技術(shù)文庫(kù)

虛擬世界的真實(shí)威脅-漏洞檢測(cè)工具初探

百佳泰 Allion Labs > 虛擬世界的真實(shí)威脅-漏洞檢測(cè)工具初探

Allion Labs/ Jackson Chen

漏洞檢測(cè)，您到位了嗎？

APP開發(fā)過程中，信息資產(chǎn)與風(fēng)險(xiǎn)管理，是相當(dāng)重要的一環(huán)，但其實(shí)很多公司都沒有專業(yè)的測(cè)試人員，出于利潤(rùn)，大部分公司把時(shí)間和金錢都用在對(duì)APP的開發(fā)上，缺少了完整的測(cè)試檢測(cè)環(huán)節(jié)，從而導(dǎo)致APP上線后問題不斷，目前常見的使用平臺(tái)為Kali Linux，其中包含多種類型工具供用戶使用，但我們也不局限于此平臺(tái)，仍可使用其他工具使測(cè)試更加完整。

工具	功能
Kali Linux	針對(duì)網(wǎng)頁(yè)與APP進(jìn)行信息收集、模擬漏洞攻擊和漏洞分析
ApacheBench	網(wǎng)頁(yè)與APP壓力測(cè)試
Nessus	針對(duì)系統(tǒng)進(jìn)行漏洞分析

表一：測(cè)試工具及功能

測(cè)試平臺(tái)

圖一：Kali Linux

系統(tǒng)自帶工具集Kali Linux系統(tǒng)最頂層是十四種安全工具分類，每一個(gè)分類有不同的測(cè)試工具，以下介紹其中三種類型，分別為信息收集、壓力測(cè)試、漏洞分析。

圖二：Kali Linux十四種安全工具分類

1. 信息收集

在滲透測(cè)試中，我們需要盡可能收集多一些目標(biāo)的信息，因?yàn)橘Y產(chǎn)探測(cè)和信息收集決定了你發(fā)現(xiàn)安全漏洞的機(jī)率有多大。如何最大化的去收集目標(biāo)范圍，盡可能的收集到子域名及相關(guān)域名的信息，這對(duì)我們下一步的漏洞測(cè)試顯得尤為重要，以下介紹信息收集的實(shí)際用例。

用例一：登錄帳戶密碼的暴力破解

I.需要知道的信息有:

-需要破解的主機(jī)名或是IP和URL

-區(qū)分是https & http

-登入成功和失敗時(shí)返回信息的區(qū)別

II. 使用工具

-Kali Linux 中信息收集的dnsenum，和密碼攻擊中的Hydra

III. 操作步驟

-先使用dnsenum得到目標(biāo)的IP地址

圖三：獲取目標(biāo)IP地址

Hydra的指令

Hydra –l 用戶名 –p密碼字典 –t線程-vV –ip ssh

圖四：獲取賬號(hào)及密碼

IV. 解決方法

A.動(dòng)態(tài)登入

需限制登入時(shí)間以及登入賬號(hào)的次數(shù)，例如: 短信內(nèi)標(biāo)注有效時(shí)長(zhǎng)為5min，實(shí)際有效時(shí)長(zhǎng)卻約為30min，對(duì)獲取動(dòng)態(tài)密碼次數(shù)做了限制，但未對(duì)密碼暴力破解做任何防護(hù)，防止暴力破解密碼的方式。

B. 靜態(tài)登入

需要使用Session去認(rèn)證登入者的身份，通常在用戶完成身份認(rèn)證后，存下用戶數(shù)據(jù)，接著產(chǎn)生一組對(duì)應(yīng)的id，這個(gè)id必須為獨(dú)特的，所以會(huì)使用uuid的機(jī)制處理。

C.雙重驗(yàn)證

現(xiàn)在也有使用雙重認(rèn)證的方式去保護(hù)使用者的賬戶安全，像是登入Google賬戶，就可以設(shè)定登入之后，Google會(huì)發(fā)送一條短信，其中有另外的登入密碼，也可選擇語音的方式得知登入密碼，更加保護(hù)了帳戶安全

