據(jù)庫(kù)的過(guò)程中，可選用強(qiáng)類型的參數(shù)化查詢方式，以此來(lái)代替原本的動(dòng)態(tài)SQL 語(yǔ)句。②庫(kù)的連接字符做加密處理。③將數(shù)據(jù)庫(kù)中非必要的默認(rèn)賬戶全部刪除，并將無(wú)用的數(shù)據(jù)庫(kù)功能關(guān)閉，由此能夠大幅度提升數(shù)據(jù)庫(kù)的安全性。

3.7 文件管理

在Web 應(yīng)用中，文件上傳存在著安全驗(yàn)證缺失的隱患，造成文件管理漏洞，黑客通過(guò)攻擊漏洞獲取Webshell。針對(duì)此類安全漏洞設(shè)計(jì)以下安全防護(hù)方案：①采用白名單策略，對(duì)用戶上傳的文件類型進(jìn)行檢查和過(guò)濾，禁止不符合業(yè)務(wù)需要的文件類型上傳。文件檢查項(xiàng)目包括文件MIME 類型、文件后綴名和文件內(nèi)容驗(yàn)證等。②分開(kāi)保存Web 應(yīng)用源碼文件與上傳文件，設(shè)置文件上傳權(quán)限。③借助白名單檢查文件路徑參數(shù)，及時(shí)禁止黑客利用漏洞執(zhí)行的攻擊操作。④不允許設(shè)置絕對(duì)路徑，特別在客戶端中不可以采用絕對(duì)路徑。

3.8 日志管理

日志是程序維護(hù)與安全管理的重要手段，但是日志中易存在安全漏洞，需采用以下安全防范方案設(shè)計(jì)：①在應(yīng)用系統(tǒng)中將常用的調(diào)試錯(cuò)誤頁(yè)替換為定制的錯(cuò)誤頁(yè)面，防范錯(cuò)誤處理中泄露賬號(hào)、ID 等私密信息。②設(shè)定日志記錄內(nèi)容，包括安全事件的失敗操作或成功防御。③設(shè)定日志禁止記錄的信息類型，如敏感信息等。④查看日志時(shí)，禁止代碼解析日志數(shù)據(jù)，采用哈希算法隨時(shí)驗(yàn)證日志的完整性，及時(shí)檢測(cè)出日志被篡改的攻擊操作。

4 結(jié)束語(yǔ)

綜上所述，Web 應(yīng)用開(kāi)發(fā)與設(shè)計(jì)要采用滲透測(cè)試技術(shù)評(píng)估Web 安全性，及時(shí)識(shí)別Web 存在的安全漏洞，剖析各類漏洞的成因，并提出解決辦法，進(jìn)而制定出完整的Web 安全防御體系。在Web 安全防御設(shè)計(jì)中，要重點(diǎn)做好輸入驗(yàn)證、身份驗(yàn)證、密碼管理、會(huì)話管理、訪問(wèn)控制和數(shù)據(jù)庫(kù)的安全設(shè)計(jì)，消除黑客經(jīng)常發(fā)起攻擊的漏洞，保證Web 應(yīng)用安全。