《web安全測(cè)試入門》word版

1、目錄 TOC o 1-3 h z u HYPERLINK l _Toc275820784 序言 PAGEREF _Toc275820784 h 3 HYPERLINK l _Toc275820785 1 當(dāng)前 Web 安全現(xiàn)狀 PAGEREF _Toc275820785 h 3 HYPERLINK l _Toc275820786 2常見(jiàn)針對(duì) Web 應(yīng)用攻擊的十大手段 PAGEREF _Toc275820786 h 6 HYPERLINK l _Toc275820787 3 通過(guò)-Rational-AppScan 如何應(yīng)對(duì)網(wǎng)站攻擊 PAGEREF _Toc275820787 h 9 HYPER

2、LINK l _Toc275820788 4-Rational-AppScan 深入介紹 PAGEREF _Toc275820788 h 11 HYPERLINK l _Toc275820789 5-Rational-AppScan 的使用場(chǎng)景 PAGEREF _Toc275820789 h 12 HYPERLINK l _Toc275820790 6. 為企業(yè)帶來(lái)的收益 PAGEREF _Toc275820790 h 13 HYPERLINK l _Toc275820791 7.總結(jié) PAGEREF _Toc275820791 h 14序言互聯(lián)網(wǎng)的發(fā)展歷史也可以說(shuō)是攻擊與防護(hù)不斷交織發(fā)展的過(guò)

3、程。當(dāng)前，Web 安全性已經(jīng)提高一個(gè)空前的高度，然而針對(duì)網(wǎng)站的攻擊卻頻頻得手。如何最大化的保護(hù) Web 應(yīng)用呢，IBM-Rational-提出了全面的解決方案。本文將針對(duì) Web 安全的現(xiàn)狀、根源、以及-Rational-AppScan 產(chǎn)品的技術(shù)細(xì)節(jié)做全面的介紹，最后闡述IBM解決方案給企業(yè)帶來(lái)的深層次價(jià)值。1 當(dāng)前 Web 安全現(xiàn)狀互聯(lián)網(wǎng)的發(fā)展歷史也可以說(shuō)是攻擊與防護(hù)不斷交織發(fā)展的過(guò)程。目前，全球因特網(wǎng)用戶已達(dá) 13.5 億，用戶利用網(wǎng)絡(luò)進(jìn)行購(gòu)物、銀行轉(zhuǎn)賬支付和各種軟件下載，企業(yè)用戶更是依賴于互聯(lián)網(wǎng)構(gòu)建他們的核心業(yè)務(wù)，對(duì)此，Web 安全性已經(jīng)提高一個(gè)空前的高度。然而，現(xiàn)實(shí)世界中，針對(duì)網(wǎng)站的

4、攻擊愈演愈烈，頻頻得手。Card Systems 是美國(guó)一家專門處理信用卡交易資料的廠商。該公司為萬(wàn)事達(dá) (Master)、維薩 (Visa) 和美國(guó)運(yùn)通卡等主要信用卡組織提供數(shù)據(jù)外包服務(wù)，負(fù)責(zé)審核商家傳來(lái)的消費(fèi)者信用卡號(hào)碼、有效期等信息，審核后再傳送給銀行完成付款手續(xù)。這家公司為超過(guò) 10 萬(wàn)家企業(yè)處理信用卡信息，每年業(yè)務(wù)金額超過(guò) 150 億美元。這家已有 15 年歷史的公司怎么也沒(méi)想到，居然有黑客惡意侵入了它的電腦系統(tǒng)，竊取了 4000 萬(wàn)張信用卡的資料。這些資料包括持卡人的姓名、賬戶號(hào)碼等。這是美國(guó)有史以來(lái)最嚴(yán)重的信用卡資料泄密事件。此次攻擊事件不僅僅對(duì)消費(fèi)者，對(duì)公司造成了巨大的損失，甚

