《信息安全技术资料-渗透.ppt》由会员分享,可在线阅读,更多相关《信息安全技术资料-渗透.ppt(49页珍藏版)》请在三一文库上搜索。
1、信息安全技术交流,渗透测试,深圳市网安计算机安全检测技术有限公司,深圳市网安计算机安全检测技术有限公司,深圳市网安计算机安全检测技术有限公司,一、关于渗透测试 二、渗透测试常见WEB漏洞 三、部分渗透测试工具介绍 四、安全漏洞风险等级定义 五、常见攻击及防御,主讲内容,深圳市网安计算机安全检测技术有限公司,安全检测主要有以下几种方式:渗透测试、审计和评估。 现实中,单一的检测方式可能无法达到预期的效果。在检测系统安全的时候,通常根据不同的阶段和环境选择合适的测试方式。渗透测试为最直接的检测方式,可以为安全防御提供最有价值的信息。渗透测试的结果不仅是要评估目标系统或者网络的安全性,还要决定成功攻
2、击的可行性和风险等级。,什么是渗透测试,深圳市网安计算机安全检测技术有限公司,渗透测试(Penetration Test)是指安全渗透测试者尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/主机/数据库/应用的安全性作深入的探测,发现系统最脆弱的环节的过程。 目前,安全业界比较流行的开源渗透测试方法体系标准包括以下几个。 安全测试方法学开源手册(OSSTMM) NIST SP 800-42网络安全测试指南(NIST) OWASP十大Web应用安全威胁项目(OWASP Top 10) Web安全威胁分类标准(WASC-TC) PTES渗透测试执行标准(PTES),渗透测试标准流程,深
3、圳市网安计算机安全检测技术有限公司,信息收集,配置管理测试,认证测试,会话管理测试,授权测试,数据验证测试,拒绝服务测试,WEB服务测试,AJAX测试,OWASP Top 10,深圳市网安计算机安全检测技术有限公司,PTES渗透测试执行标准是由安全业界多家领军企业技术专家所共同发起的,期望为企业组织与安全服务提供商设计并制定用来实施渗透测试的通用描述准则。 PTES标准中定义的渗透测试过程环节基本上反映了安全业界的普遍认同,具体包括以下7个阶段:,渗透测试过程环节,深圳市网安计算机安全检测技术有限公司,实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据
4、实际应用,普遍认同的几种分类方法如下:,渗透测试的分类,深圳市网安计算机安全检测技术有限公司,实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法如下:,黑箱测试又被称为所谓的“Zero-Knowledge Testing”,渗透者完全处于对系统一无所知的状态,通常这类型测试,最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。,渗透测试的分类,深圳市网安计算机安全检测技术有限公司,实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法
5、如下:,白盒测试与黑箱测试恰恰相反,测试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料甚至网站或其它程序的代码片断,也能够与单位的其它员工(销售、 程序员、管理者)进行面对面的沟通。这类测试的目的是模拟企业内部雇员的越权操作。,渗透测试的分类,深圳市网安计算机安全检测技术有限公司,实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法如下:,隐秘测试是对被测单位而言的,通常情况下,接受渗透测试的单位网络管理部门会收到通知:在某些时段进行测试。因此能够监测网络中出现的变化。但隐秘测试则被测单位也仅有极少数人知
6、晓测试的存在,因此能够有效地检验单位中的信息安全事件监控、响应、恢复做得是否到位。,渗透测试的分类,深圳市网安计算机安全检测技术有限公司,实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法如下:,对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试。,渗透测试的分类,深圳市网安计算机安全检测技术有限公司,实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法如下:,对MS-SQL、Oracle、MySQL、In
