信息安全技术资料-渗透.ppt

S 信息安全技术交流 渗透测试 深圳市网安计算机安全检测技术有限公司 深圳市网安计算机安全检测技术有限公司 一、关于渗透测试 二、渗透测试常见WEB漏洞 三、部分渗透测试工具介绍 四、安全漏洞风险等级定义 五、常见攻击及防御 主讲内容 安全检测主要有以下几种方式：渗透测试、审计和评估。 现实中，单一的检测方式可能无法达到预期的效果。在检 测系统安全的时候，通常根据不同的阶段和环境选择合适 的测试方式。渗透测试为最直接的检测方式，可以为安全 防御提供最有价值的信息。渗透测试的结果不仅是要评估 目标系统或者网络的安全性，还要决定成功攻击的可行性 和风险等级。 什么是渗透测试 渗透测试（Penetration Test）是指安全渗透测试者尽可能完整地模拟 黑客使用的漏洞发现技术和攻击手段，对目标网络/主机/数据库/应用 的安全性作深入的探测，发现系统最脆弱的环节的过程。 目前，安全业界比较流行的开源渗透测试方法体系标准包括以下几个。 1.安全测试方法学开源手册（OSSTMM） 2.NIST SP 800-42网络安全测试指南（NIST） 3.OWASP十大Web应用安全威胁项目（OWASP Top 10） 4.Web安全威胁分类标准（WASC-TC） 5.PTES渗透测试执行标准（PTES） 渗透测试标准流程渗透测试标准流程 针对目前最普遍的Web应用层，为安全测试人员和开发者提供了如何 识别与避免这些安全威胁的指南。OWASP十大Web应用安全威胁项目（ OWASP Top Ten）只关注具有最高风险的Web领域，而不是一个普适性 的渗透测试方法指南。 信息收集 配置管理测 试 认证测试 会话管理测 试 授权测试 数据验证测 试 拒绝服务测 试 WEB服务测试 AJAX测试 OWASP Top 10 PTES渗透测试执行标准是由安全业界多家领军企业技术专家所共同发起的，期望 为企业组织与安全服务提供商设计并制定用来实施渗透测试的通用描述准则。 PTES标准中定义的渗透测试过程环节基本上反映了安全业界的普遍认同，具体包 括以下7个阶段： 渗 透 测 试 过 程 环 节 实际上渗透测试并没有严格的分类方式，即使在软件开发生命周期 中，也包含了渗透测试的环节，但根据实际应用，普遍认同的几种 分类方法如下： 根据渗透方法分类根据渗透方法分类 黑箱测试 白盒测试 隐秘测试 根据渗透目标分类根据渗透目标分类 主机操作系统渗透 数据库系统渗透 应用系统渗透 网络设备渗透 渗透测试的分类渗透测试的分类 实际上渗透测试并没有严格的分类方式，即使在软件开发生命周期 中，也包含了渗透测试的环节，但根据实际应用，普遍认同的几种 分类方法如下： 根据渗透方法分类根据渗透方法分类 黑箱测试 白盒测试 隐秘测试 黑箱测试又被称为所谓的 “Zero-Knowledge Testing” ，渗透者完全处于对系统一无 所知的状态，通常这类型测试 ，最初的信息获取来自于DNS、 Web、Email及各种公开对外的 服务器。 渗透测试的分类渗透测试的分类 实际上渗透测试并没有严格的分类方式，即使在软件开发生命周期 中，也包含了渗透测试的环节，但根据实际应用，普遍认同的几种 分类方法如下： 根据渗透方法分类根据渗透方法分类 黑箱测试 白盒测试 隐秘测试 白盒测试与黑箱测试恰恰相反，测 试者可以通过正常渠道向被测单位 取得各种资料，包括网络拓扑、员 工资料甚至网站或其它程序的代码 片断，也能够与单位的其它员工（ 销售、 程序员、管理者）进 行面对面的沟通。这类测试的目的 是模拟企业内部雇员的越权操作。 渗透测试的分类渗透测试的分类 实际上渗透测试并没有严格的分类方式，即使在软件开发生命周期 中，也包含了渗透测试的环节，但根据实际应用，普遍认同的几种 分类方法如下： 根据渗透方法分类根据渗透方法分类 黑箱测试 白盒测试 隐秘测试 隐秘测试是对被测单位而言的，通 常情况下，接受渗透测试的单位网 络管理部门会收到通知：在某些时 段进行测试。因此能够监测网络中 出现的变化。但隐秘测试则被测单 位也仅有极少数人知晓测试的存在 ，因此能够有效地检验单位中的信 息安全事件监控、响应、恢复做得 是否到位。 