5、至對(duì)美國(guó)的信用卡產(chǎn)業(yè)產(chǎn)生了嚴(yán)重的影響!1.1 Web 安全的認(rèn)識(shí)誤區(qū)然而什么才是 Web 安全呢，或者說(shuō)什么樣的網(wǎng)站才是安全的呢?用戶往往有一些常見(jiàn)的誤區(qū)。“Web 網(wǎng)站使用了防火墻，所以很安全”無(wú)論是應(yīng)用級(jí)還是端口級(jí)的防火墻針對(duì)的都是網(wǎng)絡(luò)層面的攻擊，通過(guò)設(shè)置可訪問(wèn)的端口或者應(yīng)用，把惡意訪問(wèn)排除在外，然而如何鑒別善意訪問(wèn)和惡意訪問(wèn)是一個(gè)問(wèn)題。訪問(wèn)一旦被允許，后續(xù)的安全問(wèn)題就不是防火墻能應(yīng)對(duì)了?！癢eb 網(wǎng)站使用了 IDS，所以很安全”通過(guò)模式識(shí)別對(duì)網(wǎng)絡(luò)層面的攻擊做出防護(hù)措施。然而類似于防火墻，通過(guò)利用程序漏洞，通過(guò)正常連接進(jìn)行攻擊的訪問(wèn)無(wú)法被識(shí)別和處理?！癢eb 網(wǎng)站使用了 SSL 加密，所以

6、很安全”SSL 對(duì)網(wǎng)站發(fā)送和接收的信息都進(jìn)行加密處理，然而 SSL 無(wú)法保障存儲(chǔ)在網(wǎng)站里的信息的安全和網(wǎng)站訪問(wèn)者的隱私信息。采用 64 位甚至 128 位 SSL 加密的網(wǎng)站被黑客攻陷的例子舉不勝舉?！奥┒磼呙韫ぞ邲](méi)發(fā)現(xiàn)任何問(wèn)題，所以很安全”當(dāng)前漏洞掃描工具已經(jīng)被廣泛使用去查找一些明顯的網(wǎng)絡(luò)安全漏洞。同理，掃描工具無(wú)法對(duì)網(wǎng)站應(yīng)用程序進(jìn)行檢測(cè)，無(wú)法查找應(yīng)用本身的漏洞?！拔覀兠考径榷紩?huì)聘用安全人員(Pen Tester)進(jìn)行審計(jì)，所以很安全”人為的檢測(cè)考察不僅僅效率低，不可控因素也較多，同時(shí)對(duì)于代碼變更頻繁的今天，Pen Tester 也無(wú)法滿足全面的安全需求然而這些方法遠(yuǎn)遠(yuǎn)不能保障 Web 應(yīng)用

7、的安全，針對(duì)應(yīng)用層面的攻擊可以輕松的突破防火墻保護(hù)的網(wǎng)站。例如：最為常見(jiàn)的 SQL 注入攻擊表現(xiàn)層面完全是正常的數(shù)據(jù)交互查詢。對(duì)于防火墻或者入侵檢測(cè)系統(tǒng)而言，這是最為正常的訪問(wèn)連接，沒(méi)有任何特征能夠說(shuō)明此種訪問(wèn)連接存在惡意攻擊。所以，一些簡(jiǎn)單的 SQL 注入語(yǔ)句就可以使得裝備昂貴網(wǎng)絡(luò)安全設(shè)備的網(wǎng)站被輕松攻破。1.2 Web 安全現(xiàn)狀令人驚詫的是，幾乎所有關(guān)注 Web 安全領(lǐng)域的人都會(huì)存在著上面我們闡述的誤區(qū)，而當(dāng)前 Web 的安全現(xiàn)狀也同時(shí)證明了這些誤區(qū)的普遍性?！胺阑饓?、IDS 是主要安全手段，SSL 保證了安全性，”與之相對(duì)的是：互聯(lián)網(wǎng)發(fā)展到今天，75%的安全問(wèn)題竟然是出現(xiàn)在應(yīng)用程序本身。

