Web安全滲透測試

◆黃承彬

?

Web安全滲透測試

◆黃承彬

（福建省廈門市文化遺產監管中心 福建 361012）

網絡技術的發展深化了Web對人們生活的影響，但也讓它成為黑客入侵的渠道之一，所以保證Web程序的安全，是各使用單位必須思考的問題。目前解決這一問題的方式是，使用前進行Web安全滲透測試，檢測其是否有安全漏洞，保證Web的安全。

Web安全滲透測試；SQL安全漏洞；實驗模擬

0 引言

Web安全滲透測試的進行，需先了解Web內有哪些安全漏洞，基于這些漏洞出現的原因，選擇思路完成滲透測試。借此，可提高檢測的效率，并及時發現Web的漏洞，并分析漏洞的特征，給出具體的分析報告，并可以根據新出現的漏洞，拓展思路，保證安全滲透測試的可靠。

1 Web的安全漏洞

1.1 類別

Web內的安全漏洞包括以下幾點：注入攻擊、跨站腳本攻擊、安全性誤配置等。其中注入攻擊主要出現于服務器端，是攻擊者最常做出的攻擊行為。該攻擊的特點是，用戶輸入的數據變為代碼，而這個攻擊的有效需滿足兩個條件，用戶可自主輸入，程序的運行需要代碼，把輸入的數據拼接。它最常見的形態是代碼、XML等注入攻擊。

1.2 出現的原因

這些安全漏洞出現的原因是，用戶可在系統內提交任意一個類型的數據，但服務器終端只是接收數據，并未進行數據驗證。而從內部操作分析，是Web編程中，程序員并未考慮到編程的安全，并疏于配置軟件，增加安全隱患。同時，Web投入使用后，所有操作、管理以及定期維護，均由人完成，但Web系統的安全會因為個人的操作不當，被攻擊者找到機會，入侵系統，直接導致系統的崩壞[1]。

2 Web安全滲透測試

2.1 安全滲透測試

這一測試是模擬攻擊者的操作，使用相應的攻擊技術，利用系統的漏洞，對目標對象進行深入探測，以從系統內發現最易受到攻擊的環節。由此提出的安全滲透測試，是得客戶的許可后，用可控、不會帶來破壞的方式，找到服務器的薄弱位置，它進行的時間可以是系統發布前，或是系統投入使用后，對系統進行實時跟蹤，盡肯能保證系統安全。

2.2 測試過程

其測試的具體過程如下：收集信息，攻擊者做出攻擊行為前，必然會先收攻擊對象的信息，以為攻擊的進行做好信息準備，即了解Web系統的相關信息后，對其有基本的認識，初步確定攻擊方式。信息收集可采用的方式有域名、不同的信息服務；整理并掃描信息后，可確定網絡所在的外部特征，對特定的位置進行掃描，根據掃描結果，決定是否攻擊，而從掃描得到的漏洞中，可選擇某個漏洞作為攻擊的突破口。但如果漏洞掃描后，攻擊者不可以直接使用時，可把得到的信息分成兩類，第一類是安全敏感的信息，包含預先收集的信息，第二類是漏洞信息，主要由個人疏忽造成，借由這些可快速確定攻擊的點；攻擊，上兩個階段的操作結束后，經過分析，可用選擇的方式是直接攻擊。攻擊的方式可分成兩類，第一類是攻擊對象再無反應，讓系統癱瘓，第二類攻擊是借由工具盜取系統內的某些信息，比如高級機密、系統的控制權等，攻擊行為只是真實目的的掩蓋；攻擊成功后，攻擊者為便于下次攻擊，會在系統內放入后門，有便捷的入侵渠道。網絡主體內的系統會隨著技術的發展與維護，把系統升級，自動修補漏洞，攻擊者可攻擊的路徑消失，而植入后門后，攻擊者經過后門即可進入系統，且整個過程不會被使用者察覺；最后，消除經過的痕跡，Web攻擊是一個完整的過程，攻擊者從系統中得到信息后，必須消除自己來過的痕跡，這些痕跡會在系統檢測或管理員維護中發現，有時甚至會因為檢查，完全暴露自己，所以痕跡的消除，是把所有經過的部分全部清理。

