【文章內(nèi)容簡介】 都是一對多的 門戶網(wǎng)站 WEB 滲透測試 門戶網(wǎng)站服務的對象是所有互聯(lián)網(wǎng)用戶，其風險和影響最大，如果出現(xiàn)網(wǎng)站被攻陷或網(wǎng)頁被篡改等情況，可能會造成較大的社會或政治影響，因此需要專門針對 xx 的門戶網(wǎng)站進行 WEB 滲透測試。 滲透測試范圍 本次 xx網(wǎng)站應用滲透測試項目實施范圍包括 10 個自建網(wǎng)站及 40 個下屬單位網(wǎng)站。 滲透測試方法 WEB 服務器漏洞利用 通過被披露的各種服務器 操作系統(tǒng)及應用軟件（或模塊） 的 安全漏洞，利用這些漏洞及相關工具對 WEB 服務器和 網(wǎng)站及其應用 進行漏洞利用測試 。 SQL 注入 對網(wǎng)站應用程序的 輸入數(shù)據(jù)進行合法性檢查， 對客戶端參數(shù)中包含的某些特xx 網(wǎng)站 滲透測試項目技術方案 共 32 頁 第 11 頁 殊內(nèi)容進行不適當?shù)奶幚恚M行預判 。 SQL 語句注入：通過向提交給應用程序的輸入數(shù)據(jù)中“注入”某些特殊 SQL 語句，最終可能獲取、篡改、控制網(wǎng)站服務器端數(shù)據(jù)庫中的內(nèi)容。 ? SQL Injection 定義 所謂 SQL Injection ，就是通過向有 SQL 查詢的 WEB 程序提交一個精心構(gòu)造的請求，從而突破了最初的 SQL 查詢限制，實現(xiàn)了未授權(quán)的訪問或存取。 ? SQL Injection 原理 隨著 WEB 應用的復雜化，多數(shù) WEB 應用都使用數(shù)據(jù)庫作為后臺， WEB程序接受用戶參數(shù)作為查詢條件，即用戶可以在某種程度上控制查詢的結(jié)果，如果 WEB 程序?qū)τ脩糨斎脒^濾的比較少，那么入侵者就可能提交一些特殊的參數(shù)，而這些參數(shù)可以使該查詢語句按照自己的意圖來運行，這往往是一些未授權(quán)的操作，這樣只要組合后的查詢語句在語法上沒有錯誤，那么就會被執(zhí)行。 ? SQL Injection 危害 SQL Injection 的危害主要包括： 1． 露敏感信息 2． 提升 WEB 應用程序權(quán)限 3． 操作任意文件 4． 執(zhí)行任意命令 ? SQL Injection 技巧 利用 SQL Injection 的攻擊技巧主要有如下幾種： 1． 邏輯組合法：通過組合多種邏輯查詢語句，獲得所需要的查詢結(jié)果。 2． 錯誤信息法：通過精心構(gòu)造某些查詢語句，使數(shù)據(jù)庫運行出錯，錯誤信息中包含了敏感信息。 3． 有限窮舉法：通過精心構(gòu)造查詢語句，可以快速窮舉出數(shù)據(jù)庫中的任意信息。 4． 移花接木法：利用數(shù)據(jù)庫已有資源，結(jié)合其特性立刻獲得所需xx 網(wǎng)站 滲透測試項目技術方案 共 32 頁 第 12 頁 信息。 ? 預防手段 要做到預防 SQL Injection， 數(shù)據(jù)庫管理員（ MS SQL Server）應做到： 1． 應用系統(tǒng)使用獨立的數(shù)據(jù)庫帳號，并且分配最小的庫，表以及字段權(quán)限 2． 禁止或刪除不必要的存儲過程 3． 必須使用的存儲過程要分配合理的權(quán)限 4． 屏蔽數(shù)據(jù)庫錯誤信息 WEB 程序員則應做到： 1． 對用戶輸入內(nèi)容進行過濾（‘ ， “ %09 %20） 2． 對用戶輸入長度進行限制 3． 