渗透测试的分类渗透测试的分类 实际上渗透测试并没有严格的分类方式，即使在软件开发生命周期 中，也包含了渗透测试的环节，但根据实际应用，普遍认同的几种 分类方法如下： 根据渗透目标分类根据渗透目标分类 主机操作系统渗透 数据库系统渗透 应用系统渗透 网络设备渗透 对Windows、Solaris、AIX、 Linux、SCO、SGI等操作系统 本身进行渗透测试。 渗透测试的分类渗透测试的分类 实际上渗透测试并没有严格的分类方式，即使在软件开发生命周期 中，也包含了渗透测试的环节，但根据实际应用，普遍认同的几种 分类方法如下： 根据渗透目标分类根据渗透目标分类 主机操作系统渗透 数据库系统渗透 应用系统渗透 网络设备渗透 对MS-SQL、Oracle、MySQL、 Informix、Sybase、DB2、 Access等数据库应用系统进 行渗透测试。 渗透测试的分类渗透测试的分类 实际上渗透测试并没有严格的分类方式，即使在软件开发生命周期 中，也包含了渗透测试的环节，但根据实际应用，普遍认同的几种 分类方法如下： 根据渗透目标分类根据渗透目标分类 主机操作系统渗透 数据库系统渗透 应用系统渗透 网络设备渗透 对渗透目标提供的各种应用 ，如ASP、CGI、JSP、PHP等 组成的WWW应用进行渗透测试 。 渗透测试的分类渗透测试的分类 实际上渗透测试并没有严格的分类方式，即使在软件开发生命周期 中，也包含了渗透测试的环节，但根据实际应用，普遍认同的几种 分类方法如下： 根据渗透目标分类根据渗透目标分类 主机操作系统渗透 数据库系统渗透 应用系统渗透 网络设备渗透 对各种防火墙、入侵检测系 统、网络设备进行渗透测试 。 渗透测试的分类渗透测试的分类 中间人欺骗攻击 WEB攻击 内网嗅探 C段攻击 服务器提权 控制服务器 渗透测试环节漏洞利用 远程溢出 RDP MS12-020 VBScript MS14-011 本地提权 ASP.NET MS13-103 .NET Framework MS14-009 口令猜解 弱口令 默认密码 系统层渗透相关漏洞 部分渗透测试工具介绍 1 1 信息收集信息收集 1.1.Web Vulnerability ScannerWeb Vulnerability Scanner 2.2.NessusNessus 3.3.NmapNmap 2 2 数据分析数据分析 1.1.BurpsuiteBurpsuite 2.2.firebugfirebug 3 3 漏洞利用漏洞利用 1.1.SqlMapSqlMap 2.2.MetasploitMetasploit 3.3.hackbarhackbar Web Vulnerability Scanner Nessus Nmap Burpsuite firebug SqlMap Metasploit Hackbar 网安网_网络安全服务_计算机司法鉴定_网络安全评估_深圳等级保护 目前常见WEB漏洞 攻击者可通过SQL注入对数据库进行查询、篡改 等常规操作，执行权限允许的情况下，可以清空 整个数据库。同时，攻击者也可通过SQL注入漏 洞调用存储过程，执行系统命令、利用备份写入 后门&木马等操作。 漏洞描述漏洞描述 风险分析风险分析 绕过登陆验证 获取数据库数据 篡改数据库 执行危险存储过程 目前常见WEB漏洞 攻击者可利用该漏洞，提交构造的跨站代码，在 用户非自愿的情况下执行恶意脚本，导致会话、 Cookie等信息被窃取，通过窃取到的认证信息， 伪造身份进行攻击。 漏洞描述漏洞描述 风险分析风险分析 执行恶意代码 窃取用户会话信息 获得管理权限 伪造身份进行攻击 目前常见WEB漏洞 由于WEB应用存在的某些缺陷，攻击者可以无视 上传规则，上传非法文件，导致上传WebShell木 马、后门程序，或者提权、破坏服务器内容。 漏洞描述漏洞描述 风险分析风险分析 直接获取WebShell 上传木马&后门或者病毒程序 通过提权得到服务器控制权 目前常见WEB漏洞 通过简单密码组合猜解，一旦高权限帐户密码强 度不够，就容易被获取，或者暴力破解，从而得 到网站管理权限，某些可能存在缺陷的后台功能 ，由于其他高危漏洞，导致攻击者最终获得整个 服务器的最高权限。 漏洞描述漏洞描述 风险分析风险分析 用户密码被猜解 管理权限泄漏 后台可能存在其他高风险漏洞 目前常见WEB漏洞 由于WEB应用逻辑缺陷，页面存在验证不足的情 况下，低权限帐号可能越权访问应用功能，或者 绕过登陆验证直接进入后台。 