滲透測試在辦公網站開發(fā)的應用研究

張如云（江蘇安全技術職業(yè)學院　徐州　221011）

?

滲透測試在辦公網站開發(fā)的應用研究

張如云
（江蘇安全技術職業(yè)學院徐州221011）

摘要隨著軟件開發(fā)技術的快速發(fā)展，辦公網站的結構日趨復雜，辦公面臨的安全威脅、威脅的主體及其動機和能力、威脅的客體等方面都變得更加復雜和難于控制。應對安全威脅的途徑之一就是采用滲透測試的方法模擬黑客的攻擊，本文介紹了滲透測試的定義和目的，介紹了滲透測試的類型，分析了滲透測試過程中的風險控制，闡述了滲透測試的一般步驟，強調了滲透測試的注意事項，最后，對滲透測試進行了總結。對軟件開發(fā)者對辦公網站進行滲透測試具有較強的指導意義。

關鍵詞滲透測試辦公網站開發(fā)應用研究

當辦公系統(tǒng)被部署到辦公網站上時，其會面對成千上萬的測試，其中不乏來自黑客的“惡意”攻擊，辦公系統(tǒng)提供的服務越多，遭受攻擊的概率就越高。雖然就“安全系統(tǒng)開發(fā)生命周期”問題而言，辦公系統(tǒng)從一開始規(guī)劃就必須注重相關的安全防護，但一組辦公系統(tǒng)的成型要經過許多人之手，如何保證每個人都盡到安全防護的責任呢？對系統(tǒng)又該如何驗證呢？況且每天都有新的缺陷、漏洞被發(fā)現，如何判斷原本安全的辦公系統(tǒng)是否存在新的漏洞呢？要完成這些任務，就需要依靠良性測試-滲透測試來完成。

一、滲透測試的涵義

所謂滲透測試［1］，就是通過模擬惡意黑客的攻擊方法，來評估計算機網絡系統(tǒng)安全的一種評估方法。這個過程包括對系統(tǒng)的任何弱點、技術缺陷或漏洞的主動分析，其從一個攻擊者可能存在的位置來進行的，并且從這個位置有條件主動利用安全漏洞。滲透測試有兩個顯著特點：（1）滲透測試是一個漸進的并且逐步深入的過程。（2）滲透測試是選擇不影響業(yè)務系統(tǒng)正常運行的攻擊方法進行的測試。

二、滲透測試的目的

1、解入侵者可能利用的途徑，一般有如下途徑

（1）信息不當；

（2）網絡架構存在設計問題；

（3）防火墻設置存在問題；

（4）系統(tǒng)和應用程序之中存在漏洞；

（5）系統(tǒng)和應用程序設置存在問題。

2、了解系統(tǒng)及網絡的安全強度

從三個方面進行評估：

（1）評估具有同等能力的入侵者大約需要花費多久的時間才能入侵成功；

（2）評估遭到入侵后可能造成的影響；

（3）評估信息通信安全政策的落實程度。

3、了解辦公系統(tǒng)存在的弱點，強化其安全

（1）強化系統(tǒng)及網絡的安全；

（2）降低遭到入侵后的損失。

三、滲透測試的類型

滲透測試是利用黑客的觀點、技術、工具［2］對目標系統(tǒng)仿照黑客的攻擊手段，以找出本系統(tǒng)的缺陷或漏洞，并提供客戶修補建議，以作為系統(tǒng)強化的手段，因此，滲透測試不是要擊垮系統(tǒng)，而是找出弱點作為改善的依據，進行滲透測試時，根據甲方和乙方對測試內容的熟練程度，可分為5種類型。

1、黑箱

甲方只提供受測目標的名稱或URL，乙方必須在測試活動期間自行搜集其他相關信息。感覺上，除了知道敵人是誰外，其他如敵人的部署、配備、數量全部未知，就像拿到一只看不透的黑箱子，使用黑箱測試，是在考驗乙方的黑客技巧，因為這種模式最接近實際黑客攻擊的情況。

2、白箱

甲方會盡可能提供標靶的信息，讓乙方盡可能將精力放在找出受測系統(tǒng)的缺陷（漏洞）上，因為乙方知曉受測目標的部署情況，可事先擬好策略，就像拿到一只透明的箱子，可以知道箱子里放的是什么東西。使用白箱測試，是在考驗系統(tǒng)的安全防護能力。