8、正如上面介紹的 SQL 注入攻擊一樣，這是防火墻、SSL、入侵檢測(cè)系統(tǒng)無(wú)法預(yù)防、解決、和應(yīng)對(duì)的!如下圖所示，目前安全投資中，只有 10%花在了如何防護(hù)應(yīng)用安全漏洞，而這卻是 75%的攻擊來(lái)源10% Vs 75%，這是多么大的差距!這也是造成當(dāng)前 Web 站點(diǎn)頻頻被攻陷的一個(gè)重要因素。圖 1. 當(dāng)前安全現(xiàn)狀統(tǒng)計(jì)分析圖那么，什么樣的防護(hù)才是一個(gè)完整的解決方案呢?通過(guò)附圖 2 我們可以看到，一個(gè)完整的 Web 防護(hù)不僅僅包含了常見(jiàn)的 IDS、Firewall 等防護(hù)手段，更需要針對(duì)應(yīng)用本身做好安全防護(hù)，這也是解決 75%安全漏洞的手段。那么什么樣的攻擊是防火墻、IDS、或者 SSL 無(wú)法應(yīng)對(duì)的呢，他

9、們又是如何利用應(yīng)用本身的漏洞進(jìn)行攻擊的呢?下面我們將做詳細(xì)的闡述。圖 2. Web 應(yīng)用的網(wǎng)絡(luò)防護(hù)2常見(jiàn)針對(duì) Web 應(yīng)用攻擊的十大手段目前常用的針對(duì)應(yīng)用漏洞的攻擊已經(jīng)多達(dá)幾百種，最為常見(jiàn)的攻擊為下表列出的十種。十大攻擊手段應(yīng)用威脅負(fù)面影響后果跨網(wǎng)站腳本攻擊標(biāo)識(shí)盜竊，敏感數(shù)據(jù)丟失黑客可以模擬合法用戶，控制其帳戶。注入攻擊通過(guò)構(gòu)造查詢對(duì)數(shù)據(jù)庫(kù)、LDAP 和其他系統(tǒng)進(jìn)行非法查詢。黑客可以訪問(wèn)后端數(shù)據(jù)庫(kù)信息，修改、盜竊。惡意文件執(zhí)行在服務(wù)器上執(zhí)行 Shell 命令 Execute，獲取控制權(quán)。被修改的站點(diǎn)將所有交易傳送給黑客不安全對(duì)象引用黑客訪問(wèn)敏感文件和資源Web 應(yīng)用返回敏感文件內(nèi)容偽造跨站點(diǎn)請(qǐng)

10、求黑客調(diào)用 Blind 動(dòng)作，模擬合法用戶黑客發(fā)起 Blind 請(qǐng)求，要求進(jìn)行轉(zhuǎn)帳信息瀉露和不正確的錯(cuò)誤處理黑客得到詳細(xì)系統(tǒng)信息惡意的系統(tǒng)檢測(cè)可能有助于更深入的攻擊被破壞的認(rèn)證和 Session 管理Session token 沒(méi)有被很好的保護(hù)在用戶推出系統(tǒng)后，黑客能夠盜竊 session。不安全的木馬存儲(chǔ)過(guò)于簡(jiǎn)單的加密技術(shù)導(dǎo)致黑客破解編密碼隱秘信息被黑客解密盜竊不安全的通訊敏感信息在不安全通道中以非加密方式傳送黑客可以通過(guò)嗅探器嗅探敏感信息，模擬合法用戶。URL 訪問(wèn)限制失效黑客可以訪問(wèn)非授權(quán)的資源連接黑客可以強(qiáng)行訪問(wèn)一些登陸網(wǎng)頁(yè)、歷史網(wǎng)頁(yè)。我們通過(guò)注入缺陷(Injection Flaws，

11、排名第二的攻擊)對(duì)攻擊原理進(jìn)行一下說(shuō)明。在網(wǎng)站的應(yīng)用中需要應(yīng)用到大量的數(shù)據(jù)庫(kù)查詢檢索等功能，例如最簡(jiǎn)單的例子是網(wǎng)站登陸，用戶需要輸入登陸名稱和密碼進(jìn)行登陸認(rèn)證。在早期的開(kāi)發(fā)中通常使用最為簡(jiǎn)單的 select 語(yǔ)句實(shí)現(xiàn)此功能，即 select * from users where username = “XXXX” and password = “XXXX”( 假設(shè)數(shù)據(jù)庫(kù) user 表名稱為 users，用戶名和密碼字段名稱為 username 和 password)。通過(guò)截取用戶在文本框中錄入的字符串，再進(jìn)行拼接，形成 select 語(yǔ)句，最終如果表 users 中有符合此條件的記錄(即該用戶

