漏洞檢測(cè),您到位了嗎?
APP開(kāi)發(fā)過(guò)程中,信息資產(chǎn)與風(fēng)險(xiǎn)管理,是相當(dāng)重要的一環(huán),但其實(shí)很多公司都沒(méi)有專(zhuān)業(yè)的測(cè)試人員,出于利潤(rùn),大部分公司把時(shí)間和金錢(qián)都用在對(duì)APP的開(kāi)發(fā)上,缺少了完整的測(cè)試檢測(cè)環(huán)節(jié),從而導(dǎo)致APP上線后問(wèn)題不斷,目前常見(jiàn)的使用平臺(tái)為Kali Linux,其中包含多種類(lèi)型工具供用戶(hù)使用,但我們也不局限于此平臺(tái),仍可使用其他工具使測(cè)試更加完整。
工具 | 功能 |
Kali Linux | 針對(duì)網(wǎng)頁(yè)與APP進(jìn)行信息收集、
模擬漏洞攻擊和漏洞分析 |
ApacheBench | 網(wǎng)頁(yè)與APP壓力測(cè)試 |
Nessus | 針對(duì)系統(tǒng)進(jìn)行漏洞分析 |
表一:測(cè)試工具及功能
測(cè)試平臺(tái)
圖一:Kali Linux
系統(tǒng)自帶工具集Kali Linux系統(tǒng)最頂層是十四種安全工具分類(lèi),每一個(gè)分類(lèi)有不同的測(cè)試工具,以下介紹其中三種類(lèi)型,分別為信息收集、壓力測(cè)試、漏洞分析。
圖二:Kali Linux十四種安全工具分類(lèi)
1. 信息收集
在滲透測(cè)試中,我們需要盡可能收集多一些目標(biāo)的信息,因?yàn)橘Y產(chǎn)探測(cè)和信息收集決定了你發(fā)現(xiàn)安全漏洞的機(jī)率有多大。如何最大化的去收集目標(biāo)范圍,盡可能的收集到子域名及相關(guān)域名的信息,這對(duì)我們下一步的漏洞測(cè)試顯得尤為重要,以下介紹信息收集的實(shí)際用例。
I.需要知道的信息有:
-需要破解的主機(jī)名或是IP和URL
-區(qū)分是https & http
-登入成功和失敗時(shí)返回信息的區(qū)別
II. 使用工具
-Kali Linux 中信息收集的dnsenum,和密碼攻擊中的Hydra
III. 操作步驟
-先使用dnsenum得到目標(biāo)的IP地址
圖三:獲取目標(biāo)IP地址
Hydra的指令
Hydra –l 用戶(hù)名 –p密碼字典 –t線程-vV –ip ssh
圖四:獲取賬號(hào)及密碼
IV. 解決方法
A.動(dòng)態(tài)登入
需限制登入時(shí)間以及登入賬號(hào)的次數(shù),例如: 短信內(nèi)標(biāo)注有效時(shí)長(zhǎng)為5min,實(shí)際有效時(shí)長(zhǎng)卻約為30min,對(duì)獲取動(dòng)態(tài)密碼次數(shù)做了限制,但未對(duì)密碼暴力破解做任何防護(hù),防止暴力破解密碼的方式。
B. 靜態(tài)登入
需要使用Session去認(rèn)證登入者的身份,通常在用戶(hù)完成身份認(rèn)證后,存下用戶(hù)數(shù)據(jù),接著產(chǎn)生一組對(duì)應(yīng)的id,這個(gè)id必須為獨(dú)特的,所以會(huì)使用uuid的機(jī)制處理。
C.雙重驗(yàn)證
現(xiàn)在也有使用雙重認(rèn)證的方式去保護(hù)使用者的賬戶(hù)安全,像是登入Google賬戶(hù),就可以設(shè)定登入之后,Google會(huì)發(fā)送一條短信,其中有另外的登入密碼,也可選擇語(yǔ)音的方式得知登入密碼,更加保護(hù)了帳戶(hù)安全
D.禁止密碼輸入頻率過(guò)高的請(qǐng)求
當(dāng)同一來(lái)源的密碼輸入出錯(cuò)次數(shù)超過(guò)一定的值,立即通過(guò)郵件或者短信等方式通知系統(tǒng)管理員
2.壓力測(cè)試
