基于滲透測試的漏洞危害實例分析與防范策略

劉陽

摘 要：信息系統(tǒng)遭受入侵的主要原因是系統(tǒng)存在漏洞。漏洞是系統(tǒng)中客觀存在的，它的存在并不能導致對系統(tǒng)的損害，但是攻擊者可以利用漏洞對系統(tǒng)實施攻擊，在機密性、完整性和可用性等方面造成損害。文章以互聯(lián)網(wǎng)信息系統(tǒng)滲透測試為基礎(chǔ)，對漏洞危害進行實例分析，提出安全防范策略。

關(guān)鍵詞：信息系統(tǒng)；安全漏洞；危害分析；防范措施

中圖分類號：TP393 文獻標識碼：B

Example analysis and prevention strategy of loopholes

in penetration tests

Abstract： Loophole in systems is the primary reason why systems are penetrable. The existence of loopholes is inevitable， and cannot directly jeopardize the system. However the attacker can take advantage of loopholes to initiate an attack， and cause damage to the confidentiality， integrity， and accessibility of the system. The following passage analyzes representative cases and formulates prevention strategies based on penetration tests performed on Internet network informatics.

Key words： information system； security breach； damage analysis； prevention strategy

1 引言

信息系統(tǒng)遭受入侵的主要原因是系統(tǒng)存在漏洞，漏洞也叫脆弱性，是信息系統(tǒng)在設(shè)計、編碼、實現(xiàn)、配置、運行中有意或無意產(chǎn)生的。漏洞是信息系統(tǒng)中客觀存在的，它的存在并不能導致對系統(tǒng)的損害，但是攻擊者可以利用漏洞對系統(tǒng)實施攻擊，在機密性、完整性和可用性等方面造成損害。

2 信息系統(tǒng)安全風險測評

在信息系統(tǒng)安全運維工作中，開展安全風險評估和滲透測試，是發(fā)現(xiàn)網(wǎng)絡(luò)安全問題和缺陷、彌補安全漏洞、確保系統(tǒng)穩(wěn)定運行的有效手段。通過網(wǎng)絡(luò)拓撲分析、漏洞掃描工具、滲透測試、安全基線配置檢查等手段對信息資產(chǎn)產(chǎn)生的安全漏洞進行識別，確定漏洞可利用程度，評估影響范圍及危害程度。

以一次安全測評服務(wù)為例，對40個互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的295臺主機進行安全檢測，其中32項業(yè)務(wù)系統(tǒng)的64臺主機被檢測到漏洞，分別占比例80%和21.7%。共計發(fā)現(xiàn)中高危漏洞152個，其中緊急漏洞5個，高危漏62個，中危漏洞85個。這些系統(tǒng)不同程度地存在Web應(yīng)用安全配置錯誤、Web應(yīng)用注入漏洞、XSS跨站漏洞、Web服務(wù)的默認管理網(wǎng)頁、中間件使用了有缺陷的版本、弱口令等問題。這些問題是業(yè)務(wù)系統(tǒng)面臨的主要威脅，存在極大的安全風險，在開放的互聯(lián)網(wǎng)環(huán)境中，將嚴重威脅業(yè)務(wù)系統(tǒng)信息安全。

3 信息安全漏洞危害實例分析

系統(tǒng)漏洞對安全造成的威脅不限于它的直接可能性，一次成功的入侵行為往往不需要高超的技術(shù)，只需要收集、過濾信息，層層深入，利用系統(tǒng)安全漏洞實施攻擊，獲取管理員權(quán)限，獲取系統(tǒng)敏感信息，破壞系統(tǒng)及網(wǎng)絡(luò)的正常運行。下面分析利用風險測評中發(fā)現(xiàn)的安全漏洞進行攻擊的實例，闡述安全漏洞對系統(tǒng)的危害性。

目錄遍歷漏洞是由Web服務(wù)器或者Web應(yīng)用程序?qū)τ脩糨斎氲奈募Q的安全性驗證不足而導致的一種安全漏洞，使得攻擊者通過利用一些特殊字符就可以繞過服務(wù)器的安全限制，訪問任意的文件，甚至執(zhí)行系統(tǒng)命令。

攻擊者通過NMAP掃描，確定系統(tǒng)內(nèi)部分服務(wù)器開放了Web服務(wù)和SSH服務(wù)。使用Web漏洞掃描軟件進行掃描，發(fā)現(xiàn)存在一個目錄遍歷漏洞。仔細查看目錄中文件內(nèi)容，發(fā)現(xiàn)一個文件中保存了數(shù)據(jù)庫登錄的用戶名和密碼。結(jié)合NMAP的掃描結(jié)果，可以發(fā)現(xiàn)一臺服務(wù)器運行MySQl數(shù)據(jù)庫服務(wù)，立即使用Navicat For MySQL進行連接，成功登錄一名有經(jīng)驗的攻擊者，會進一步聯(lián)想到SSH的登錄用戶可能與數(shù)據(jù)庫登錄名一樣，于是打開PuTTY進行SSH連接測試，結(jié)果成功登錄主機。如圖1所示。

至此，已經(jīng)完成了一次入侵行為，數(shù)據(jù)庫、主機都被占領(lǐng)，可以安裝后門、發(fā)起DDoS攻擊等破壞行為。目錄遍歷漏洞是一種常見的Web漏洞，一般危害性不大，屬于中危漏洞。但是攻擊者利用該漏洞獲得存儲了數(shù)據(jù)庫登錄用戶名和密碼的敏感文件，可以直接登錄操作系統(tǒng)，進而控制主機，對系統(tǒng)安全造成極大危害。

