论文部分内容阅读
摘 要:在网络安全等级保护测评中,科学合理的测试方法有助于提高测评的准确性与科学性。文章主要对网络安全等级保护测评中Web应用安全渗透测试方法的应用进行了探讨,希望可以为网络安全等级保护测评提供借鉴。
关键词:网络安全;测评;Web应用安全渗透测试
中图分类号:TP393.08 文献标识码:A 文章编号:1674-1064(2021)01-042-02
DOI:10.12310/j.issn.1674-1064.2021.01.018
在信息化高速发展的今天,网络安全显得尤其重要。近年来,在国际以及国内安全形势中,频频发生网络攻击事件。2020年,国家互联网应急中心(CNCERT)协调处理了8万余起网络安全事件,切断黑客对810万台主机的控制。而且,我国网络安全基础不牢以及关键信息基础设施安全防护能力差,成为网络安全的致命弱点。因此,我国也相继出台了一系列网络安全政策法规,以期将基础信息系统的安全性提升到最基本的安全标准,同时Web应用安全也成为网络安全等级保护测评的重中之重[1]。
1 应用安全测评中渗透测试的必要性
在网络安全等级保护测评服务实施中,对信息系统的应用安全要分别从身份鉴别、访问控制、安全审计、入侵防范、数据完整性以及数据保密性等方面进行全方位安全检查,但还需配合渗透测试进行安全性评估,以便发现信息系统中应用安全存在的安全风险,并针对存在的漏洞进行及时修复整改,从而提高信息系统应用安全的整体防护水平。
2 渗透测试的定义
渗透测试首先需要在合理授权条件下,通过所掌握的各种信息系统资料,利用各种工具及各种攻击手段,模拟黑客进行安全性渗透测试评估,以获取信息系统最高权限为目的,从攻击者角度发现信息系统存在的安全弱点,进而帮助用户进行整改。
3 应用安全渗透测试步骤
3.1 授权
由于网络安全等级保护应用安全渗透测试是一个复杂且多变的过程,为了尽量避免渗透测试对业务应用正常运行造成的影响,以及可能存在的风险,需在渗透测试工作前,进行用户授权以及将可能发生的风险点告知用户;并且实施一系列安全防护措施,如与用户沟通渗透测试方案,渗透测试时间选择在业务访问量不高的时间段进行,在测试前进行重要数据备份等。
3.2 渗透测试方法与流程
信息收集与分析系统如图1所示。
跨站脚本攻击。跨站脚本是指攻击者恶意向应用程序页面插入html代码,在用户不知情的情况下浏览该网页时,其中的恶意代码会被执行,从而达到攻击用户的目的。
由于Web页面开发者对用户输入的数据过滤不充分,或者未经过滤就保存至数据库中,当其他用户访问Web页面时重新返回至访问Web页面的用户,因此就可能导致XSS漏洞的产生。所以,攻击者提交的恶意代码被其他用户所浏览访问,攻击者就间接控制了当前浏览用户的浏览器,从而窃取用户的敏感信息或者引导用户访问其他恶意网站。
跨站脚本的危害包括获取访问者用户浏览器中的cookie敏感信息,屏蔽正常页面,伪造其他恶意页面,突破局域网中的安全防护设备,并且与其他漏洞结合,形成更大危害。
口令破解。通过口令进行身份认证,是目前计算机上实现用户权限鉴别的主要手段之一,许多网络应用系统都采用用户名+密码机制进行身份认证,保护应用系统中的敏感数据。口令破解主要采用非分析手段,如穷举口令、字典攻击和软件分析等方法进行口令猜测,并且最终获取正确口令。
一般口令破解采用默认口令攻击、字典攻击以及暴力破解方式,其中:
默认口令攻击为系统和应用程序内置的口令,这些内置口令是默认公开的,一般情况下,用户首次使用这些系统或应用程序时,需要先更改默認的内置口令以避免造成安全漏洞。但有些用户由于安全意识不足,未将默认口令进行更改,从而导致攻击者可利用这些默认口令尝试获取对目标系统的访问。