根據這個過程完成測試，可找到測試內容的風險，并出具風險評估報告，提供全面的滲透測試服務。

2.3 具體操作

本文中的具體操作是以SQL安全漏洞為例，完成測試。

（1）注入漏洞的分析

SQL注入是供給系統的數據庫，它的具體連接中是利用現有數據庫的外部接口，通過接口把數據作為操作語言，輸入到數據庫內，以實現數據庫的入侵，并控制系統。程序員因為對編程的安全性認識不足，并未過濾用戶輸入的數據，引發漏洞，攻擊者抓住這些機會后，可輸入操作語句，從數據庫內得到數據，或是把數據刪除，影響主機運行[2]。

（2）實驗模擬

如圖1，通過實驗模擬，可了解這一漏洞可能帶來哪些危害。但試驗進行需要相應的環境，所以環境是Windows 7系統的一個網址，IP地址是localhost。這一網址的正常登陸是在登錄界面輸入用戶名和密碼，輸入正確后即可登錄系統，這一情況下，攻擊者選擇的方式是入侵數據庫，具體方式是與數據庫交互，用后端編程操控，而多個程序語言的交互后，可得到界面。但因為實驗進行中，所有數據都可進行后臺查詢，所以具體編程過程中，可把多個字符拼接在一起，這給攻擊者留下了加入SQL語句的機會，改變操作流程，得到系統的操作權限。由此，對于其帶來危害的判斷，是輕者丟失數據庫內的數據，重者直接失去系統道的操作權限。

圖1 模擬網址的登錄頁面

（3）檢測思路

基于這一思路帶來的危害，要求在實際操作中必須明確具體檢測的思路，即使用HTTP協議，給出請求報文。從給出的報文中，攻擊者可用工具修改報文中的內容，把內部的GET變為POST，改變數據的內容，并修改內部的Cookie。如果出現這些情況，在客戶端驗證登錄者的信息，沒有任何作用。所以，攻擊者攻擊的方式是，改變HTTP協議的申請報文（如圖2），觀察服務器是否響應，從中找到漏洞。所以，對于這一漏洞的檢測，是檢查所有提交數據的環節與數據內容，查看與服務器交互的位置，檢查參數設置，判斷服務器是否響應，確定是否有安全漏洞存在。

圖2 HTTP申請文本的更改

實際應用的分析：確定檢測思路后，可選擇某個真實的網站，用不同方式注入信息，判斷這一方法是否有效。注入漏洞的方式是，GET、POST等，用這兩種方式注入漏洞后，都返回了錯誤信息，說明有漏洞存在。隨后測試人員修改了HTTP請求并發送到遠程服務器后，服務器響應。由此，說明這一方法是有效的。

由此，總結出Web安全滲透測試的思路是正確，且方法也具有可行性，可模擬攻擊者做出的行為，判斷系統內是否有安全漏洞，有良好的使用效果。而為完善該思路，讓測試有序進行，也可使用相應的測試工具，借助測試工具的優勢，找到新的方案，減少系統被攻擊的可能性，保證系統運行的穩定與安全，降低風險。另根據漏洞出現的原因，要求編程人員必須注重編程過程的安全，從編程入手，控制風險，保證安全。

3 結語

Web安全滲透測試，是根據漏洞的類型與出現的原因，以及安全滲透測試的思路進行試驗模擬，驗證理論與想法的可行性，指明攻擊者攻擊的方式。如此，可切實保證系統的安全，確保系統運行的穩定，但與此同時，也要完善使用的技術，借助檢測工具等確定思路，實現思路的優化，完成漏洞的進一步分析。

[1]徐光.基于Kali Linux的Web滲透測試研究[J].信息安全與技術，2015.

[2]羅啟漢，陳深龍，李寧等.中國科學院教育信息化中的Web應用安全增強實踐[J].科研信息化技術與應用，2011.