7、formix、Sybase、DB2、Access等数据库应用系统进行渗透测试。,渗透测试的分类,深圳市网安计算机安全检测技术有限公司,实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法如下:,对渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试。,渗透测试的分类,深圳市网安计算机安全检测技术有限公司,实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法如下:,对各种防火墙、入侵检测系统、网络设备进行渗透测试。,渗透
8、测试的分类,深圳市网安计算机安全检测技术有限公司,渗透测试环节漏洞利用,深圳市网安计算机安全检测技术有限公司,系统层渗透相关漏洞,部分渗透测试工具介绍,信息收集 Web Vulnerability Scanner Nessus Nmap 数据分析 Burpsuite firebug 漏洞利用 SqlMap Metasploit hackbar,深圳市网安计算机安全检测技术有限公司,Web Vulnerability Scanner,深圳市网安计算机安全检测技术有限公司,Nessus,深圳市网安计算机安全检测技术有限公司,Nmap,深圳市网安计算机安全检测技术有限公司,Burpsuite,深圳市
9、网安计算机安全检测技术有限公司,firebug,深圳市网安计算机安全检测技术有限公司,SqlMap,深圳市网安计算机安全检测技术有限公司,Metasploit,深圳市网安计算机安全检测技术有限公司,Hackbar,深圳市网安计算机安全检测技术有限公司,深圳市网安计算机安全检测技术有限公司,目前常见WEB漏洞,深圳市网安计算机安全检测技术有限公司,目前常见WEB漏洞,攻击者可通过SQL注入对数据库进行查询、篡改等常规操作,执行权限允许的情况下,可以清空整个数据库。同时,攻击者也可通过SQL注入漏洞调用存储过程,执行系统命令、利用备份写入后门&木马等操作。,漏洞描述,风险分析,绕过登陆验证 获取数
10、据库数据 篡改数据库 执行危险存储过程,深圳市网安计算机安全检测技术有限公司,目前常见WEB漏洞,攻击者可利用该漏洞,提交构造的跨站代码,在用户非自愿的情况下执行恶意脚本,导致会话、Cookie等信息被窃取,通过窃取到的认证信息,伪造身份进行攻击。,漏洞描述,风险分析,执行恶意代码 窃取用户会话信息 获得管理权限 伪造身份进行攻击,深圳市网安计算机安全检测技术有限公司,目前常见WEB漏洞,由于WEB应用存在的某些缺陷,攻击者可以无视上传规则,上传非法文件,导致上传WebShell木马、后门程序,或者提权、破坏服务器内容。,漏洞描述,风险分析,直接获取WebShell 上传木马&后门或者病毒程序
11、 通过提权得到服务器控制权,深圳市网安计算机安全检测技术有限公司,目前常见WEB漏洞,通过简单密码组合猜解,一旦高权限帐户密码强度不够,就容易被获取,或者暴力破解,从而得到网站管理权限,某些可能存在缺陷的后台功能,由于其他高危漏洞,导致攻击者最终获得整个服务器的最高权限。,漏洞描述,风险分析,用户密码被猜解 管理权限泄漏 后台可能存在其他高风险漏洞,深圳市网安计算机安全检测技术有限公司,目前常见WEB漏洞,由于WEB应用逻辑缺陷,页面存在验证不足的情况下,低权限帐号可能越权访问应用功能,或者绕过登陆验证直接进入后台。,漏洞描述,风险分析,绕过登陆验证 越权访问应用功能 篡改后台设置 利用其他后
12、台漏洞进一步攻击,深圳市网安计算机安全检测技术有限公司,目前常见WEB漏洞,WEB服务器程序通过不断的更新和升级,来修复程序中存在的各种漏洞。低版本可能存在高版本中已知的高危漏洞,如果没有及时升级更新或者使用的WEB服务器程序版本过低,就有可能存在没有被修复的漏洞。,漏洞描述,风险分析,拒绝服务攻击 溢出攻击 任意命令执行 敏感信息泄漏,深圳市网安计算机安全检测技术有限公司,目前常见WEB漏洞,应用程序错误信息,在WEB应用开发期间,可以帮助开发人员快速找到Bug,修复和完善应用程序。在部署运行时,可能存在容错机制不完善,没有严格处理5xx错误等信息,导致应用程序错误信息直接暴露在浏览者面前。