D.禁止密碼輸入頻率過高的請(qǐng)求

當(dāng)同一來源的密碼輸入出錯(cuò)次數(shù)超過一定的值，立即通過郵件或者短信等方式通知系統(tǒng)管理員

2.壓力測(cè)試

壓力測(cè)試在大型系統(tǒng)的設(shè)計(jì)和開發(fā)中非常重要，壓力測(cè)試可以幫助我們發(fā)現(xiàn)系統(tǒng)的性能且評(píng)估系統(tǒng)能力，且進(jìn)行針對(duì)性的性能優(yōu)化，也可以幫助我們驗(yàn)證系統(tǒng)的穩(wěn)定性和可靠性。除了Kali Linux以外，還有以下常見工具:

圖五：ApacheBench

ApacheBench的測(cè)試，可以輕易的模擬 1,000以上使用者的同時(shí)聯(lián)機(jī)(concurrent users) 測(cè)試，輸出的測(cè)試結(jié)果也相當(dāng)清楚。并且不局限于linux操作系統(tǒng)，可以在Windows上安裝，以下為壓力測(cè)試實(shí)際用例:

用例二：壓力測(cè)試

I.使用工具

-ApacheBench

II.操作步驟

-先到Apache的文件夾位置，執(zhí)行ab.exe，語法為ab –n 100 –c 10 {url}

圖六：壓力測(cè)試執(zhí)行ab.exe

得到測(cè)試結(jié)果

圖七：壓力測(cè)試測(cè)試結(jié)果

字段講解如下:

Server Software: WEB主機(jī)的操作系統(tǒng)與版本(若web主機(jī)設(shè)定關(guān)閉此信息則無)

Server Hostname: WEB主機(jī)的IP地址(Hostname)

Server Port: WEB主機(jī)的連接阜(Port)

Document Path:測(cè)試網(wǎng)址的路徑部分

Document Length:測(cè)試網(wǎng)頁(yè)響應(yīng)的網(wǎng)頁(yè)大小

Concurrency Level:同時(shí)進(jìn)行壓力測(cè)試的人數(shù)

Time taken for tests:本次壓力測(cè)試所花費(fèi)的秒數(shù)

Complete requests:完成的要求數(shù)(Requests)

Failed requests:失敗的要求數(shù)(Requests)

Write errors:寫入失敗的數(shù)量

Total transferred:本次壓力測(cè)試的總數(shù)據(jù)傳輸量(包括HTTP Header的數(shù)據(jù)也計(jì)算在內(nèi))

HTML transferred:本次壓力測(cè)試的總數(shù)據(jù)傳輸量(僅計(jì)算回傳HTML的數(shù)據(jù))

Requests per second:平均每秒可響應(yīng)多少要求

Time per request:平均每個(gè)要求所花費(fèi)的時(shí)間(單位:毫秒)

Time per request:平均每個(gè)要求所花費(fèi)的時(shí)間，跨所有同時(shí)聯(lián)機(jī)數(shù)的平均值(單位:毫秒)

Transfer rate:從ab到Web Server之間的網(wǎng)絡(luò)傳輸速度

3.漏洞分析

漏洞分析是指在代碼中迅速定位漏洞，弄清攻擊原理，準(zhǔn)確地估計(jì)潛在的漏洞利用方式和風(fēng)險(xiǎn)等級(jí)的過程。我們將使用Nessus這項(xiàng)工具，這套工具能夠幫助系統(tǒng)管理者搜尋系統(tǒng)主機(jī)的漏洞所在，用戶可自行撰寫攻擊測(cè)試程序，且讓系統(tǒng)管理者對(duì)系統(tǒng)主機(jī)進(jìn)行錯(cuò)誤的更正和防護(hù)，以避免被入侵者攻擊，以下為弱點(diǎn)掃描流程

圖八：弱點(diǎn)掃描流程

用例三：掃描本機(jī)漏洞

I. 使用工具

-Nessus

II.操作步驟

圖九：Nessus開始界面

Nessus基本流程為（1）登錄，（2）創(chuàng)建或配置策略，（3）運(yùn)行掃描，（4）分析結(jié)果，根據(jù)掃描要求，選擇配置策略，也就是可以在目標(biāo)上執(zhí)行的漏洞測(cè)試，Nessus提供的掃描模板。

