網絡安全測評中Web應用安全滲透測試方法研究

胡愛強 王曉澤 胡愛兵

摘 要：在網絡安全等級保護測評中，科學合理的測試方法有助于提高測評的準確性與科學性。文章主要對網絡安全等級保護測評中Web應用安全滲透測試方法的應用進行了探討，希望可以為網絡安全等級保護測評提供借鑒。

關鍵詞：網絡安全;測評;Web應用安全滲透測試

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-1064（2021）01-042-02

DOI：10.12310/j.issn.1674-1064.2021.01.018

在信息化高速發展的今天，網絡安全顯得尤其重要。近年來，在國際以及國內安全形勢中，頻頻發生網絡攻擊事件。2020年，國家互聯網應急中心（CNCERT）協調處理了8萬余起網絡安全事件，切斷黑客對810萬臺主機的控制。而且，我國網絡安全基礎不牢以及關鍵信息基礎設施安全防護能力差，成為網絡安全的致命弱點。因此，我國也相繼出臺了一系列網絡安全政策法規，以期將基礎信息系統的安全性提升到最基本的安全標準，同時Web應用安全也成為網絡安全等級保護測評的重中之重[1]。

1 應用安全測評中滲透測試的必要性

在網絡安全等級保護測評服務實施中，對信息系統的應用安全要分別從身份鑒別、訪問控制、安全審計、入侵防范、數據完整性以及數據保密性等方面進行全方位安全檢查，但還需配合滲透測試進行安全性評估，以便發現信息系統中應用安全存在的安全風險，并針對存在的漏洞進行及時修復整改，從而提高信息系統應用安全的整體防護水平。

2 滲透測試的定義

滲透測試首先需要在合理授權條件下，通過所掌握的各種信息系統資料，利用各種工具及各種攻擊手段，模擬黑客進行安全性滲透測試評估，以獲取信息系統最高權限為目的，從攻擊者角度發現信息系統存在的安全弱點，進而幫助用戶進行整改。

3 應用安全滲透測試步驟

3.1 授權

由于網絡安全等級保護應用安全滲透測試是一個復雜且多變的過程，為了盡量避免滲透測試對業務應用正常運行造成的影響，以及可能存在的風險，需在滲透測試工作前，進行用戶授權以及將可能發生的風險點告知用戶;并且實施一系列安全防護措施，如與用戶溝通滲透測試方案，滲透測試時間選擇在業務訪問量不高的時間段進行，在測試前進行重要數據備份等。

3.2 滲透測試方法與流程

信息收集與分析系統如圖1所示。

跨站腳本攻擊。跨站腳本是指攻擊者惡意向應用程序頁面插入html代碼，在用戶不知情的情況下瀏覽該網頁時，其中的惡意代碼會被執行，從而達到攻擊用戶的目的。

由于Web頁面開發者對用戶輸入的數據過濾不充分，或者未經過濾就保存至數據庫中，當其他用戶訪問Web頁面時重新返回至訪問Web頁面的用戶，因此就可能導致XSS漏洞的產生。所以，攻擊者提交的惡意代碼被其他用戶所瀏覽訪問，攻擊者就間接控制了當前瀏覽用戶的瀏覽器，從而竊取用戶的敏感信息或者引導用戶訪問其他惡意網站。

跨站腳本的危害包括獲取訪問者用戶瀏覽器中的cookie敏感信息，屏蔽正常頁面，偽造其他惡意頁面，突破局域網中的安全防護設備，并且與其他漏洞結合，形成更大危害。

口令破解。通過口令進行身份認證，是目前計算機上實現用戶權限鑒別的主要手段之一，許多網絡應用系統都采用用戶名+密碼機制進行身份認證，保護應用系統中的敏感數據。口令破解主要采用非分析手段，如窮舉口令、字典攻擊和軟件分析等方法進行口令猜測，并且最終獲取正確口令。

一般口令破解采用默認口令攻擊、字典攻擊以及暴力破解方式，其中：

默認口令攻擊為系統和應用程序內置的口令，這些內置口令是默認公開的，一般情況下，用戶首次使用這些系統或應用程序時，需要先更改默認的內置口令以避免造成安全漏洞。但有些用戶由于安全意識不足，未將默認口令進行更改，從而導致攻擊者可利用這些默認口令嘗試獲取對目標系統的訪問。

密碼字典攻擊是基于用戶可能會使用易于記憶的英語單詞，或自己的姓名、生日、身份證號、電話號碼等搭配作為口令，因此攻擊者可通過以上信息進行組合，從而生成一個字典，進行暴力破解，如圖2所示。

暴力攻擊是通過窮舉所有可能口令的方法來進行攻擊，在現有網絡計算環境中，猜測一個口令的投入很小，攻擊者很容易利用軟件進行連續測試，理論上只要有足夠時間，所有口令都可被破解。

SQL注入。對于web應用程序而言，用戶核心數據存儲在數據庫中，如MySQL、SQL、Server、Oracle。通過SQL注入攻擊，可以獲取、修改、刪除數據庫信息，并且通過提權來控制web服務器等其他操作。SQL注入，即攻擊者通過構造特殊的SQL語句入侵目標系統，致使后臺數據庫泄露數據的過程。

Web應用程序開發使用的SQL、Per和PHP等語言，屬于解釋性語言，即在運行時，運行組件解釋語言代碼并執行其中包含的指令。這類解釋語言易于產生代碼注入攻擊;攻擊者可以提交一段預先構造的惡意代碼作為輸入，輸入信息被解釋為執行程序指令，從而對應用程序及執行代碼注入進行攻擊，SQL注入是危害最嚴重的攻擊方式之一。

SQL注入攻擊的原理為，攻擊者通過post/get方式輸入非法代碼改變SQL語句，以達到執行SQL語句對Web應用攻擊的目的，從而獲得整個系統的最高權限，如圖3所示。

文件上傳漏洞。文件上傳漏洞是指，利用應用程序中的上傳路徑，上傳一些過濾不嚴且可執行的文件到服務器上，再通過URL或者其他連接工具進行連接并且執行，以達到控制服務器的目的。

4 結語

我國網絡安全形勢日益嚴峻，應用安全更是重中之重，因此文章結合網絡安全等級保護應用安全與滲透測試進行了探討，以幫助以后在等級保護測評應用安全工作中，結合滲透測試進行全方位的檢測評估，將應用安全提升至一個新的高度。

參考文獻

[1] 王世軼，吳江，張輝.滲透測試在網絡安全等級保護測評中的應用[J].計算機應用與軟件，2018，35（11）：190-193.