3、灰箱

當然，有時候甲方并不是非常清楚受測系統(tǒng)的信息，例如一些外包開發(fā)的系統(tǒng)，若無法主動提供完整的受測目標信息，乙方就無法事先取得系統(tǒng)信息，不過甲方還是盡可能協助乙方取得相當多的信息，所以灰箱測試是介于黑箱和白箱之間的測試。

4、雙黑箱

有時，甲方想盡可能以模擬黑客攻擊的情景進行測試，不僅要測驗系統(tǒng)的防護能力，同時也要測試乙方人員的警覺性或應變能力，在對內部人員保密的情況下，暗地委托乙方進行滲透測試操作，相關人員并不知道滲透測試的進行，而乙方亦無法得到詳細的受測系統(tǒng)信息，因此，攻防雙方都在暗地里較勁。

5、雙白箱

雙方都知道彼此的存在，最主要的目的是乙方協助甲方找出并確認系統(tǒng)漏洞。

相對而言，陸軍的BIM發(fā)展政策最為完善和系統(tǒng)化。 而其中起決定性作用的是美國陸軍工程兵部隊 (US Army Corps of Engineers，USACE)。 陸軍工程兵部隊為美國國防部下屬所有國內和海外軍事設施提供工程設計、項目管理、施工管理以及運行維護服務。早在2006年10月，陸軍工程兵部隊下屬工程研究與發(fā)展中心 (Engineer Research and Development Center，ERDC) 制定并發(fā)布了未來15年的BIM發(fā)展路線規(guī)劃，承諾未來所有軍事建筑項目都使用BIM技術，其階段性的目標和長期戰(zhàn)略目標見圖2。 這意味著BIM在軍事建筑領域將全面普及。

四、滲透測試中的風險控制

由于滲透測試模擬了真實的攻擊者，所以有可能對網絡本身的正常運行造成損害。為了減少或消除滲透測試本身對網絡運行的消極影響，有必要對滲透測試的風險［3］進行控制。

滲透測試可能帶來如下風險：一是高強度的掃描導致網絡流量和主機資源占用較大，可能導致系統(tǒng)異常；二是口令破解，例如弱口令測試，可能導致違反系統(tǒng)安全策略，導致用戶賬戶鎖定；三是由于應用系統(tǒng)的復雜性，系統(tǒng)測試可能會導致系統(tǒng)配置變化，從而發(fā)生業(yè)務異常；四是用戶信息泄漏給被測系統(tǒng)帶來的風險。

滲透測試過程中可能對業(yè)務產生影響，可采取以下措施來減小風險：一是滲透測試工具必須在測試環(huán)境中進行嚴格測試，在關鍵系統(tǒng)的滲透測試中，應慎用對目標系統(tǒng)有損傷性的滲透工具；二是為減輕滲透測試對網絡和主機的影響，滲透測試時間盡量安排在業(yè)務量不大的時段進行；三是為防止在滲透測試過程中出現異常的情況，測試執(zhí)行應根據業(yè)務需要做好充分的備份，以便在測試過程中系統(tǒng)發(fā)生異常能及時恢復；四是對于不能接受任何可能風險的系統(tǒng)，應在鏡像系統(tǒng)中進行測試；五是應嚴格控制掃描策略，不使用含有拒絕服務的測試策略；六是應嚴格控制操作流程，測試人員應嚴格按照滲透測試方案來操作，并詳細記錄滲透結果日志。

五、滲透測試的步驟

1、測試前的準備

進行滲透測試之前，應先跟甲方協商測試范圍、測試期間及時段、測試方法或使用工具、測試判定條件等。

2、啟動會議

依據執(zhí)行計劃書規(guī)劃的時間，在進行測試之前由甲方與乙方的相關人員共同召開會議，乙方于會議中說明預計進行事項及時間規(guī)劃，若甲方對乙方的說明事項無異議時，即宣布測試操作正式開始。

3、信息搜集

4、網絡與主機掃描

確定受測目標的IP后，可嘗試跟受測目標互動，以取得打開的端口列表、使用的操作系統(tǒng)、網絡應用程序的名稱與版本、是否存在已知的缺陷，如果可以，甚至可找出網站的負責人、維護人員，或潛在用戶的信息，這將對猜測系統(tǒng)的賬號、密碼有幫助。

