安全漏洞评估
1、评估方式
自动化扫描:系统层漏洞大部分情况下使用自动化扫描
手工评估:耗时、不全面、技术要求高
2、评估流程
3.2 安全配置评估
1、安全配置评估分类
评估 说明
基础安全配置评估 在了解现状和基本需求的情况下,定义业务系统的基础安全配置要求,配置要求内容和具体产品相关
业务安全配置评估 辨析不同业务系统的安全需求,在已形成的基础安全配置评估上进行增加,同时协调不同安全设备上的策略,以期望形成符合业务特点的安全方案
2、安全配置评估规范分类
评估 说明
账号管理 账号分配管理:避免共享账号。多余账号锁定:锁定无关账号远程登录等
口令配置 口令复杂度要求;口令生存期要求等
认证授权 用户缺省权限控制;关键目录权限控制等
日志配置 登录日志记录;系统事件记录等
设备管理 SSH安全登录;补丁、版本最低要求等
其他安全 登录超时退出;共享权限要求等
3.3 安全测试
1、部分专业术语
黑盒测试:在客户授权的情况下,模拟黑客攻击的方法和思维方式,来评估计算机网络系统可能存在的风险。黑盒测试不知道源代码。
白盒测试:相对于黑盒测试,白盒测试基本是从内部发起。白盒测试知道源代码。
渗透测试:出于保护系统的目的,更全面地找出服务器的安全隐患。
入侵:不择手段地(甚至是具有破坏性的)拿到系统权限。
IOT安全:物联网(Internet of things(IoT))安全。
APT安全:高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。
Payload:是包含在你用于一次漏洞利用中的ShellCode中的主要功能代码。
Shellcode:可提权代码。对于一个漏洞来说,ShellCode就是一个用于某个漏洞的二进制代码框架,有了这个框架你可以在这个ShellCode中包含你需要的Payload来做一些事。
Exp:漏洞利用,一般是个demo程序。即示例程序。
Poc:(Proof of Concept)漏洞证明。一般就是个用来证明和复现漏洞的样本。
vul:(Vulnerability) 漏洞。
2、渗透测试流程
步骤 说明
明确目标 确定范围;确定规则;确定需求。
信息收集 基础信息;系统信息;应用信息;版本信息;服务信息;人员信息;防护信息。
漏洞探测 系统漏洞;WebServer漏洞;Web应用漏洞;其他端口服务漏洞;通信安全。
明确目标 确定范围;确定规则;确定需求。
信息分析 精准打击;绕过防御机制;定制攻击路径;绕过监测机制;攻击代码。
获取所需 实施攻击;获取内部信息;进一步渗透;持续性存在;清理痕迹。
信息整理 整理渗透工具;整理收集信息;整理漏洞信息。
形成报告 按需整理;补充介绍;修补建议。
3.4 HTML5介绍
1、HTML5解释
狭义解释:HTML5简称H5,是W3C制定的标准,在兼容原有html4.01和xhtml1.0标准的基础上,增加和修改了一些元素。此时HTML5 ≈ HTML+CSS3+JavaScript+API
广义解释:HTML5是HTML、CSS和JavaScript在内的一套技术组合,其目标是减少浏览器对于插件的依赖,提供丰富的RIA(富客户端)应用。
HTML5是标准而非技术。通过其所支持的内容将互联网语义化,能更好地被人和机器阅读。
2、HTML5的优势
跨平台:跨越iOS、Android、PC等多个平台,基于浏览器或浏览器引擎,将网页应用转换成移动或桌面应用。
减少插件依赖:可以不使用第三方插件查看视频、音频、图像等内容。
HTML5安全性:Iframe沙箱、内容安全策略(CSP)、跨域资源共享(CORS)。
3、HTML5应用场景
Web APP:指采用Html5语言写出的App,不需要下载安装,以浏览器为入口。
