[[398273]]

【51CTO.com快譯】眾所周知，在應(yīng)用設(shè)計(jì)中的某個(gè)簡(jiǎn)單的缺陷、配置上的錯(cuò)誤、以及網(wǎng)絡(luò)釣魚(yú)攻擊，都可能給Web服務(wù)器造成巨大的損失。有統(tǒng)計(jì)顯示，全球有75%的IT領(lǐng)導(dǎo)者，對(duì)其Web應(yīng)用的安全性缺乏信心。因此近年來(lái)，Web應(yīng)用的安全性已逐漸成為了各種規(guī)模的企業(yè)的日常關(guān)注與防范重點(diǎn)。

從目的上說(shuō)，Web應(yīng)用安全旨在：保護(hù)Web網(wǎng)站、應(yīng)用、以及服務(wù)，免受那些針對(duì)應(yīng)用級(jí)源代碼弱點(diǎn)的、各種新增或既有的安全性威脅。下面，我將和您討論和總結(jié)，在執(zhí)行Web應(yīng)用的滲透測(cè)試過(guò)程中，常用的步驟、方法與工具。

什么是Web應(yīng)用滲透測(cè)試?

在組織內(nèi)部、本地或云端的各類(lèi)Web服務(wù)器，往往會(huì)持續(xù)面臨著各種惡意源的攻擊。為了降低此類(lèi)風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全專(zhuān)家需要通過(guò)模擬針對(duì)Web應(yīng)用、網(wǎng)站或服務(wù)的一系列攻擊方式，以發(fā)現(xiàn)能夠被網(wǎng)絡(luò)攻擊者輕易利用的各種漏洞，識(shí)別出潛在的威脅，以及掌握組織整體應(yīng)用的安全態(tài)勢(shì)。這個(gè)過(guò)程便是Web應(yīng)用滲透測(cè)試。

了解滲透測(cè)試的核心步驟

Web應(yīng)用安全性測(cè)試的關(guān)鍵步驟包括：

預(yù)備動(dòng)作

確定被測(cè)組織的業(yè)務(wù)范圍、目標(biāo)、以及安全態(tài)勢(shì)是至關(guān)重要的。測(cè)試人員需要在此階段識(shí)別出，目標(biāo)組織正在使用的虛擬資產(chǎn)和實(shí)物資產(chǎn)。據(jù)此，測(cè)試人員需要判斷出將要對(duì)目標(biāo)系統(tǒng)采取：黑盒測(cè)試、白盒測(cè)試、還是灰盒測(cè)試。

情報(bào)收集

此步驟對(duì)于分析Web應(yīng)用的設(shè)置是至關(guān)重要的。我們通常分為被動(dòng)和主動(dòng)兩個(gè)收集階段。其中：

• 在被動(dòng)階段，測(cè)試人員主要收集那些可以在互聯(lián)網(wǎng)上被輕松獲得的信息，而無(wú)需直接與應(yīng)用進(jìn)行交互。例如，使用Google語(yǔ)法('site：*.domain.com')，來(lái)識(shí)別應(yīng)用的子域，或使用Wayback Machine(譯者注：自1996年以來(lái)，該站點(diǎn)持續(xù)給整個(gè)互聯(lián)網(wǎng)做備份，累計(jì)完成了1500億個(gè)網(wǎng)頁(yè))，來(lái)檢查網(wǎng)站的存檔版本。
• 在主動(dòng)階段，測(cè)試人員對(duì)目標(biāo)系統(tǒng)進(jìn)行探測(cè)，以提取可供進(jìn)一步分析的實(shí)用信息。例如，對(duì)Web應(yīng)用進(jìn)行“指紋識(shí)別”，以發(fā)現(xiàn)所用到的技術(shù)版本，進(jìn)而執(zhí)行DNS查找，時(shí)區(qū)轉(zhuǎn)換，觸發(fā)錯(cuò)誤頁(yè)面，以及檢查源代碼等操作。

漏洞掃描與分析

在了解了系統(tǒng)內(nèi)部的關(guān)鍵控制點(diǎn)之后，測(cè)試人員可以開(kāi)始仔細(xì)檢查那些可用來(lái)攻擊的向量，以確定組織的重要信息是否存在著潛在風(fēng)險(xiǎn)。在這個(gè)階段，他們通常會(huì)使用Zed Attack Proxy(ZAP)、Burp Suite Pro、以及Acunetix等工具，對(duì)目標(biāo)應(yīng)用的漏洞進(jìn)行掃描，以識(shí)別安全漏洞，并了解應(yīng)用是如何響應(yīng)各種入侵嘗試的。