壓力測(cè)試在大型系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)中非常重要,壓力測(cè)試可以幫助我們發(fā)現(xiàn)系統(tǒng)的性能且評(píng)估系統(tǒng)能力,且進(jìn)行針對(duì)性的性能優(yōu)化,也可以幫助我們驗(yàn)證系統(tǒng)的穩(wěn)定性和可靠性。除了Kali Linux以外,還有以下常見(jiàn)工具:
圖五:ApacheBench
ApacheBench的測(cè)試,可以輕易的模擬 1,000以上 使用者的同時(shí)聯(lián)機(jī)(concurrent users) 測(cè)試,輸出的測(cè)試結(jié)果也相當(dāng)清楚。并且不局限于linux操作系統(tǒng),可以在Windows上安裝,以下為壓力測(cè)試實(shí)際用例:
I.使用工具
-ApacheBench
II.操作步驟
-先到Apache的文件夾位置,執(zhí)行ab.exe,語(yǔ)法為ab –n 100 –c 10 {url}
圖六:壓力測(cè)試執(zhí)行ab.exe
得到測(cè)試結(jié)果
圖七:壓力測(cè)試測(cè)試結(jié)果
字段講解如下:
Server Software: WEB主機(jī)的操作系統(tǒng)與版本(若web主機(jī)設(shè)定關(guān)閉此信息則無(wú))
Server Hostname: WEB主機(jī)的IP地址(Hostname)
Server Port: WEB主機(jī)的連接阜(Port)
Document Path:測(cè)試網(wǎng)址的路徑部分
Document Length:測(cè)試網(wǎng)頁(yè)響應(yīng)的網(wǎng)頁(yè)大小
Concurrency Level:同時(shí)進(jìn)行壓力測(cè)試的人數(shù)
Time taken for tests:本次壓力測(cè)試所花費(fèi)的秒數(shù)
Complete requests:完成的要求數(shù)(Requests)
Failed requests:失敗的要求數(shù)(Requests)
Write errors:寫(xiě)入失敗的數(shù)量
Total transferred:本次壓力測(cè)試的總數(shù)據(jù)傳輸量(包括HTTP Header的數(shù)據(jù)也計(jì)算在內(nèi))
HTML transferred:本次壓力測(cè)試的總數(shù)據(jù)傳輸量(僅計(jì)算回傳HTML的數(shù)據(jù))
Requests per second:平均每秒可響應(yīng)多少要求
Time per request:平均每個(gè)要求所花費(fèi)的時(shí)間(單位:毫秒)
Time per request:平均每個(gè)要求所花費(fèi)的時(shí)間,跨所有同時(shí)聯(lián)機(jī)數(shù)的平均值(單位:毫秒)
Transfer rate:從ab到Web Server之間的網(wǎng)絡(luò)傳輸速度
3.漏洞分析
漏洞分析是指在代碼中迅速定位漏洞,弄清攻擊原理,準(zhǔn)確地估計(jì)潛在的漏洞利用方式和風(fēng)險(xiǎn)等級(jí)的過(guò)程。我們將使用Nessus這項(xiàng)工具,這套工具能夠幫助系統(tǒng)管理者搜尋系統(tǒng)主機(jī)的漏洞所在,用戶(hù)可自行撰寫(xiě)攻擊測(cè)試程序,且讓系統(tǒng)管理者對(duì)系統(tǒng)主機(jī)進(jìn)行錯(cuò)誤的更正和防護(hù),以避免被入侵者攻擊,以下為弱點(diǎn)掃描流程
圖八:弱點(diǎn)掃描流程
I. 使用工具
-Nessus
II.操作步驟
圖九:Nessus開(kāi)始界面