12、名和密碼)，系統(tǒng)將會(huì)返回有效記錄，從而允許登陸系統(tǒng)中。然而，此開(kāi)發(fā)方法隱藏了一個(gè)巨大的漏洞，黑客可以通過(guò) SQL 注入攻擊攻入網(wǎng)站。如下圖所示，黑客在登陸界面錄入的不是用戶名，而是一串字符串 (or 1=1 -)。黑客的目的是在原本應(yīng)該錄入用戶的地方錄入了一串字符串，導(dǎo)致整個(gè) select 語(yǔ)句發(fā)生了變化：select * from users where username=or 1=1。熟知 Select 語(yǔ)句的人知道，在條件語(yǔ)句中，無(wú)論用戶名稱是否正確，由于 1=1 永遠(yuǎn)是正確的，所以 select 將會(huì)將所有 users 表中的數(shù)據(jù)返回。最終的結(jié)果是，黑客登陸到這個(gè)系統(tǒng)中。通過(guò) SQL

13、注入攻擊，黑客可以輕松的敲入一些 sql 語(yǔ)句登陸進(jìn)網(wǎng)站、對(duì)隱秘?cái)?shù)據(jù)進(jìn)行查詢等等。圖 3. 攻擊舉例通過(guò)上述原理描述我們可以看到，對(duì)于 SQL 注入攻擊無(wú)論是防火墻還是入侵檢測(cè)系統(tǒng)都無(wú)法預(yù)防和阻止，唯一的辦法是將應(yīng)用本身的漏洞關(guān)閉。例如通過(guò)參數(shù)的傳遞配合存貯過(guò)程來(lái)實(shí)現(xiàn)數(shù)據(jù)庫(kù)查詢，這比動(dòng)態(tài)的構(gòu)建 sql 語(yǔ)句安全很多。比如在 ASP.net 中通過(guò)下面的程序?qū)?huì)避免攻擊： Visual Basic exampleDim DS As DataSetDim MyConnection As SqlConnectionDim MyCommand As SqlDataAdapterDim SelectCo

14、mmand As String = select * from users where username = username.MyCommand.SelectCommand.Parameters.Add(New SqlParameter(username,SqlDbType.NVarChar, 20)MyCommand.SelectCommand.Parameters(username).Value = UserNameField.Value/ C# exampleString selectCmd = select * from Authors where state = username;

15、SqlConnection myConnection = new SqlConnection(server=.);SqlDataAdapter myCommand = new SqlDataAdapter(selectCmd, myConnection);myCommand.SelectCommand.Parameters.Add(new SqlParameter(username,SqlDbType.NVarChar, 20);myCommand.SelectCommand.Parametersusername.Value = UserNameField.Value;除了注入缺陷攻擊，常見(jiàn)的

16、應(yīng)用攻擊還有跨網(wǎng)站腳本攻擊、惡意文件執(zhí)行攻擊、不安全直接對(duì)象應(yīng)用攻擊、跨站點(diǎn)請(qǐng)求偽造攻擊、信息泄漏以及利用錯(cuò)誤處理機(jī)制展開(kāi)攻擊、等等。每種攻擊都類似與 SQL 注入攻擊，根據(jù)應(yīng)用程序本身的漏洞，對(duì)系統(tǒng)進(jìn)行破壞工作，例如：獲取系統(tǒng)權(quán)限、獲取機(jī)密信息、模擬合法用戶等等。綜上所述，這些利用 Web 應(yīng)用漏洞的攻擊是 Web 安全最主要的威脅來(lái)源，75%的攻擊來(lái)源于此，只有對(duì)應(yīng)用程序本身進(jìn)行改造才能避免攻擊。然而，如何發(fā)現(xiàn)這些應(yīng)用漏洞是保證安全的第一前提，我們?nèi)绾我宰羁熳钣行У姆绞桨l(fā)現(xiàn) Web 應(yīng)用本身的漏洞呢?沒(méi)有高效檢測(cè)手段，安全的 Web 應(yīng)用將成為水中花鏡中月。3 通過(guò)-Rational-Ap