利用階段

有了前面收集到的各種詳盡數(shù)據(jù)，以及對(duì)在掃描階段發(fā)現(xiàn)漏洞的深入分析，測(cè)試人員選用各種可利用的技術(shù)和方法，實(shí)施滲透“攻擊”。例如：使用SQL注入可以獲得對(duì)于數(shù)據(jù)庫(kù)的未授權(quán)訪問(wèn)權(quán)限;使用蠻力工具可以直接跳過(guò)授權(quán)機(jī)制;將惡意腳本上傳至應(yīng)用服務(wù)器，進(jìn)而獲取命令行Shell的訪問(wèn)權(quán)限等。

整理威脅并制定補(bǔ)救措施

根據(jù)滲透的效果，測(cè)試人員總結(jié)并評(píng)估已開(kāi)展的測(cè)試，對(duì)已發(fā)現(xiàn)的威脅和風(fēng)險(xiǎn)進(jìn)行嚴(yán)重性排序，形成有針對(duì)性的補(bǔ)救建議，并最終生成完整的深度報(bào)告。而在組織的IT團(tuán)隊(duì)修復(fù)了錯(cuò)誤，并消除了漏洞之后，測(cè)試人員立即開(kāi)展新的一輪滲透測(cè)試。

如果您想深入探究上述流程的話，請(qǐng)參閱：《5種Web應(yīng)用安全威脅與7種防范措施》一文。

四種通過(guò)滲透測(cè)試識(shí)別威脅的常用方法

通常，合格的Web安全滲透專(zhuān)家會(huì)用到如下四種安全測(cè)試方法：

1. OWASP(開(kāi)放式Web應(yīng)用安全項(xiàng)目)

OWASP是一個(gè)致力于通過(guò)從高到低列舉十大威脅，來(lái)增強(qiáng)軟件系統(tǒng)安全性的實(shí)體。它匯集了來(lái)自全球各地的技術(shù)專(zhuān)家，他們不斷分享著有關(guān)威脅和攻擊的各種洞見(jiàn)。而OWASP Top10(十大漏洞)則是一套定期更新的知名文檔。它突出展示了Web應(yīng)用可能面臨的10大最關(guān)鍵的威脅。其中包括：注入、失效的身份認(rèn)證、敏感信息的泄漏、XML外部實(shí)體(XXE)，訪問(wèn)控制的破壞，安全配置的錯(cuò)誤，跨站腳本XSS，不安全的反序列化，使用具有已知漏洞的組件，以及日志記錄和監(jiān)控的不到位。

2. PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))

作為一組合同義務(wù)，PCI DSS旨在確保所有處理、存儲(chǔ)或傳輸信用卡信息的組織，都能夠維護(hù)一個(gè)安全的環(huán)境。它在全球范圍內(nèi)，被視為一種黃金標(biāo)準(zhǔn)，可被用來(lái)確保組織內(nèi)各種付款類(lèi)相關(guān)信息的安全性。

該標(biāo)準(zhǔn)不但提升了客戶的信任度，而且有助于防止那些輕度違規(guī)事件，所導(dǎo)致的敏感信息的丟失。畢竟這些對(duì)于支付場(chǎng)景而言，都是至關(guān)重要的。

3. OSSTMM(開(kāi)源安全測(cè)試方法)

作為一個(gè)開(kāi)源的安全測(cè)試手冊(cè)，OSSTMM每六個(gè)月會(huì)定期更新一次，以反映最新的網(wǎng)絡(luò)威脅。它旨在通過(guò)一個(gè)系統(tǒng)性的、科學(xué)的過(guò)程，協(xié)助用戶獲取可靠的滲透測(cè)試報(bào)告，分析各種漏洞，紅隊(duì)行為，以及其他安全類(lèi)活動(dòng)。

OSSTMM所包含的測(cè)試范圍包括：人員安全、物理安全、無(wú)線安全、電信安全、以及數(shù)據(jù)網(wǎng)絡(luò)安全等測(cè)試。它能夠無(wú)縫地與您當(dāng)前用到的各種安全測(cè)試協(xié)議相連接​​。

4. ISSAF(信息系統(tǒng)安全評(píng)估框架)

ISSAF旨在評(píng)估系統(tǒng)、應(yīng)用控制和網(wǎng)絡(luò)的安全性。它是由一個(gè)結(jié)構(gòu)化的九步走組成。其中包括：收集信息，映射網(wǎng)絡(luò)，識(shí)別漏洞，滲透，獲取基本訪問(wèn)權(quán)限，提權(quán)，維持訪問(wèn)權(quán)限，破壞遠(yuǎn)程用戶與站點(diǎn)，隱藏測(cè)試者的數(shù)字“足跡”。

客觀而言，此類(lèi)滲透測(cè)試與其他常用方法相比，略顯復(fù)雜。如果您想深入探究上述方法的話，請(qǐng)參閱：《流行的滲透測(cè)試工具》一文。