圖十：Nessus掃描模板

建立策略

名稱為L(zhǎng)ocal Vulnerability Assessment

目標(biāo)為本機(jī)地址: 192.168.18.149

圖十一：Nessus建立策略

啟動(dòng)屏幕

圖十二：Nessus啟動(dòng)屏幕

圖十三：掃描結(jié)果

點(diǎn)選本機(jī)的漏洞情況，可以查看詳細(xì)漏洞信息，并且會(huì)提供解決方法

圖十四：漏洞情況

漏洞描述為:遠(yuǎn)程主機(jī)受遠(yuǎn)程桌面協(xié)議(RDP)中的遠(yuǎn)程執(zhí)行代碼漏洞影響。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以通過一系列特制請(qǐng)求來利用此漏洞來執(zhí)行任意的代碼，也可匯出一份PDF檔，提供解決方法

安全風(fēng)險(xiǎn)一站式測(cè)試方案

針對(duì)信息安全、網(wǎng)頁(yè)和APP，可提供以下測(cè)試方案:

資料安全檢查

檢視內(nèi)部作業(yè)提供改善建議，提升資料安全防護(hù)能力

漏洞偵測(cè)分析

WEB主機(jī)或系統(tǒng)做安全掃描，提供結(jié)果并協(xié)助修正

壓力測(cè)試

WEB壓力測(cè)試，在同一時(shí)間能有多少人在在線，檢視WEB的負(fù)載能力

測(cè)試常見問題，一對(duì)一解析

滲透測(cè)試有標(biāo)準(zhǔn)流程嗎?

有的，請(qǐng)參考下列三個(gè)由幾個(gè)開源組織制定的滲透測(cè)試標(biāo)準(zhǔn)流程

OWASP ( Open Web Application Security Project )

OSSTMM (Open Source Security Testing Methodology Manual)

PTES ( Penetration Testing Execution Standard )

滲透測(cè)試執(zhí)行完畢后就完全沒有問題了嗎?

由于黑客攻擊手法層出不窮，即使系統(tǒng)不進(jìn)行任何更動(dòng)，也難以保證未來不會(huì)被新的方式入侵，因此仍建議客戶定期執(zhí)行測(cè)試。

滲透測(cè)試與弱點(diǎn)掃描的差異?

滲透測(cè)試是以人工方式模擬黑客的思維，針對(duì)系統(tǒng)做攻擊測(cè)試，比較考驗(yàn)測(cè)試人員本身的經(jīng)驗(yàn)以及知識(shí)，弱點(diǎn)掃描則是使用自動(dòng)化工具對(duì)系統(tǒng)進(jìn)行檢測(cè)，找出所有已知的風(fēng)險(xiǎn)。

百佳泰安全風(fēng)險(xiǎn)檢測(cè)服務(wù)阻擋虛擬世界的威脅

在虛擬世界中，安全漏洞風(fēng)險(xiǎn)無處不在，百佳泰能夠模擬黑客攻擊的手段對(duì)各類系統(tǒng)進(jìn)行安全檢測(cè)，并評(píng)估其風(fēng)險(xiǎn)，提供解決方案。在產(chǎn)品、APP及網(wǎng)頁(yè)上市前，針對(duì)其使用特性及用戶情景，提出客制化的安全風(fēng)險(xiǎn)檢測(cè)，透過全面性、多樣性的測(cè)試方式及測(cè)試手法，替您的產(chǎn)品、APP及網(wǎng)頁(yè)做資安把關(guān)。除此之外，百佳泰亦有針對(duì)物聯(lián)網(wǎng)裝置的檢測(cè)服務(wù)，可點(diǎn)閱：物聯(lián)網(wǎng)無線應(yīng)用之安全風(fēng)險(xiǎn)：您的智能裝置真的安全嗎？（可點(diǎn)擊：物聯(lián)網(wǎng)無線應(yīng)用之安全風(fēng)險(xiǎn)：您的智能裝置真的安全嗎？）避免裝置被破解，導(dǎo)致數(shù)據(jù)被竊取等隱患問題。

Post Views: 2,491