網(wǎng)站安全測(cè)試和審計(jì)實(shí)例
【51CTO.com 綜合消息】隨著各種各樣的Web應(yīng)用(電子商務(wù)、論壇、新聞、博客等)不斷進(jìn)入人們的生活,越來越多的動(dòng)態(tài)元素被加入到網(wǎng)站建設(shè)中來。表單、登錄、信息發(fā)布等動(dòng)態(tài)內(nèi)容允許訪問者獲得和提交動(dòng)態(tài)的內(nèi)容,如果這些Web應(yīng)用存在不安全的隱患,那么整個(gè)數(shù)據(jù)庫甚至是Web站點(diǎn)系統(tǒng)都會(huì)面臨安全風(fēng)險(xiǎn)。據(jù)統(tǒng)計(jì),目前75%的網(wǎng)絡(luò)攻擊行為都是通過Web來進(jìn)行的。
對(duì)Web應(yīng)用的安全性進(jìn)行手工測(cè)試和審計(jì)是一項(xiàng)復(fù)雜且耗時(shí)的工作,不僅需要極大的耐心還需要專業(yè)的技術(shù)經(jīng)驗(yàn)。對(duì)于Web管理人員來說,基于安全的管理將占用大量工作時(shí)間。自動(dòng)化的漏洞掃描工具能夠大幅簡(jiǎn)化對(duì)于未知安全隱患的檢測(cè)工作,有助于Web管理人員將精力轉(zhuǎn)向如何處理安全風(fēng)險(xiǎn)上。
針對(duì)系統(tǒng)平臺(tái)安全性的自動(dòng)化漏洞掃描、審計(jì)產(chǎn)品已經(jīng)為人們所熟悉,這些產(chǎn)品能夠很方便的檢測(cè)操作系統(tǒng)、端口服務(wù)、Web服務(wù)平臺(tái)、口令通信等方面存在的安全隱患。但是針對(duì)Web應(yīng)用層的成熟的安全性檢測(cè)系統(tǒng)目前還比較少,本文使用的是國(guó)舜科技的UnisWebScanner系統(tǒng)來進(jìn)行的。
本次檢測(cè)對(duì)象為某貿(mào)易公司網(wǎng)站,檢測(cè)行為已獲得該公司認(rèn)可。檢測(cè)項(xiàng)目為注入漏洞、跨站漏洞、掛馬漏洞以及敏感信息泄漏等。
 |
| 圖1 |
檢測(cè)過程中發(fā)現(xiàn)有3個(gè)注入漏洞風(fēng)險(xiǎn),其中兩個(gè)為SQL盲注漏洞,一個(gè)為普通SQL注入漏洞。為了檢測(cè)注入漏洞是否可以被惡意攻擊者利用,可以對(duì)其進(jìn)行注入漏洞狀態(tài)驗(yàn)證。
 |
| 圖2 |
對(duì)于兩個(gè)盲注漏洞的狀態(tài)驗(yàn)證,我們還原掃描系統(tǒng)的檢測(cè)結(jié)果發(fā)現(xiàn)該網(wǎng)站對(duì)用戶提交的訪問沒有進(jìn)行合規(guī)性過濾。對(duì)于提交的特殊構(gòu)造訪問,依然返回了相關(guān)信息。
 |
| 圖3 |
 |
| 圖4 |
而對(duì)于普通SQL注入漏洞,我們發(fā)現(xiàn)了該網(wǎng)站使用的數(shù)據(jù)庫類型,對(duì)數(shù)據(jù)庫內(nèi)的敏感信息進(jìn)行了掃描,并獲取了一定的敏感信息。碰巧的是,出現(xiàn)這個(gè)注入漏洞的不是別的頁面,正是網(wǎng)站的后臺(tái)管理登錄頁面,于是為了驗(yàn)證獲得的敏感信息,我們使用了之前獲取的帳號(hào)密碼,發(fā)現(xiàn)果然可以進(jìn)入。對(duì)于惡意的攻擊者來說,這樣的漏洞對(duì)于網(wǎng)站來說簡(jiǎn)直是災(zāi)難性的,攻擊者甚至不需要去尋找后臺(tái)登錄頁面,也不需要進(jìn)行密碼暴力破解,在3-5分鐘內(nèi)就可以完成對(duì)整個(gè)網(wǎng)站的控制。
 |
| 圖5 |
對(duì)于3個(gè)跨站漏洞,系統(tǒng)使用了 >">
對(duì)于這個(gè)貿(mào)易公司網(wǎng)站來說主要存在的是兩方面的安全威脅,第一是來源于注入漏洞,惡意攻擊者可以利用這些漏洞獲得數(shù)據(jù)庫內(nèi)的某些敏感信息,假如獲得后臺(tái)管理員的帳號(hào)密碼,那么整個(gè)網(wǎng)站服務(wù)器就岌岌可危了。另外,跨站漏洞雖然對(duì)于網(wǎng)站服務(wù)器本身的威脅并不是很嚴(yán)重,但是作為一個(gè)交易平臺(tái),作為一個(gè)以服務(wù)客戶為目的的網(wǎng)站系統(tǒng),如果使得客戶的隱私信息發(fā)生泄漏又或是客戶訪問主機(jī)被執(zhí)行了惡意操作,那么對(duì)于這個(gè)貿(mào)易公司來說,商業(yè)信譽(yù)以及經(jīng)濟(jì)方面的損失將是不可估量的。