17、pScan 如何應(yīng)對(duì)網(wǎng)站攻擊IBM-Rational-AppScan 正是應(yīng)對(duì)這一挑戰(zhàn)的利器。如下圖所示，Rational AppScan 工作方式比較簡(jiǎn)單，就像一個(gè)黑盒測(cè)試工具一樣，測(cè)試人員不需要了解 Web 應(yīng)用本身的結(jié)構(gòu)。AppScan 擁有龐大完整的攻擊特征庫(kù)，通過(guò)在 http request 中插入測(cè)試用例的方法實(shí)現(xiàn)幾百中應(yīng)用攻擊，再通過(guò)分析 http response 判斷該應(yīng)用是否存在相應(yīng)的漏洞。整個(gè)過(guò)程簡(jiǎn)單易懂高效，測(cè)試人員可以快速的定位漏洞所在的位置，同時(shí) AppScan 可以詳細(xì)指出該漏洞的原理以及解決該漏洞的方法，幫助開(kāi)發(fā)人員迅速修復(fù)程序安全隱患。對(duì)于攻擊的特征以及測(cè)試用

18、例用戶不需要花費(fèi)大量的精力，WatchFire 團(tuán)隊(duì)定期的對(duì)特征庫(kù)進(jìn)行更新，隨著保證與業(yè)界的同步，最大化的提高用戶的工作效率。圖 4.-Rational-AppScan 工作示意圖下面我們通過(guò)簡(jiǎn)單的實(shí)例介紹一下-Rational-AppScan 的使用：定義掃描首先確定掃描站點(diǎn)的 URL，根據(jù)默認(rèn)的模板配置向?qū)?，確定掃描的整個(gè)站點(diǎn)模型以及你想掃描的漏洞種類。例如，我想掃描企業(yè)應(yīng)用 ，想根據(jù)默認(rèn)值掃描是否有安全隱患，啟動(dòng) AppScan，創(chuàng)建一個(gè)掃描，敲入 ; 根據(jù)配置向?qū)е敝镣瓿伞D 5. 默認(rèn)的模板配置向?qū)D 6. 創(chuàng)建一個(gè)掃描掃描啟動(dòng)，進(jìn)行測(cè)試只需要點(diǎn)擊執(zhí)行。掃描結(jié)果查看如圖所示，AppS

19、can 以各種維度展現(xiàn)了掃描后的結(jié)果，不僅僅定位了問(wèn)題發(fā)生的位置，也提出了問(wèn)題的解決方案。圖 7. 掃描后的結(jié)果4-Rational-AppScan 深入介紹Rational AppScan 同時(shí)提供了很多高級(jí)功能，幫助客戶對(duì)復(fù)雜應(yīng)用進(jìn)行檢測(cè)。支持的掃描配置有：Starting URL：起始 URL，制定被測(cè)應(yīng)用的起始地址Custom Error Pages：制定錯(cuò)誤網(wǎng)頁(yè)提高測(cè)試效率Session IDs：管理測(cè)試過(guò)程中的 sessionAutomatic Server Detection：自動(dòng)檢測(cè)應(yīng)用所在的應(yīng)用服務(wù)器、web server、操作系統(tǒng)Exclusion and Inclusio

20、n：制定哪些 Web 被掃描或者被排除，哪些文件類型不被掃描Scan Limits：其他高級(jí)掃描限制，例如掃描次數(shù)限制等Advanced：掃描的方式，是寬度掃描還是深度掃描Communication Settings：對(duì)掃描中的延時(shí)、線程數(shù)量進(jìn)行配置Proxy Settings：代理設(shè)置vLogin/logout：對(duì)被測(cè)應(yīng)用的登陸進(jìn)行設(shè)置，可以采用錄制回放的方式、也可以使用自動(dòng)登陸的方式configure a Test Policy: 配置測(cè)試測(cè)量，即想測(cè)試哪些漏洞。如上所述，用戶可以通過(guò) AppScan 進(jìn)行一系列高級(jí)配置，制定所要檢測(cè)的 Web 模型，即哪些需要掃描、哪些不需要、掃描的方式