注意查詢語句書寫技巧 XSS 跨站腳本攻擊 通過 跨站腳本 的方式對門戶網(wǎng)站系統(tǒng)進行測試?？缯灸_本是 一種向其他 Web用戶瀏覽頁面插入執(zhí)行代碼的方法。網(wǎng)站服務器端應用程序 如果 接 受客戶端提交的表單信息而不加驗證審核， 攻擊者 很可能在其中插入可執(zhí)行腳本的代碼，例如JavaScript、 VBScript 等，如果客戶端提交的內(nèi)容不經(jīng)過濾地返回給任意訪問該網(wǎng)站的客戶端瀏覽器，其中嵌入的腳本代碼就會以該網(wǎng)站服務器的可信級別被客戶端瀏覽器執(zhí)行。 ? 漏洞成因 是因為 WEB程序沒有對用戶提交的變量中的 HTML代碼進行過濾或轉(zhuǎn)換。 ? 漏洞形式 這里所說的形式，實際上是指 WEB 輸入的形式，主要分為兩種： 1． 顯示輸入 2． 隱式輸入 xx 網(wǎng)站 滲透測試項目技術方案 共 32 頁 第 13 頁 其中顯示輸入明確要求用戶輸入數(shù)據(jù)，而隱式輸入則本來并不要求用戶輸入數(shù)據(jù)，但是用戶卻可 以通過輸入數(shù)據(jù)來進行干涉。 顯示輸入又可以分為兩種： 1． 輸入完成立刻輸出結(jié)果 2． 輸入完成先存儲在文本文件或數(shù)據(jù)庫中，然后再輸出結(jié)果 注意：后者可能會讓你的網(wǎng)站面目全非 ! 而隱式輸入除了一些正常的情況外，還可以利用服務器或 WEB 程序處理錯誤信息的方式來實施。 ? 漏洞危害 比較典型的危害包括但不限于： 1． 獲取其他用戶 Cookie 中的敏感數(shù)據(jù) 2． 屏蔽頁面特定信息 3． 偽造頁面信息 4． 拒絕服務攻擊 5． 突破外網(wǎng)內(nèi)網(wǎng)不同安全設置 6． 與其它漏洞結(jié)合，修改系統(tǒng)設置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等 7． 其它 一般來說，上面的危害還經(jīng)常伴隨著頁面變形的 情況。而所謂跨站腳本執(zhí)行漏洞，也就是通過別人的網(wǎng)站達到攻擊的效果，也就是說，這種攻擊能在一定程度上隱藏身份。 ? 解決方法 要避免受到跨站腳本執(zhí)行漏洞的攻擊，需要程序員和用戶兩方面共同努力，程序員應過濾或轉(zhuǎn)換用戶提交數(shù)據(jù)中的所有 HTML 代碼，并限制用戶提交數(shù)據(jù)的長度；而用戶方則不要輕易訪問別人提供的鏈接，并禁止瀏覽器運行 JavaScript 和 ActiveX 代碼。 xx 網(wǎng)站 滲透測試項目技術方案 共 32 頁 第 14 頁 CRLF 注入 CRLF 注入攻擊并沒有像其它類型的攻擊那樣著名。但是，當對有安全漏洞的應用程序?qū)嵤?CRLF 注入攻擊時，這種攻擊對于攻擊者同樣有效，并且對用戶造成極大的破壞。 充分檢測 應用 程序 在 數(shù)據(jù)執(zhí)行操作之前， 對 任何不符合預期的數(shù)據(jù)類型的字符 過濾是否符合要求。 XPath 注入 XPath 注入攻擊是指利用 XPath 解析器的松散輸入和容錯特性，能夠在 URL、表單或其它信息上附帶惡意的 XPath 查詢代碼，以獲得權(quán)限信息的訪問權(quán)并更改這些信息。 XPath 注入攻擊是針對 Web 服務應用新的攻擊方法，它允許攻擊者在事先不知道 XPath 查 詢相關知 識的情況下，通過 XPath 查詢得到一個 XML文檔的完整內(nèi)容。 COOKIE 操縱 瀏覽器與服務器之間的會話信息通常存儲在 Cookie 或隱藏域中，通過修改這些會話參數(shù)， 來對 控制會話 進行測試 。