Nessus基本流程為(1)登錄,(2)創(chuàng)建或配置策略,(3)運(yùn)行掃描,(4)分析結(jié)果,根據(jù)掃描要求,選擇配置策略,也就是可以在目標(biāo)上執(zhí)行的漏洞測(cè)試,Nessus提供的掃描模板。
圖十:Nessus掃描模板
建立策略
名稱(chēng)為L(zhǎng)ocal Vulnerability Assessment
目標(biāo)為本機(jī)地址: 192.168.18.149
圖十一:Nessus建立策略
啟動(dòng)屏幕
圖十二:Nessus啟動(dòng)屏幕
圖十三:掃描結(jié)果
點(diǎn)選本機(jī)的漏洞情況,可以查看詳細(xì)漏洞信息,并且會(huì)提供解決方法
圖十四:漏洞情況
漏洞描述為:遠(yuǎn)程主機(jī)受遠(yuǎn)程桌面協(xié)議(RDP)中的遠(yuǎn)程執(zhí)行代碼漏洞影響。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以通過(guò)一系列特制請(qǐng)求來(lái)利用此漏洞來(lái)執(zhí)行任意的代碼,也可匯出一份PDF檔,提供解決方法
安全風(fēng)險(xiǎn)一站式測(cè)試方案
針對(duì)信息安全、網(wǎng)頁(yè)和APP,可提供以下測(cè)試方案:
檢視內(nèi)部作業(yè)提供改善建議,提升資料安全防護(hù)能力
WEB主機(jī)或系統(tǒng)做安全掃描,提供結(jié)果并協(xié)助修正
WEB壓力測(cè)試,在同一時(shí)間能有多少人在在線,檢視WEB的負(fù)載能力
測(cè)試常見(jiàn)問(wèn)題,一對(duì)一解析
有的,請(qǐng)參考下列三個(gè)由幾個(gè)開(kāi)源組織制定的滲透測(cè)試標(biāo)準(zhǔn)流程
OWASP ( Open Web Application Security Project )
OSSTMM (Open Source Security Testing Methodology Manual)
PTES ( Penetration Testing Execution Standard )
由于黑客攻擊手法層出不窮,即使系統(tǒng)不進(jìn)行任何更動(dòng),也難以保證未來(lái)不會(huì)被新的方式入侵,因此仍建議客戶(hù)定期執(zhí)行測(cè)試。
滲透測(cè)試是以人工方式模擬黑客的思維,針對(duì)系統(tǒng)做攻擊測(cè)試,比較考驗(yàn)測(cè)試人員本身的經(jīng)驗(yàn)以及知識(shí),弱點(diǎn)掃描則是使用自動(dòng)化工具對(duì)系統(tǒng)進(jìn)行檢測(cè),找出所有已知的風(fēng)險(xiǎn)。
百佳泰安全風(fēng)險(xiǎn)檢測(cè)服務(wù)阻擋虛擬世界的威脅
在虛擬世界中,安全漏洞風(fēng)險(xiǎn)無(wú)處不在,百佳泰能夠模擬黑客攻擊的手段對(duì)各類(lèi)系統(tǒng)進(jìn)行安全檢測(cè),并評(píng)估其風(fēng)險(xiǎn),提供解決方案。在產(chǎn)品、APP及網(wǎng)頁(yè)上市前,針對(duì)其使用特性及用戶(hù)情景,提出客制化的安全風(fēng)險(xiǎn)檢測(cè),透過(guò)全面性、多樣性的測(cè)試方式及測(cè)試手法,替您的產(chǎn)品、APP及網(wǎng)頁(yè)做資安把關(guān)。除此之外,百佳泰亦有針對(duì)物聯(lián)網(wǎng)裝置的檢測(cè)服務(wù),可點(diǎn)閱:物聯(lián)網(wǎng)無(wú)線應(yīng)用之安全風(fēng)險(xiǎn):您的智能裝置真的安全嗎?(可點(diǎn)擊:物聯(lián)網(wǎng)無(wú)線應(yīng)用之安全風(fēng)險(xiǎn):您的智能裝置真的安全嗎?)避免裝置被破解,導(dǎo)致數(shù)據(jù)被竊取等隱患問(wèn)題。
]]>