摘要:随着网络的高速发展,网络已经覆盖到各个行业之中。随着近年来的不断发展和建设,各个企业已经在信息化建设方面都具备了良好的基础,但是在网络信息安全管理和技术方面都还需要加强。就目前的网络安全状况来看, 企业所面临的网络风险还是比较严重的,入侵者可以通过安全漏洞对企业网络进行操作,对企业造成极大的危害, 影响企业正常业务的开展。
本文首先说明了本课题的背景和意义,然后通过研究了解目前的网络安全现状还有各种渗透测试技术,然后依据掌握的内容提出网络安全实施方案,之后按照方案对目标网络进行渗透测试,分析网络的安全隐患,并对发现的网络安全漏洞提出修复建议,最后需要进行复测,致力于从根本上杜绝企业网络中可能存在的安全隐患,强化企业整体网络信息安全状况。
关键词:网络风险;安全漏洞;渗透测试;修复建议
1 引言
1.1 课题背景与意义
在当前社会,网络发展越来越迅速,互联网已经遍及经济社会的方方面面,形成多方面的新兴发展平台和改革力量。根据XXX集团的整体信息化战略部署,XXX目前已经建设完成了ERP、CIS、本体门户、新OA等系统,因此其已经较好地完成了企业信息化建设,并且具备了一个基本的信息安全技术防护手段。然而,随着信息化建设的完成,还有互联网的不断发展,XXX认为有必要在信息安全管理及技术方面进行加强,因此发起了“信息安全建设”项目来对公司进行整体信息安全调研、风险评估、整改指导等。希望在项目实施完成后,能够详细准确地了解XXX当前的网络安全状况,并且发现并修复安全漏洞,制定并实施定期漏洞扫描以及渗透测试计划。
如今这个时代,网络安全控制是非常必要的,在网络中我们往往能够挖掘出大量的漏洞,我们可以通过安全漏洞进行攻击,从而对网络造成高持续性的威胁,从而产生一系列复杂的网络信息安全问题,而且大量的用户相关信息被存储在网络中,这就使得用户数据易于泄露[2]。人为恶意攻击是当前网络所遭遇的最大威胁,因此受到了广大工作人员的高度重视,解决当下安全隐患问题最重要的就是要从根本上有效地杜绝网络安全隐患[3]。因此我们就需要对计算机网络进行渗透测试,来找出网络中可能存在的安全漏洞,并且对安全漏洞进行修复,从根本上来防止恶意攻击。因此我们就需要制定网络安全实施方案,并且对渗透测试技术进行深入的研究,能够运用各种渗透测试技术,使得国家或者各企业等的网络信息安全风险状况能够尽可能地处于一个安全状态之下。
1.2 相关研究综述
1.2.1 网络安全发展现状
网络安全现状的研究对于当前社会各方面的发展都具有显著的意义,明确了解当下网络安全现状可以帮助我们开展之后的工作。根据长期研究表明,目前的网络安全问题主要集中在计算机病毒问题和人为恶意攻击的问题上 [3]。网络安全起源可以追溯到19世纪40年代,而国内的网络安全起步要比国外晚,在20世纪90年代,当时的中国互联网刚刚处于起步阶段,一些青年开始研究安全漏洞[4],网络安全问题变得严重,在90年代末中国网络安全产业开始进入快速发展的阶段。
现如今网络安全问题日益严重,因此需要不断地防范各种网络攻击。现如今无论是企业还是国家对于网络安全方面也越来越重视,近年来为了维护网络安全,陆续有各种法律法规颁布。同时也提出了一些维护网络安全的策 略,如将技术和管理相结合、进行风险评估、指定各种安全实施计划、物理保护、远程访问控制、病毒防护、使用防火墙进行防护等[7]。如图1-1是2021 年CNVD中漏洞收录情况,可以看到每月都有漏洞被收录在CNVD中。
图1-12021年CNVD漏洞趋势图
1.2.2 渗透测试发展现状
网络安全渗透测试是一个新兴行业,它是防范网络攻击的重要方法。渗透测试是在1967年正式投入使用的,最初提出以系统测试的方法维护网络安全的思路的是RAND公司,其与X高级研究计划局ARPA联合提出了The Willis Report,其中对安全问题及其策略和技术对策有所研究,是迄今为止安全解决方案的基础[8]。渗透测试发展早期鼻祖之一James P. Anderson在1972年报告中提出诸多渗透测试可能性的具体流程,包括挖掘漏洞,设计攻击方法,还有通过寻找攻击过程弱点找到对抗威胁的方法,此基本方法使用至今[8]。目前国外的渗透测试发展已经比较成熟了,有很多专门的企业为各个领域行业的公司提供渗透测试服务,同时已经形成了一些渗透测试的相关标准,如安全测试方法开源手册(The Open Source Security Testing Methodology Manual, OSSTMM)、渗透测试执行标准(Penetration Testing Execution Standard, PTES)等。目前普遍认同的标准是PTES,是在2010年被提出的,其展现了整个渗透测试的流程,相对来说是较为周到完善的,具体如图1-2所示。