5、弱點利用

在上一步驟中找到任何可疑的漏洞，都是此階段應加以驗證的地方。利用這些可能存在的缺陷，嘗試取得系統(tǒng)的控制權或存取敏感數據的能力。

6、入侵之后

該步驟不一定要執(zhí)行。如果真要執(zhí)行，應事先跟甲方說明潛在的風險，任何植入的后門或行蹤隱藏動作，都可能被轉移成黑客入侵的通道或無意間清除黑客入侵的痕跡。

7、纂寫滲透測試報告

滲透測試操作完成后，需提交一份報告書給甲方，其報告應包括如下內容：

（1）測試的過程記錄；

（2）所有缺陷及其造成的影響，若為誤判，應說明無法進行達成滲透的測試步驟；

（3）缺陷或漏洞的風險等級及修補建議。

8、召開結案會議

測試完成后，雙方召開結案會議，由乙方在會議中報告執(zhí)行的過程及結果，并提出修正或防護建議，即將滲透測試報告書的內容摘錄成簡報，由甲方確認測試結果，若甲方對報告內容無異議，即可完成滲透測試項目。

六、有關滲透測試的注意事項

1、是“健康檢查”，而不是攻擊

滲透測試［4］是為了提升甲方系統(tǒng)的安全性，盡早挖掘現存的缺陷，作為改善的依據，而執(zhí)行滲透測試必須兼顧系統(tǒng)服務的持續(xù)進行，要事先制定因進行測試造成系統(tǒng)停止服務的處理對策。

2、是稽查，而不是竊取

滲透測試可印證甲方在信息安全政策方面的落實情況，是一種稽查行為，滲透測試結束后，相關信息必須完全交給甲方，作為甲方持續(xù)改進信息通信安全的策略參考，除非經甲方同意，否則不該留存副本。

3、防護是測試的目的

滲透測試發(fā)現的弱點，必須提出相應的防護對策，以供甲方參考。

七、結論

總之，滲透測試能夠通過識別安全問題來幫助一個單位理解當前的安全狀況。這使促使許多單位開發(fā)操作規(guī)劃來減少攻擊或誤用的威脅。撰寫良好的滲透測試結果可以幫助管理人員建立可靠的商業(yè)案例，以便證明所增加的安全性預算或者將安全性問題傳達到高級管理層。安全性［5］不是某時刻的解決方案，而是需要嚴格評估的一個過程。安全性措施需要進行定期檢查，才能發(fā)現新的威脅。滲透測試可使許多單位重視他們最需要的內部安全資源。

參考文獻

［1］曹鑫，路遙，賀宏.基于滲透測試的SQL注入漏洞檢測與防范［J］.科學與財富，2016（1）：582.

［2］田立軍滲透性測試技術及方法研究［J］.鐵路計算機應用，2015（2）：8-12.

［3］黃偉軍.基于滲透測試的信息安全風險評估過程［J］.中國管理信息化，2015（15）：99-102.

［4］董曉露，王小軍，王玥，王聰，孫雯，謝于寧.基于WebGoat的滲透測試教學平臺開發(fā)與應用［J］.大眾科技，2015（3）：131-133+158.

［5］劉翠.滲透測試技術的應用分析［J］.產業(yè)與科技論壇，2014（11）：65-66.

The Applied Research on Penetration Testing in the Office Website Development

Zhang Yuyun
（Jiangsu Security Technology Career AcademyXuzhou221011）

AbstractWith the rapid development of the software development technology，office site structure is complicated，the body of the office of the security threats and threats and their motivation and ability in such aspects as the object of threats and become more complicated and difficult to control. One way to deal with security threats is penetration testing methods are adopted to simulate the hacker's attack，the definition and purpose of this paper introduces the penetration testing，this paper introduces the types of penetration testing，penetration testing is analyzed in the process of risk control，this paper expounds the general steps of penetration testing，penetration testing is emphasized considerations，in the end，the penetration test are summarized. For software developers penetration test was carried out on the office website has strong guiding significance.

KeywordsPenetration testingOffice websiteDevelopmentApplicationResearch

中圖分類號TP311.52

文獻標識碼A

文章編號160311-7223

作者簡介

張如云（1979～），女，漢，江蘇南通人，教研室主任，副教授；主要研究方向：電子商務。