參數(shù)操控一般發(fā)生在數(shù)據(jù)傳輸之前，因此 SSL 中的加密保護通常并不能解決這個問題。 ? Cookie 欺騙：修改或偽造 Cookie，達到入侵目的。 Google Hacking 使用 google 中的一些語法可以提供給我們更多的 WEB 網(wǎng)站 信息 ，通過在搜索引擎中搜索 WEB 網(wǎng)站可能存在的敏感信息，獲取有利用價值的攻擊線索，并進行滲 透測試攻擊。 xx 網(wǎng)站 滲透測試項目技術方案 共 32 頁 第 15 頁 暴力猜解 對于采用口令進行用戶認證的應用， 將 使用工具進行口令猜 測以獲取用戶帳號 /密碼，口令猜測使用字典攻擊和蠻力攻擊。 木馬植入 對網(wǎng)站進行信息收集，查找是否存在安全漏洞，是否可以 利用 漏洞上傳一個后門程序 以取得 WEBSHELL，修改頁面植入木馬，對所有訪問者進行木馬攻擊。 病毒與木馬檢查 根 據(jù) 本次滲透測試 范圍要求對系統(tǒng)進行 木馬檢查 ，檢查系統(tǒng)是否感染病毒和木馬。此次檢測如系統(tǒng)存在 病毒或 木馬， 我方 將和 xx 程師在第一時間進行徹底的查殺和清除，并將檢查結(jié)果進行匯總分析，形成報告。 病毒木馬檢 查 主要內(nèi)容 包括： ? 啟動項分析 ； ? 隱藏文件、內(nèi)核檢測； ? 網(wǎng)絡異常連接檢測； ? 惡意文件掃描； ? 注冊表分析； ? 清除惡意文件； ? 修復系統(tǒng)； ? 其他項； 溢出攻擊 通過前期資料收集掌握的網(wǎng)站程序及各種支撐中間件進行分析、總結(jié)，利用工具與工程經(jīng)驗結(jié)合的方式對網(wǎng)站運營支撐的各種應用程序和中間件進行緩沖區(qū)溢出攻擊測試，發(fā)現(xiàn)存在溢出的程序，充分保障網(wǎng)站安全運行。 xx 網(wǎng)站 滲透測試項目技術方案 共 32 頁 第 16 頁 后門 利用工具對信息系統(tǒng)進行徹底掃描，對異常進程、 網(wǎng)絡 異常連接 、異常流量、啟動項 等進行深入分析，查找系統(tǒng)是否存在后門。 欺騙 實時監(jiān)控網(wǎng)絡情況，對諸如網(wǎng)絡釣魚和其他虛假網(wǎng)站形 成實時跟蹤機制，及時發(fā)現(xiàn)欺騙行為，通過安全上報機制 及時報告并協(xié)助加強安全 防范。 通過搜索引擎對疑似釣魚網(wǎng)站和錯誤鏈接進行風險排查，對重點可疑網(wǎng)站進行深度負面分析。一旦發(fā)現(xiàn)有假冒站點出現(xiàn)，便立刻向相關管理機構(gòu)舉報，關閉該虛假站點。通過這種方式，大力防范了釣魚網(wǎng)站對客戶的 欺騙 和攻擊，及時抑制了 欺騙 對客戶利益的損害，為客戶打造了安全可靠的互聯(lián)網(wǎng)環(huán)境，有效消除了客戶疑慮，大大增強了客戶信心。 系統(tǒng)滲透測試 采用“黑盒”和“白盒”兩種方式對 xx 的系統(tǒng)從應用層、網(wǎng)絡層和系統(tǒng)層等方面進行滲透。 滲透測試范圍 本次 xx網(wǎng)站 應用滲透測試項目實施范圍包括 10 個自建網(wǎng)站及 40 個下屬單位網(wǎng)站。 滲透測試方法 “黑盒” 滲透測試 在只了解滲透對象 的情況下，從互聯(lián)網(wǎng)和 xx 下各個安全域接入 點位置從“內(nèi)”“外”兩個方向分別對各個系統(tǒng)進行滲透。 通常這類測試的最初信息來自于 DNS、 Web、 Email 及各種公開對外的服務器。 xx 網(wǎng)站 滲透測試項目技術方案 共 32 頁 第