图1-2PTES渗透测试执行标准
目前国内对于网络安全的研究相对于国外来说还是有所欠缺,还没有渗透测试相关标准。当然关于渗透测试的研究也在不断地改进和更新中,当前黑客行为的验证也越来越复杂,关于渗透测试的研究也就越来越难以满足当前的需求。
2 方案设计
2.1 测试内容与流程
本次渗透测试的内容包含外部渗透和内部渗透,主要针对操作系统及服务漏洞、应用系统漏洞、安全配置缺陷、功能逻辑缺陷等方面进行全面测试。整个项目实施的流程主要分为五个阶段,分别为前期准备阶段、信息收集阶段、测试实施阶段、复测实施阶段和成果汇报阶段,具体如图2-1所示。
图2-1 渗透测试流程
2.2 前期准备阶段
在前期准备阶段,首先需要相关人员进行细节方面的沟通,主要针对本次项目需要运用的相关技术等。同时还需要制定渗透测试的方案,在方案中需要确定的内容有测试范围、对象、方式、时间等。
在与客户方确认完所有相关细节之后,就需要签订渗透测试授权书来获取对目标网络进行渗透测试的权限,并且确认客户方已经知晓本次项目实施的过程以及风险,使得之后的整个项目的实施都在客户方的控制下展开。
2.3 测试实施阶段
在测试实施阶段,最开始要做的工作是进行初步的信息收集和漏洞扫描,使用的是自动化安全扫描工具。在获得扫描结果后,需要进行人工确认和分析,并且在之后要进行深入的渗透测试,从各个方面更加周到地分析系统中存在的安全问题。在测试完成后,对测试结果进行整理,并编写渗透测试报告,以一个系统一份来完成,最终提交给客户方的相关负责人,并且针对结果进行确认交流。
在测试过程中,测试者需要针对系统中可能存在的安全风险进行分析,模拟攻击者对漏洞进行利用测试,根据测试结果发现系统存在的安全问题,并对发现的安全问题提出修复加固建议。测试预期达到的目标为:Ø发现授权渗透测试目标系统的安全漏洞 Ø针对发现的漏洞提供加固方案及防护建议
在本次渗透测试实施过程中,具体要挖掘的漏洞类型大致分为5类,包括Web安全、业务逻辑安全、服务器安全、中间件安全和网络传输安全,各个类型中的漏洞名称如表2-1所示。
表2-1 漏洞类型
| Web安全 | ||
| 任意代码执行 | 不安全的HTTP Methods | 信息泄露 |
| Struts2远程命令执行 | 任意文件探测 | CRLF注入 |
| Spring远程命令执行 | 缺少“X-XSS-Protection”头 | 命令执行注入 |
| flash跨域 | X-Frame-Options Header 未配置 | URL重定向 |
| HTML表单无CSRF保护 | 使用GET方式进行用户名密码传输 | Json劫持 |
| HTTP明文传输 | 跨站脚本攻击(XSS) | 第三方组件安全 |
| 任意文件删除 | SQL注入 | 本地/远程文件包含 |
| 绝对路径泄露 | 任意文件上传 | 跨站点伪造请求(CSRF) |
| 未设置HTTPONLY | 任意文件下载或读取 | 服务器端请求伪造(SSRF) |
| X-Forwarded-For伪造 | 任意目录遍历 | XML 外部实体(XXE)注入 |
| 明文传输 | .svn/.git源代码泄露 | |
| 业务逻辑安全 | ||
| 验证码缺陷 | 用户弱口令 | 未授权访问 |
| 反序列化命令执行 | 会话标志固定攻击 | 业务逻辑漏洞 |
| 用户名枚举 | 平行越权访问 | 短信炸弹 |
| 用户密码枚举 | 垂直越权访问 | Flash未混淆导致反编译 |
| 服务器安全 | ||
| 文件解析代码执行 | 数据库弱口令 | windows操作系统漏洞 |