可用于有效分析的七種滲透測(cè)試工具

目前，大多數(shù)滲透測(cè)試工具都屬于自動(dòng)化范疇。當(dāng)然，其中也有部分工具需要測(cè)試人員手動(dòng)觸發(fā)和執(zhí)行。而在實(shí)際應(yīng)用場(chǎng)景中，我們往往需要將手動(dòng)和自動(dòng)化測(cè)試技術(shù)相結(jié)合。下面讓我們來(lái)看一些最常用到的工具。

1. Zed攻擊代理(ZAP)

ZAP是由OWASP維護(hù)的、最流行且最常用的開(kāi)源式Web應(yīng)用掃描程序之一。它實(shí)質(zhì)上是通過(guò)“中間人代理”的方式，實(shí)現(xiàn)漏洞檢測(cè)。也就是說(shuō)，ZAP在邏輯上位于滲透測(cè)試人員的瀏覽器和目標(biāo)Web應(yīng)用之間，對(duì)于瀏覽器與Web應(yīng)用間的往來(lái)消息，進(jìn)行攔截，檢查和修改。

2. Burp Suite Pro

作為最流行的滲透測(cè)試工具包之一，Burp Suite通常被用于識(shí)別Web應(yīng)用的各種安全性漏洞。同樣作為基于代理的工具，它能夠攔截瀏覽器與任何目標(biāo)應(yīng)用之間的通信。

目前，該工具帶有各種實(shí)用且強(qiáng)大的功能，其中包括：針對(duì)特定請(qǐng)求而生成的概念驗(yàn)證(proof-of-concept)式CSRF攻擊，帶有大量漏洞簽名庫(kù)的掃描程序，具有功能內(nèi)容與潛在威脅自動(dòng)化發(fā)現(xiàn)等功能。

3. Veracode

作為一款功能強(qiáng)大的靜態(tài)分析工具，Veracode可以讓您快速地識(shí)別和修復(fù)應(yīng)用中的安全漏洞。同時(shí)，該工具能夠在無(wú)需源代碼的情況下，分析出應(yīng)用的主要安全框架和編程語(yǔ)言。

在實(shí)際應(yīng)用中，它可以通過(guò)集成到您的軟件開(kāi)發(fā)生命周期中，方便開(kāi)發(fā)團(tuán)隊(duì)編寫(xiě)出安全的代碼，并且評(píng)估Web、移動(dòng)、以及后端應(yīng)用的安全性。

4. SQLMap

作為被廣泛使用的開(kāi)源工具之一，SQLMap可以被用于識(shí)別和利用數(shù)據(jù)庫(kù)的相關(guān)漏洞(例如SQL注入)，以及對(duì)數(shù)據(jù)庫(kù)服務(wù)器實(shí)施接管。目前，該工具主要支持諸如：MySQL、MSSQL、MongoDB、Oracle、以及PostgreSQL等DBMS(數(shù)據(jù)庫(kù)管理系統(tǒng))。

5.Vega

Vega是另一款開(kāi)源的Web應(yīng)用漏洞掃描工具。它可以幫助您快速地發(fā)現(xiàn)和驗(yàn)證諸如XSS(跨站點(diǎn)腳本攻擊)、SQL注入、以及其他可能讓W(xué)eb應(yīng)用暴露在風(fēng)險(xiǎn)之中的關(guān)鍵性漏洞。作為一款由Java編寫(xiě)的、基于GUI的工具，Vega能夠支持諸如：Linux、Windows和OS X等主流操作系統(tǒng)。

6. Arachni

Arachni能夠通過(guò)對(duì)Web應(yīng)用執(zhí)行安全性測(cè)試，以識(shí)別，分類(lèi)，分析和記錄各種安全性問(wèn)題。與其他掃描工具不同的是，Arachni考慮到了Web應(yīng)用的動(dòng)態(tài)性。它可以檢測(cè)在復(fù)雜性路徑中，由漂移(drifting)引發(fā)的變化，并據(jù)此作出相應(yīng)的調(diào)整。因此，它是滲透測(cè)試人員和管理員的理想選擇。

7. Dirb

作為針對(duì)Web內(nèi)容的實(shí)用掃描工具，Dirb通過(guò)對(duì)Web服務(wù)器發(fā)起基于字典的攻擊、或蠻力攻擊，來(lái)識(shí)別應(yīng)用中現(xiàn)有或隱藏的Web目錄。同時(shí)，Dirb屬于命令行類(lèi)型的實(shí)用程序。它可以提供專(zhuān)業(yè)的Web應(yīng)用審核，進(jìn)而保障組織在Web應(yīng)用中敏感數(shù)據(jù)的安全性。

原文標(biāo)題：Web Application Pen Testing Steps, Methods, and Tools，作者：Cyril James

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】