21、等等;也可以定義需要掃描漏洞的列表，從而保證了用戶關(guān)心的網(wǎng)站模型有無(wú)用戶所關(guān)心的安全漏洞。在檢測(cè)出安全漏洞之后，AppScan 又提供了全面的解決方案幫助客戶快速解決這些問(wèn)題，最大化的保證 Web 應(yīng)用的安全。另外，對(duì)于 Web 服務(wù) AppScan 同樣可以支持。AppScan 提供了完善的報(bào)表功能，可以支持用戶對(duì)掃描的結(jié)果進(jìn)行各種分析，包括對(duì)行業(yè)或者法規(guī)的支持程度;同時(shí)，AppScan 也提供了一系列的小工具，例如：Authentication Tester 通過(guò)暴力檢測(cè)方法掃描被測(cè)網(wǎng)站的用戶名稱和密碼;HTTP Request Editor 提供了編輯 Http request 的功能，

22、等等。5-Rational-AppScan 的使用場(chǎng)景在整個(gè)軟件開(kāi)發(fā)生命周期中的各個(gè)階段，Rational AppScan 都可以被使用，全面的保障了軟件的安全性。如下圖所示，軟件開(kāi)發(fā)過(guò)程中，軟件開(kāi)發(fā)人員、軟件測(cè)試人員、QA、審核人員等諸多角色都可以通過(guò) AppScan 檢測(cè)應(yīng)用，將漏洞盡早挖掘出來(lái)。下面我們通過(guò)一些使用場(chǎng)景介紹一下 AppScan 給軟件開(kāi)發(fā)帶來(lái)的利益。圖 8. AppScan 使用場(chǎng)景5.1 開(kāi)發(fā)人員使用 AppScan開(kāi)發(fā)人員在開(kāi)發(fā)過(guò)程中可以使用 AppScan 或者專用插件，隨時(shí)開(kāi)發(fā)隨時(shí)測(cè)試，最大化的保證個(gè)人開(kāi)發(fā)程序的安全性。越早發(fā)現(xiàn)問(wèn)題，解決問(wèn)題的成本就越低，這為 W

23、eb 應(yīng)用的安全提供了最為堅(jiān)實(shí)的基礎(chǔ)保障。測(cè)試人員使用 AppScan系統(tǒng)測(cè)試人員使用 AppScan 對(duì)應(yīng)用做全面的測(cè)試，一旦發(fā)現(xiàn)問(wèn)題，可以快速的生成 defect，通過(guò)與 ClearQuest 的集成可以實(shí)現(xiàn) defect 電子化跟蹤，再傳遞到開(kāi)發(fā)人員手中，指導(dǎo)開(kāi)發(fā)人員迅速解決問(wèn)題。極大的提高了開(kāi)發(fā)團(tuán)隊(duì)的開(kāi)發(fā)效率，也提供了完整了溝通平臺(tái)解決方案。5.3 審核人員上線前使用 AppScan這是系統(tǒng)上線前的安全質(zhì)量關(guān)卡。任何系統(tǒng)上線都應(yīng)該經(jīng)過(guò)嚴(yán)格的上線測(cè)試，這也最大化的減少了上線后問(wèn)題的出現(xiàn)，避免生產(chǎn)系統(tǒng)上線后給企業(yè)帶來(lái)的巨額損失。5.4 上線后審計(jì)、監(jiān)控人員使用 AppScan上線的系統(tǒng)應(yīng)該定期檢測(cè)，一旦出現(xiàn)問(wèn)題更應(yīng)該及時(shí)檢測(cè)，越快速的定位發(fā)現(xiàn)問(wèn)題，損失就會(huì)越小。上面我們介紹的是比較通用的使用場(chǎng)景。當(dāng)然，不同的企業(yè)可能不同的特點(diǎn)，AppScan 使用場(chǎng)景的原則是最大化的提高使用效率、盡早的把問(wèn)題暴露出來(lái)，為應(yīng)用安全打下堅(jiān)實(shí)的基礎(chǔ)。每個(gè)企業(yè)都可以根據(jù)自身的開(kāi)發(fā)現(xiàn)狀定義適合自己的使用模式。6. 為企業(yè)帶來(lái)的收益通過(guò)上面的介紹，我們對(duì) Web 安全現(xiàn)狀、應(yīng)用安全重要性、以及應(yīng)用安全產(chǎn)品-Rational-AppScan 的使用有了一定的認(rèn)識(shí)。但是，工