| 域传送漏洞 | 本地权限提升 | 数据库远程连接 |
| Redis未授权访问 | 已存在的脚本木马 | 权限分配不合理 |
| MongoDB未授权访问 | 永恒之蓝 | |
| 操作系统弱口令 | mssql信息探测 | |
| 中间件安全 | ||
| Jboss反序列化命令执行 | Jenkins反序列命令执行 | Webloigc反序列化命令执行 |
| Websphere 反序列化命令执行 | 中间件弱口令 | 中间件配置缺陷 |
| Apache Tomcat样例目录session操纵 | JBoss远程代码执行 | |
| 网络传输安全 | ||
| 加密方式不安全 | 使用不安全的telnet协议 | |
最终报告中要对每个系统根据系统中发现的漏洞情况将系统的安全风险状况划分为四个等级,包括良好状态、预警状态、严重状态和紧急状态,在系统中发现了中高危级别的漏洞,系统的正常运行会被影响,此时需要立刻采取措施,例如对漏洞进行修复以及重新部署安全系统进行防护等等。该种状态下系统的情况较为严峻,可能严重侵害组织的重要的经济或政治利益,此时需要与其他安全部门合力采取紧急防御措施。
2.4 成果汇报阶段
根据测试实施阶段和回归测试阶段的结果,整理渗透测试服务交付物,将这些成果交付给客户方并且进行汇 报,使得客户方了解本次项目的实施成果,了解其公司目前所处的网络安全状况。本次渗透测试的交付物中需要包括的主要内容为项目概述、安全漏洞归纳及总结这三个部分,具体内容如下:
(1)合规性原则
合规性是渗透测试进行的必要条件,在渗透测试过程中需要有一定的规范依据,要符合规范和法律要求,本次渗透测试服务是参照下列规范来进行工作的。Ø奇安信渗透测试最佳实践
(2)稳定性原则
稳定性就是保障系统业务稳定运行。渗透测试中最大的风险就是会对系统业务产生影响,因此在渗透测试过程中要尽可能地减少对于业务的影响。选择合理的时间、工具等进行渗透测试都是为了保障稳定性。
(3)可控性原则
可控性就是使得项目的实施是在客户的控制下展开的,渗透测试是要经过客户授权后才能进行的,对于非授权目标不得进行渗透测试。发生异常时,能第一时间告知客户,客户需要了解整个项目实施的过程情况。项目的实施需要在双方的协调下共同完成。
(4)非破坏性原则
非破坏性是不对系统造成破坏,如不得在系统中留有后门、对系统本身的数据进行篡改删除等。渗透测试本身就是为了能够更好地维护网络安全,而不是对企业网络系统造成破坏。我们需要保障客户的经济利益,减少客户的损失。
3 方案实施
3.1 测试内容确认
通过与客户方的沟通交流,最终确定的主要测试范围和对象为24个主要系统,其中前20个系统如有漏洞需要提供渗透测试报告,并且在后续需要跟进修复,并且进行复测,而后四个系统则是提供安全评估报告,后续并未安排进行复测,
本次渗透测试主要是以人工方式进行,并然后使用自动化工具协助进行。测试过程中需要遵守上述提到的原 则,测试时间由客户来安排,尽量在业务量不大的时间段下进行,并且不得对超出授权范围的网络系统进行漏洞扫描和渗透测试,在未经授权的情况下,不得私自对企业网络进行渗透测试,还有就是不得对目标网络系统进行破 坏,尽量避免对企业业务产生影响,避免造成企业业务无法正常进行。在渗透测试过程中遇到问题要及时与客户方沟通交流,共同解决问题。
3.2 项目实施过程
在本次渗透测试过程中,使用Goby和Nmap自动化扫描工具进行信息收集,同时采用Nessus、AWVS和fscan等漏洞工具进行漏洞扫描,使用多种工具进行扫描是为了更全面地获取信息,综合进行分析减少误报、漏洞的情况,争取挖掘出更多的漏洞。由自动化扫描工具扫描所得的安全漏洞还需要通过人工验证漏洞的有效性,减少因自动化工具产生的误报。
3.2.1 Goby扫描工具
Goby扫描工具能够针对目标企业网络进行梳理,获取全面的攻击信息。主要对如表3-1内容进行扫描:
表3-1扫描内容描述
| 扫描描述 | |
| 资产扫
描 | 自动探测目标网络中当前存活的IP |
| 端口扫
描 | 使用不同状况的端口分组保证结果高效输出 |
| 协议识
