基于渗透测试漏洞危害实例分析与防范策略.docVIP

基于渗透测试漏洞危害实例分析与防范策略 　　摘 要：信息系统遭受入侵的主要原因是系统存在漏洞。漏洞是系统中客观存在的，它的存在并不能导致对系统的损害，但是攻击者可以利用漏洞对系统实施攻击，在机密性、完整性和可用性等方面造成损害。文章以互联网信息系统渗透测试为基础，对漏洞危害进行实例分析，提出安全防范策略。 　　关键词：信息系统；安全漏洞；危害分析；防范措施 　　中图分类号：TP393 文献标识码：B 　　Example analysis and prevention strategy of loopholes 　　in penetration tests 　　Abstract： Loophole in systems is the primary reason why systems are penetrable. The existence of loopholes is inevitable， and cannot directly jeopardize the system. However the attacker can take advantage of loopholes to initiate an attack， and cause damage to the confidentiality， integrity， and accessibility of the system. The following passage analyzes representative cases and formulates prevention strategies based on penetration tests performed on Internet network informatics. 　　Key words： information system； security breach； damage analysis； prevention strategy 　　1 引言 　　信息系统遭受入侵的主要原因是系统存在漏洞，漏洞也叫脆弱性，是信息系统在设计、编码、实现、配置、运行中有意或无意产生的。漏洞是信息系统中客观存在的，它的存在并不能导致对系统的损害，但是攻击者可以利用漏洞对系统实施攻击，在机密性、完整性和可用性等方面造成损害。 　　2 信息系统安全风险测评 　　在信息系统安全运维工作中，开展安全风险评估和渗透测试，是发现网络安全问题和缺陷、弥补安全漏洞、确保系统稳定运行的有效手段。通过网络拓扑分析、漏洞扫描工具、渗透测试、安全基线配置检查等手段对信息资产产生的安全漏洞进行识别，确定漏洞可利用程度，评估影响范围及危害程度。 　　以一次安全测评服务为例，对40个互联网业务系统的295台主机进行安全检测，其中32项业务系统的64台主机被检测到漏洞，分别占比例80%和21.7%。共计发现中高危漏洞152个，其中紧急漏洞5个，高危漏62个，中危漏洞85个。这些系统不同程度地存在Web应用安全配置错误、Web应用注入漏洞、XSS跨站漏洞、Web服务的默认管理网页、中间件使用了有缺陷的版本、弱口令等问题。这些问题是业务系统面临的主要威胁，存在极大的安全风险，在开放的互联网环境中，将严重威胁业务系统信息安全。 　　3 信息安全漏洞危害实例分析 　　系统漏洞对安全造成的威胁不限于它的直接可能性，一次成功的入侵行为往往不需要高超的技术，只需要收集、过滤信息，层层深入，利用系统安全漏洞实施攻击，获取管理员权限，获取系统敏感信息，破坏系统及网络的正常运行。下面分析利用风险测评中发现的安全漏洞进行攻击的实例，阐述安全漏洞对系统的危害性。 　　目录遍历漏洞是由Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞，使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制，访问任意的文件，甚至执行系统命令。 　　攻击者通过NMAP扫描，确定系统内部分服务器开放了Web服务和SSH服务。使用Web漏洞扫描软件进行扫描，发现存在一个目录遍历漏洞。仔细查看目录中文件内容，发现一个文件中保存了数据库登录的用户名和密码。结合NMAP的扫描结果，可以发现一台服务器运行MySQl数据库服务，立即使用Navicat For MySQL进行连接，成功登录一名有经验的攻击者，会进一步联想到SSH的登录用户可能与数据库登录名一样，于是打开PuTTY进行SSH连接测试，结果成功登录主机。如图1所示。 　　至此，已经完成了一次入侵行为，数据库、主机都被占领，可以安装后门、发起DDoS攻击等破坏行为。目录遍历漏洞是一种常见的Web漏洞，一般危害性不大，属于中危漏洞。但是攻击者利用该漏洞获得存储