密码字典攻击是基于用户可能会使用易于记忆的英语单词,或自己的姓名、生日、身份证号、电话号码等搭配作为口令,因此攻击者可通过以上信息进行组合,从而生成一个字典,进行暴力破解,如图2所示。
暴力攻击是通过穷举所有可能口令的方法来进行攻击,在现有网络计算环境中,猜测一个口令的投入很小,攻击者很容易利用软件进行连续测试,理论上只要有足够时间,所有口令都可被破解。
SQL注入。对于web应用程序而言,用户核心数据存储在数据库中,如MySQL、SQL、Server、Oracle。通过SQL注入攻击,可以获取、修改、删除数据库信息,并且通过提权来控制web服务器等其他操作。SQL注入,即攻击者通过构造特殊的SQL语句入侵目标系统,致使后台数据库泄露数据的过程。
Web应用程序开发使用的SQL、Per和PHP等语言,属于解释性语言,即在运行时,运行组件解释语言代码并执行其中包含的指令。这类解释语言易于产生代码注入攻击;攻击者可以提交一段预先构造的恶意代码作为输入,输入信息被解释为执行程序指令,从而对应用程序及执行代码注入进行攻击,SQL注入是危害最严重的攻击方式之一。
SQL注入攻击的原理为,攻击者通过post/get方式输入非法代码改变SQL语句,以达到执行SQL语句对Web应用攻击的目的,从而获得整个系统的最高权限,如图3所示。
文件上传漏洞。文件上传漏洞是指,利用应用程序中的上传路径,上传一些过滤不严且可执行的文件到服务器上,再通过URL或者其他连接工具进行连接并且执行,以达到控制服务器的目的。
4 结语
我国网络安全形势日益严峻,应用安全更是重中之重,因此文章结合网络安全等级保护应用安全与渗透测试进行了探讨,以帮助以后在等级保护测评应用安全工作中,结合渗透测试进行全方位的检测评估,将应用安全提升至一个新的高度。
参考文献
[1] 王世轶,吴江,张辉.渗透测试在网络安全等级保护测评中的应用[J].计算机应用与软件,2018,35(11):190-193.
关键词:网络安全;测评;Web应用安全渗透测试
中图分类号:TP393.08 文献标识码:A 文章编号:1674-1064(2021)01-042-02
DOI:10.12310/j.issn.1674-1064.2021.01.018
在信息化高速发展的今天,网络安全显得尤其重要。近年来,在国际以及国内安全形势中,频频发生网络攻击事件。2020年,国家互联网应急中心(CNCERT)协调处理了8万余起网络安全事件,切断黑客对810万台主机的控制。而且,我国网络安全基础不牢以及关键信息基础设施安全防护能力差,成为网络安全的致命弱点。因此,我国也相继出台了一系列网络安全政策法规,以期将基础信息系统的安全性提升到最基本的安全标准,同时Web应用安全也成为网络安全等级保护测评的重中之重[1]。
1 应用安全测评中渗透测试的必要性
在网络安全等级保护测评服务实施中,对信息系统的应用安全要分别从身份鉴别、访问控制、安全审计、入侵防范、数据完整性以及数据保密性等方面进行全方位安全检查,但还需配合渗透测试进行安全性评估,以便发现信息系统中应用安全存在的安全风险,并针对存在的漏洞进行及时修复整改,从而提高信息系统应用安全的整体防护水平。
2 渗透测试的定义
渗透测试首先需要在合理授权条件下,通过所掌握的各种信息系统资料,利用各种工具及各种攻击手段,模拟黑客进行安全性渗透测试评估,以获取信息系统最高权限为目的,从攻击者角度发现信息系统存在的安全弱点,进而帮助用户进行整改。
3 应用安全渗透测试步骤
3.1 授权