别 | 包含常见网络、数据库、IoT、ICS等200多种协议识别引擎,通过轻量级地发包迅速分析端口对应的协
议信息 |
| 产品识
别 | 包含10万多种规则识别引擎,自动识别分类及分析硬件设备和软件业务系统 |
| Web检测 | 检测web网站的重要信息:包含IP地址、端口、服务器、标题等 |
| 漏洞扫
描 | 预置了最具攻击效果的漏洞引擎 |
| 代理扫
描 | 通过socket5代理快速开启内网渗透 |
| 域名扫
自动解析域名为IP地址,还有自动爬取其子域名 描 | |
我们可以获取到资产数量、存活IP数量、端口数量和扫描所得的漏洞数量,我们可以查看存活的IP还有其开放的端口以及端口上对应的协议信息,我们可以根据这些信息方便后续渗透测试的进行。Goby工具虽然也有漏洞扫描功能,但是扫描结果并不是非常准确,因此我们在此次扫描过程中主要是用来搜集信息。
我们可以看到扫描的网络存活情况,及其端口开放情况,还有开放端口对应的服务,我们可以针对特定的信息,挖掘对应的漏洞。Nessus扫描工具主要是用于扫描系统漏洞,该扫描工具被全世界广泛运用,其中包含了成千上万的漏洞,随时更新其中的漏洞数据库。在创建一个扫描时,通常使用Advanced Scan的扫描模板来进行扫描,如图3-1创建一个新的扫描,在Target框中可以输入IP地址、域名或者网段,实现多个目标网络同时扫描。
图3-1Nessus创建扫描
3.3 用户弱口令
3.3.1 测试方法
系统的受众用户相对比较宽广,而有些用户是对安全的认识是较为欠缺的,若此时系统没有对密码要求做正确的设置,那么使用字典对账号密码进行猜解,很容易就可以破解出账户密码,然后就可以登录到系统中对系统造成破坏。
使用HTTP数据包重放工具如Burp Suite工具进行账号密码的自动化穷举,查看是否可成功破解弱口令账号。
3.3.2 测试结果
通过Burp Suite对用户名进行爆破,在这个系统中我们发现大量用户使用了密码123456,我们将密码统一设为123456,并且设置字典进行枚举,在图4-1中发现有多个用户名都是使用该密码,并且使用这些账号密码都是可以成功登录到系统中,同样我们可以将用户名和密码都设为变量值。这是由于没有对用户名和密码进行限制,导致密码很容易被爆破。
图4-1 用户名爆破
通过弱口令,入侵者可以直接登录到系统中,对系统内容进行修改控制,因此其风险级别被判定为高危。
3.4 测试方法
由于一些疏漏如调试页面、开发程序调试功能、备份文件等没有删除或程序错误信息、数据信息没有被屏蔽等都会造成信息泄露,按照泄露信息的重要程度不同,其危害程度也是不同的,根据这些信息进行分析可以分析出很多东西,有可能能够更深入地对系统造成破坏。
可以通过以下方法进行测试:
1.使用目录扫描工具探测敏感路径;
2.使用文件扫描工具探测敏感文件;
3.使用HTTP抓包工具查看请求响应中是否有敏感信息;
4手工提交异常参数使得引起程序异常从而返回敏感信息,如提交单引号、超长字符串、异常编码字符串等方式。进行数据的提交,然后抓包所得,其中tableName参数上存在SQL注入漏洞,SQLMAP会在各个参数处依次更换测试语句进行测试来判断是否存在SQL注入漏洞,最终判断出参数tableName处存在SQL注入漏洞。SQL注入漏洞可以非法获取或操作数据库信息,其对于系统的危害还是比较大的,因此其风险级别被判定为高危。
4 结论
本项目以尽可能多地挖掘网络中存在的安全漏洞为主要目的,通过项目的实施可以看到很多系统中还是存在着安全漏洞,而且有些安全漏洞是比较常见的,根据漏洞情况统计发现,用户弱口令发现的数量尤其多,还有就是SQL 注入、XSS攻击漏洞等这些漏洞都是非常常见的,且这些漏洞的危害是极其巨大的,然而这些漏洞却还是在不断地被发现,说明目前大家对于网络安全的意识还是有所欠缺的,开发人员没有重视这方面的问题或者知道要对其进行防范,但却不知如何进行防范,因此需要增强开发人员在这方面的意识。在之前使用工具对网络进行扫描的时候很容易就能发现漏洞,然而现在漏洞挖掘变得越来越困难,因此对于渗透测试的研究就需要不断深入。
致 谢