13、,漏洞描述,风险分析,应用程序代码细节泄漏(SQL字段,代码逻辑) WEB应用错误暴露绝对路径 泄漏服务器环境信息,深圳市网安计算机安全检测技术有限公司,目前常见WEB漏洞,在测试服务器环境和配置的时候,可能会遗留一些测试文件。在后期维护中,操作者一时疏忽大意,往往随意重命名来保存备份文件。这些文件可能会被扫描或猜解到。,漏洞描述,风险分析,测试文件会泄漏服务器环境信息 备份文件可能存在源代码细节 设置或者配置文件泄漏,深圳市网安计算机安全检测技术有限公司,目前常见WEB漏洞,WEB应用在开发或者维护中,可能会存在注释,说明等信息。比如版本更新之后的说明文件,或者源文件中的注释说明,以及暂时注
14、释掉的代码片段,联系方式和姓名等信息。攻击者可能会收集这些信息,进行社会工程学攻击。,漏洞描述,风险分析,更新说明文件可能存在配置信息 注释掉的代码没有被执行 存在代码处理逻辑或者文件路径信息 姓名联系方式等信息可能会被社工利用,深圳市网安计算机安全检测技术有限公司,安全漏洞等级标准,安全漏洞等级标准,深圳市网安计算机安全检测技术有限公司,安全漏洞等级标准,安全漏洞等级标准,深圳市网安计算机安全检测技术有限公司,安全漏洞等级定义标准,安全漏洞等级划分要素包括访问路径、利用复杂度和影响程度三方面。,访问路径 访问路径的赋值包括:本地、邻接和远程,通常可被远程利用的安全漏洞危害程度高于可被邻接利用
15、的安全漏洞,可本地利用的安全漏洞最低。 利用复杂度 利用复杂度的赋值包括:简单和复杂,通常利用复杂度为简单的安全漏洞危害程度高。 影响程度 影响程度的赋值包括:完全、部分、轻微和无,通常影响程度为完全的安全漏洞危害程度高于影响程度为部分的安全漏洞,影响程度为轻微的安全漏洞次之,影响程度为无的安全漏洞可被忽略。,安全漏洞等级定义,深圳市网安计算机安全检测技术有限公司,安全漏洞等级划分,安全漏洞的危害程度从低至高依次为:低危、中危、高危和超危。,安全漏洞等级划分步骤包括: 确定访问路径的赋值; 确定利用复杂度的赋值; 分别确定保密性、完整性和可用性的影响赋值; 确定影响的步骤包括: 确定保密性的赋
16、值; 确定完整性的赋值; 确定可用性的赋值; 确定影响程度赋值; 根据访问路径、利用复杂度和影响程度的赋值,确定安全漏洞等级。,安全漏洞等级定义,深圳市网安计算机安全检测技术有限公司,DDos攻击,安全漏洞等级定义,首先从一个比方来深入理解什么是DDOS。 一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢? (只为举例,切勿模仿)恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空,最终跑了真正的大客户,
17、损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成,需要叫上很多人一起。 网络安全领域中DoS和DDoS攻击就遵循着这些思路。,深圳市网安计算机安全检测技术有限公司,DDos攻击,DDos攻击现象: 被攻击主机上有大量等待的TCP连接; 网络中充斥着大量的无用的数据包; 源地址为假造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯; 利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求,使主机无法处理所有正常请求; 严重时会造成系统死机;,深圳市网安计算机安全检测技术有限公司,DDos攻击防御,深圳市网安计算机安全检测技术有限公司,DDos攻击防御,深圳市网安计算机安全检测
18、技术有限公司,CC攻击,CC攻击是DDOS(分布式拒绝服务)的一种,相比其它的DDOS攻击CC似乎更有技术含量一些。这种攻击你见不到真实源IP,见不到特别大的异常流量,但造成服务器无法进行正常连接。 CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。 CC攻击是一种特殊的DDos攻击,防护方式可以借鉴DDos攻击防御方式。,深圳市网安计算机安全检测技术有限公司,网页挂马,深圳市网安计算机安全检测技术有限公司,网页挂马防护,深圳市网安计算机安全检测技术有限公司,网页篡改,深圳市网安计算机安全检测技术有限公司,网页篡改,深圳市网安计算机安全检测技术有限公司,结束 谢谢观看,结束,