在日常安全運維工作中，需要加強Web應(yīng)用的目錄權(quán)限配置，一般情況下，禁止目錄遍歷功能，尤其是存放了配置文件的目錄。加強日常的密碼管理，單從密碼本身而言，密碼設(shè)置可能不一定簡單，但為了使用方便，數(shù)據(jù)庫和SSH登錄都使用了相同的用戶名和密碼，導致突破一點，攻破全局。

4 信息安全漏洞的防范

4.1信息安全漏洞的產(chǎn)生

分析安全測評中發(fā)現(xiàn)的漏洞情況，我們可以總結(jié)出系統(tǒng)漏洞產(chǎn)生主要有幾個方面。

（1）資產(chǎn)安全管理不規(guī)范。主要表現(xiàn)在資產(chǎn)責任單位、責任人不明確，缺乏有效完整的資產(chǎn)列表，資產(chǎn)上線流程不規(guī)范等。造成出現(xiàn)問題難以快速定位資產(chǎn)物理位置；未經(jīng)安全檢查、安全加固直接上線運行的主機存在安全漏洞，可被攻擊者利用。

（2）系統(tǒng)配置存在安全問題。例如運維中為了方便管理，啟用TRACE、Telnet服務(wù)，Web應(yīng)用、SSH服務(wù)使用默認用戶名和口令等，目錄遍歷、敏感信息泄露、弱口令等漏洞都是由于不安全配置引起的，是攻擊者收集信息的利用點。

（3）系統(tǒng)運行版本低存在安全漏洞。任何系統(tǒng)軟件都存在不同程度的漏洞，定期進行系統(tǒng)升級、打補丁，可以有效防止非法入侵。有些系統(tǒng)建成后運行穩(wěn)定，系統(tǒng)運維人員忽略了此項工作，或者擔心軟件升級導致系統(tǒng)運行不正常，從未進行軟件升級，已經(jīng)公布出的高危漏洞存在于系統(tǒng)中，使系統(tǒng)易受到攻擊。

（4）研發(fā)過程缺乏安全管理規(guī)范。例如SQL注入和XSS跨站漏洞都是由于沒有對輸入的字符進行嚴格檢查和過濾造成的；越權(quán)訪問漏洞是研發(fā)過程中沒有進行充分的功能和權(quán)限測試，導致通過修改某些參數(shù)，就可以訪問到其他用戶的信息，進行非法操作。

4.2 信息安全漏洞防范策略

信息系統(tǒng)設(shè)計、建設(shè)、運行的生命周期各階段都要建立安全風險管理與控制，采取必要的防范措施，減少漏洞生成，保障系統(tǒng)安全。

（1）加強系統(tǒng)運維、開發(fā)人員安全意識。系統(tǒng)設(shè)計應(yīng)滿足安全需求，規(guī)范安全編碼要求，定期進行系統(tǒng)補丁升級工作。加強安全培訓，提升開發(fā)人員安全開發(fā)能力，掌握安全檢查技能，落實安全管理制度，減少系統(tǒng)漏洞的產(chǎn)生。

（2）業(yè)務(wù)系統(tǒng)上線前進行全面安全檢測。檢查工作包括信息資產(chǎn)清單登記、漏洞掃描與滲透測試，完成檢查中發(fā)現(xiàn)問題的整改，由安全管理部門審核后正式上線提供業(yè)務(wù)服務(wù)。

（3）落實安全基線合規(guī)性檢查。部分資產(chǎn)脆弱性是由于配置缺陷造成的，如目錄遍歷、存在示例頁面、使用默認錯誤提示頁面等，系統(tǒng)上線前需要根據(jù)安全配置基線來糾正這些錯誤，確保安全配置符合要求，盡可能控制安全風險。

（4）部署安全審計設(shè)備。結(jié)合實際業(yè)務(wù)應(yīng)用，配置合理的、細粒度、符合等級保護要求的安全審計策略。審計對象要覆蓋到每個用戶和應(yīng)用系統(tǒng)的重要安全事件，審計記錄內(nèi)容要全面詳實。

（5）持續(xù)開展安全風險測評。信息安全是一個動態(tài)的防護過程，一次安全測試完成不代表系統(tǒng)就永遠安全。系統(tǒng)運行一段時間后，當前使用的系統(tǒng)、中間件、數(shù)據(jù)庫等會暴露出新的漏洞，需要持續(xù)開展安全測試。

（6）落實安全管理。信息系統(tǒng)安全防護過程中，安全技術(shù)和安全管理同等重要，需要有完善的安全管理制度和有效落實。

5 結(jié)束語

本文通過分析利用安全風險測評中發(fā)現(xiàn)的漏洞進行攻擊的實例，闡述了安全漏洞對系統(tǒng)的危害性?？偨Y(jié)系統(tǒng)安全漏洞產(chǎn)生的主要方面，提出防范策略。在日常安全運維工作中，定期開展安全風險評估和滲透測試工作，查找系統(tǒng)存在的漏洞和隱患，完成漏洞修復(fù)整改工作。在信息系統(tǒng)的全生命周期建立安全風險管理與控制，落實安全防范策略，將有效減少漏洞生成，提升信息系統(tǒng)安全保障水平。

參考文獻

[1] 吳世忠，劉暉，郭濤，易錦.信息安全漏洞分析基礎(chǔ)[M].北京：科學出版社，2013.

[2] 田俊峰，杜瑞忠，楊曉輝.網(wǎng)絡(luò)攻防原理與實踐[M].北京：高等教育出版社，2012.

[3] 王燕飛，趙敏.信息安全防護探討[J].網(wǎng)絡(luò)空間安全，2016，（02）：3-5.

[4] 劉曙生.淺談信息安全風險評估與風險分析方法的應(yīng)用[J].網(wǎng)絡(luò)空間安全，2017，（Z2）：78-80.