漏洞描述漏洞描述 风险分析风险分析 绕过登陆验证 越权访问应用功能 篡改后台设置 利用其他后台漏洞进一步攻击 目前常见WEB漏洞 WEB服务器程序通过不断的更新和升级，来修复 程序中存在的各种漏洞。低版本可能存在高版本 中已知的高危漏洞，如果没有及时升级更新或者 使用的WEB服务器程序版本过低，就有可能存在 没有被修复的漏洞。 漏洞描述漏洞描述 风险分析风险分析 拒绝服务攻击 溢出攻击 任意命令执行 敏感信息泄漏 目前常见WEB漏洞 应用程序错误信息，在WEB应用开发期间，可以 帮助开发人员快速找到Bug，修复和完善应用程 序。在部署运行时，可能存在容错机制不完善， 没有严格处理5xx错误等信息，导致应用程序错 误信息直接暴露在浏览者面前。 漏洞描述漏洞描述 风险分析风险分析 应用程序代码细节泄漏(SQL字段，代码逻辑) WEB应用错误暴露绝对路径 泄漏服务器环境信息 目前常见WEB漏洞 在测试服务器环境和配置的时候，可能会遗留一 些测试文件。在后期维护中，操作者一时疏忽大 意，往往随意重命名来保存备份文件。这些文件 可能会被扫描或猜解到。 漏洞描述漏洞描述 风险分析风险分析 测试文件会泄漏服务器环境信息 备份文件可能存在源代码细节 设置或者配置文件泄漏 目前常见WEB漏洞 WEB应用在开发或者维护中，可能会存在注释， 说明等信息。比如版本更新之后的说明文件，或 者源文件中的注释说明，以及暂时注释掉的代码 片段，联系方式和姓名等信息。攻击者可能会收 集这些信息，进行社会工程学攻击。 漏洞描述漏洞描述 风险分析风险分析 更新说明文件可能存在配置信息 注释掉的代码没有被执行 存在代码处理逻辑或者文件路径信息 姓名联系方式等信息可能会被社工利用 安全漏洞等级标级标 准 标准号GB/Z 20986-2007 中文名称信息安全技术 信息安全事件分类分级指南 英文名称 Information security technology-Guidelines for the category and classification of Information security incidents 发布日期2007-07-30 实施日期2007-11-01 发布单位 中华人民共和国国家质量监督检验检疫总局、中国国家 标准化管理委员会 中国标准分类L80 安全漏洞等级标准 安全漏洞等级标级标 准 标准号GB/T 30279-2013 中文名称信息安全技术 安全漏洞等级划分指南 英文名称 Information security technologyVulnerability classification guide 发布日期2013-12-31 实施日期2014-07-15 起草单位 中国信息安全测评中心、中国科学院研究生院国家计算 机网络入侵防范中心、北京航空航天大学 归口单位全国信息安全标准化技术委员会 中国标准分类L80 安全漏洞等级标准 安全漏洞等级定义标准 安全漏洞等级划分要素包括访问路径、利用复杂度和影响程度三方面。 1访问路径 访问路径的赋值包括：本地、邻接和远程，通常可被远程利用的安全漏洞危害程度高于 可被邻接利用的安全漏洞，可本地利用的安全漏洞最低。 2利用复杂度 利用复杂度的赋值包括：简单和复杂，通常利用复杂度为简单的安全漏洞危害程度高。 3影响程度 影响程度的赋值包括：完全、部分、轻微和无，通常影响程度为完全的安全漏洞危害程 度高于影响程度为部分的安全漏洞，影响程度为轻微的安全漏洞次之，影响程度为 无的安全漏洞可被忽略。 安全漏洞等级定义 安全漏洞等级划分 安全漏洞的危害程度从低至高依次为：低危、中危、高危和超危。 安全漏洞等级划分步骤包括: a)确定访问路径的赋值； b)确定利用复杂度的赋值； c)分别确定保密性、完整性和可用性的影响赋值； 确定影响的步骤包括： 1.确定保密性的赋值； 2.确定完整性的赋值； 3.确定可用性的赋值； d)确定影响程度赋值； e)根据访问路径、利用复杂度和影响程度的赋值，确定安全漏洞等级。 安全漏洞等级定义 DDos攻击 安全漏洞等级定义 首先从一个比方来深入理解什么是DDOS。 一群恶霸试图让对面那家有着竞争关系的商铺无法 正常营业，他们会采取什么手段呢？ （只为