Hybrid APP:指半原生半Web的混合类App,需要下载安装,具有Native和H5的优点,通过WebView展示丰富多彩的页面。
4、HTML5安全测试
常规移动客户端安全测试:客户端程序安全、通信安全、服务端安全。
常规Web应用安全测试:各种web漏洞。
本地存储测试:html5中的Web Storage包括了两种存储方式:sessionStorage和localStorage。
sessionStorage用于本地存储一个会话(session)中的数据,这些数据只有在同一个会话中的页面才能访问并且当会话结束后数据也随之销毁。因此sessionStorage不是一种持久化的本地存储,仅仅是会话级别的存储。该项不用测试。
localStorage用于持久化的本地存储,除非主动删除数据,否则数据永远不会过期。该项重点测试。
3.5 堡垒机
1、堡垒机介绍
堡垒机是一套部署在数据中心,能够统一管理工作人员和网络资源,能够进行集中身份认证、集中管控资源和权限分配、智能运维托管资产、操作全程审计的运维安全管理解决方案。堡垒机是防火墙体系的基本形态。
堡垒机的应用场景:VPN联动;云安全APP联动;征信系统审计。
2、使用堡垒机将解决的问题
运维账号混用,粗放式权限管理
1、多个用户使用同一个账号,难定责。
2、一个用户使用多个账号,工作效率低,工作复杂度增加。
3、缺少统一的权限管理平台,无法基于最小权限分配原则的用户权限管理
审计日志粒度粗,易丢失,难定位
1、各系统自身审计日志分散、内容深浅不一,无法根据业务要求制定统一审计策略,容易被系统管理员删除,导致难以及时发现违规操作行为和追查取证。
2、旁路数据分析审计无法对已加密的应用层数据(SSH、SFTP等)进行细粒度分析,无法对图形运维操作(RDP,VNC等)过程进行完整还原,无法做到实时管控。
3、主机探针审计方式,占用系统资源,对系统稳定性埋下隐患。不能对网络方式运维操作过程完整还原展示,事后审计能力不足。
面临法规遵从的压力
政府、金融、运营商等陆续发布信息系统管理规范和要求,均要求采取信息系统风险内控与审计,但其自身却没有有效的技术手段。
运维工作繁重枯燥
数据备份工作量大、设备账号改密量多等问题常常导致运维操作失误,效率低等现象,这严重影响企业的经济运行效能,并对企业声誉造成重大影响。
虚拟云技术蓬勃发展
云环境下的信任问题日趋突出,多租户和用户下身份认证、权限控制,云主机系统运维和安全审计等种种问题都困扰着云服务厂商,也制约了云服务业务的发展。
3、堡垒机产品安全测试
大部分堡垒机登录均采用多因素认证,如令牌、短信验证码等。
按照常规Web应用安全测试方法测试,重点关注以下测试项:
1.账号枚举
2.多因素认证绕过
3.通信加密测试:明文传输,如使用HTTP协议传输,且关键信息未本地加密
4.越权测试:堡垒机有不同角色的账号,存在功能越权的漏洞
4、堡垒机环境下的web应用测试
测试堡垒机强控的系统时,一般是登录堡垒机后,远程登录到一台宿主机,在宿主机上访问目标测试站点,测试工具由客户上传到宿主机上。
结构图如下:
3.6 虚拟化
1、虚拟化介绍
虚拟化:是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显着提高计算机的工作效率。
虚拟化分类:操作系统虚拟化、桌面虚拟化、应用程序虚拟化、存储/网络虚拟化。
虚拟化应用场景:办公桌面。即瘦客户端不存储工作数据,数据在虚拟客户端(云)上。
2、虚拟桌面产品安全测试
按照常规Web应用安全测试方法测试,重点关注以下测试项:
登录功能测试:账号枚举、暴力破解、验证码绕过,如验证码未失效、验证码可置空等、二次认证绕过,如发送短信验证码手机号篡改、绕过校验等。
通信加密测试:明文传输,如使用HTTP协议传输,且关键信息未本地加密。
越权测试:与常规测试方法相同,重点关注功能菜单越权。