由于网络安全等级保护应用安全渗透测试是一个复杂且多变的过程,为了尽量避免渗透测试对业务应用正常运行造成的影响,以及可能存在的风险,需在渗透测试工作前,进行用户授权以及将可能发生的风险点告知用户;并且实施一系列安全防护措施,如与用户沟通渗透测试方案,渗透测试时间选择在业务访问量不高的时间段进行,在测试前进行重要数据备份等。
3.2 渗透测试方法与流程
信息收集与分析系统如图1所示。
跨站脚本攻击。跨站脚本是指攻击者恶意向应用程序页面插入html代码,在用户不知情的情况下浏览该网页时,其中的恶意代码会被执行,从而达到攻击用户的目的。
由于Web页面开发者对用户输入的数据过滤不充分,或者未经过滤就保存至数据库中,当其他用户访问Web页面时重新返回至访问Web页面的用户,因此就可能导致XSS漏洞的产生。所以,攻击者提交的恶意代码被其他用户所浏览访问,攻击者就间接控制了当前浏览用户的浏览器,从而窃取用户的敏感信息或者引导用户访问其他恶意网站。
跨站脚本的危害包括获取访问者用户浏览器中的cookie敏感信息,屏蔽正常页面,伪造其他恶意页面,突破局域网中的安全防护设备,并且与其他漏洞结合,形成更大危害。
口令破解。通过口令进行身份认证,是目前计算机上实现用户权限鉴别的主要手段之一,许多网络应用系统都采用用户名+密码机制进行身份认证,保护应用系统中的敏感数据。口令破解主要采用非分析手段,如穷举口令、字典攻击和软件分析等方法进行口令猜测,并且最终获取正确口令。
一般口令破解采用默认口令攻击、字典攻击以及暴力破解方式,其中:
默认口令攻击为系统和应用程序内置的口令,这些内置口令是默认公开的,一般情况下,用户首次使用这些系统或应用程序时,需要先更改默認的内置口令以避免造成安全漏洞。但有些用户由于安全意识不足,未将默认口令进行更改,从而导致攻击者可利用这些默认口令尝试获取对目标系统的访问。
密码字典攻击是基于用户可能会使用易于记忆的英语单词,或自己的姓名、生日、身份证号、电话号码等搭配作为口令,因此攻击者可通过以上信息进行组合,从而生成一个字典,进行暴力破解,如图2所示。
暴力攻击是通过穷举所有可能口令的方法来进行攻击,在现有网络计算环境中,猜测一个口令的投入很小,攻击者很容易利用软件进行连续测试,理论上只要有足够时间,所有口令都可被破解。
SQL注入。对于web应用程序而言,用户核心数据存储在数据库中,如MySQL、SQL、Server、Oracle。通过SQL注入攻击,可以获取、修改、删除数据库信息,并且通过提权来控制web服务器等其他操作。SQL注入,即攻击者通过构造特殊的SQL语句入侵目标系统,致使后台数据库泄露数据的过程。
Web应用程序开发使用的SQL、Per和PHP等语言,属于解释性语言,即在运行时,运行组件解释语言代码并执行其中包含的指令。这类解释语言易于产生代码注入攻击;攻击者可以提交一段预先构造的恶意代码作为输入,输入信息被解释为执行程序指令,从而对应用程序及执行代码注入进行攻击,SQL注入是危害最严重的攻击方式之一。
SQL注入攻击的原理为,攻击者通过post/get方式输入非法代码改变SQL语句,以达到执行SQL语句对Web应用攻击的目的,从而获得整个系统的最高权限,如图3所示。
文件上传漏洞。文件上传漏洞是指,利用应用程序中的上传路径,上传一些过滤不严且可执行的文件到服务器上,再通过URL或者其他连接工具进行连接并且执行,以达到控制服务器的目的。
4 结语
我国网络安全形势日益严峻,应用安全更是重中之重,因此文章结合网络安全等级保护应用安全与渗透测试进行了探讨,以帮助以后在等级保护测评应用安全工作中,结合渗透测试进行全方位的检测评估,将应用安全提升至一个新的高度。
参考文献
[1] 王世轶,吴江,张辉.渗透测试在网络安全等级保护测评中的应用[J].计算机应用与软件,2018,35(11):190-193.