时光匆匆而过,一眨眼之间学生生涯就这样过去了,还记得刚进入学校的我们非常懵懂,随着毕业设计的完成,如今的我们即将离开校园进入社会,在此我想向大家表达我真挚的谢意。
首先,我想向我的指导老师表达我的谢意,感谢他们在我毕业设计期间对我的帮助和指导,从选题开始到毕业设计的完成过程中都一直帮助我,在文档编写中给予我悉心的指导,帮我一遍遍地审核我的论文,对我的论文不足之处提出建议,使得我的论文能够变得完善。
其次,我想感谢教育过我们的各位老师,各位老师不辞辛苦地将他们所会的知识都传授给我们,帮助我们提升自身的能力。在生活中他们也尽可能地给予我们帮助,解决我们所面临的困惑和迷茫,当我们遇到问题都会与我们进行沟通,帮助我们解决。
最后,我要感谢我的父母还有朋友们,他们给了我无私的爱,从小到大他们都一直陪伴在我的身边,在背后默默地支持着我,陪伴着我成长,对我的学习以及生活都尽可能地给予他们最大的支持。
参考文献
[1]周建美.中小企业信息化管理问题与解决措施[J]. 中小企业管理与科技(中旬刊), 2021(11): 1-3.
[2]王振中. 大数据时代网络信息存在的网络及对策[J]. 软件, 2021, 42(08): 33-38.
[3]范清永. 试论当下计算机网络安全现状及对策[J]. 信息记录材料, 2021, 22(05): 58-59.
[4]吴翰清. 白帽子讲web安全[M]. 北京:电子工业出版社, 2014: 2-3.
[5]陈朝兵. “互联网+”时代网络信息安全现状与防护研究[J]. 网络安全技术与应用, 2021(10): 179-180.
[6]孙海波, 梁文琴. 网站漏洞扫描工作存在的问题及解决方法[J]. 电子技术与软件工程, 2021(06): 239-241.
[7]E Li. Research on Network Information Security Issues and Strategies under the Internet Plus Environment[J]. Journal of Physics: Conference Series, 2020, 1617(01).
[8]佚名. 渗透测试发展史[EB/OL]. 2022-02-16. https://blog.csdn.net/weixin_34095889/article/details/90396164.
[9]Wang Xiaoyu, Li Dandan. Research on network information security penetration test based on IP port service technology[J]. Journal of Physics: Conference Series, 2021, 1856(01).
[10]罗拥华, 徐礼国, 邱尚明, 李冬睿. 计算机网络渗透测试技术分析[J]. 电子技术与软件工程, 2021(18): 234- 236.
[11]程广振. 安全扫描技术在网络安全中的应用[J]. 网络安全技术与应用, 202(0): 6-8.
[12]陶国武.网络渗透测试技术分析[J].通信世界,2018(09):48-49.
[13]孙梅,郭宇燕,韩超,余磊.Web渗透测试方法研究[J].通化师范学院学报,2019,40(02):60-67.
[14]刘俊. 网络渗透测试流程及方法探究[J]. 网络安全技术与应用, 2020(12): 16-17.
1、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“文章版权申述”(推荐),也可以打举报电话:18735597641(电话支持时间:9:00-18:30)。
2、网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
3、本站所有内容均由合作方或网友投稿,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务。
原创文章,作者:1158,如若转载,请注明出处:https://www.447766.cn/chachong/167274.html,
