滲透測試中攻與守之?dāng)?shù)據(jù)庫系統(tǒng)滲透簡介

1、滲透測試中攻與守之?dāng)?shù)據(jù)庫系統(tǒng)滲透簡介滲透測試(PenetrationTest)是完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù),對目標(biāo)系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測試能夠直觀的讓管理人員知道自己網(wǎng)絡(luò)所面臨的問題。實際上滲透測試并沒有嚴(yán)格的分類方式,即使在軟件開發(fā)生命周期中,也包含了滲透測試的環(huán)節(jié):但根據(jù)實際應(yīng)用,普遍認(rèn)同的幾種分類方法如下:根據(jù)滲透方法分類:黑箱測試黑箱測試又被稱為所謂的“Zero-KnowledgeTesting”，滲透者完全處于對系統(tǒng)一無所知的狀態(tài)，通常這類型測試，最初的信息獲取來自于DNS、Web、Email及各種公開對外的服務(wù)器。白盒測試白盒測試與黑

2、箱測試恰恰相反，測試者可以通過正常渠道向被測單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)?、員工資料甚至網(wǎng)站或其它程序的代碼片斷，也能夠與單位的其它員工(銷售、程序員、管理者)進行面對面的溝通。這類測試的目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作。隱秘測試隱秘測試是對被測單位而言的，通常情況下，接受滲透測試的單位網(wǎng)絡(luò)管理部門會收到通知:在某些時段進行測試。因此能夠監(jiān)測網(wǎng)絡(luò)中出現(xiàn)的變化。但隱秘測試則被測單位也僅有極少數(shù)人知曉測試的存在，因此能夠有效地檢驗單位中的信息安全事件監(jiān)控、響應(yīng)、恢復(fù)做得是否到位。根據(jù)滲透目標(biāo)分類主機操作系統(tǒng)滲透:對Windows、Solaris、AIX、Linux、SCO、SGI等操作系統(tǒng)本身進行

3、滲透測試。數(shù)據(jù)庫系統(tǒng)滲透:對MS-SQL、Oracle、MySQL、Informix、Sybase、DB2等數(shù)據(jù)庫應(yīng)用系統(tǒng)進行滲透測試。應(yīng)用系統(tǒng)滲透:對滲透目標(biāo)提供的各種應(yīng)用，如ASP、CGI、JSP、PHP等組成的WWW應(yīng)用進行滲透測試。網(wǎng)絡(luò)設(shè)備滲透:對各種防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)設(shè)備進行滲透測試。從攻方視角看滲透攻方既包括了潛在的黑客、入侵者，也可能是經(jīng)過企業(yè)授權(quán)的安全專家。在很多黑客的視角中，世界上永遠(yuǎn)沒有不可能滲透的目標(biāo)，差別僅在時間和耐性上。目前我們僅僅從授權(quán)滲透的角度來討論滲透測試的攻擊路徑及可能采用的技術(shù)手段。測試目標(biāo)不同，涉及需要采用的技術(shù)也會有一定差異，因此下面簡單說明在不

4、同位置可能采用的技術(shù)。內(nèi)網(wǎng)測試:內(nèi)網(wǎng)測試指的是滲透測試人員由內(nèi)部網(wǎng)絡(luò)發(fā)起測試，這類測試能夠模擬企業(yè)內(nèi)部違規(guī)操作者的行為。最主要的“優(yōu)勢”是繞過了防火墻的保護。內(nèi)部主要可能采用的滲透方式:遠(yuǎn)程緩沖區(qū)溢出，口令猜測，以及B/S或C/S應(yīng)用程序測試（如果涉及C/S程序測試，需要提前準(zhǔn)備相關(guān)客戶端軟件供測試使用）。外網(wǎng)測試:夕卜網(wǎng)測試指的是滲透測試人員完全處于外部網(wǎng)絡(luò)（例如撥號、ADSL或外部光纖），模擬對內(nèi)部狀態(tài)一無所知的外部攻擊者的行為。包括對網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程攻擊，口令管理安全性測試，防火墻規(guī)則試探、規(guī)避，Web及其它開放應(yīng)用服務(wù)的安全性測試。不同網(wǎng)段/Vian之間的滲透這種滲透方式是從某內(nèi)/外部網(wǎng)

5、段，嘗試對另一網(wǎng)段/Vian進行滲透。這類測試通?？赡苡玫降募夹g(shù)包括:對網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程攻擊;對防火墻的遠(yuǎn)程攻擊或規(guī)則探測、規(guī)避嘗試。滲透測試的流程圖如圖2所示:信息的收集和分析伴隨著每一個滲透測試步驟，每一個步驟又有三個組成部分:操作、響應(yīng)和結(jié)果分析。端口掃描通過對目標(biāo)地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測試的基礎(chǔ)。通過端口掃描，可以基本確定一個系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗可以確定其可能存在，以及被利用的安全弱點，為進行深層次的滲透提供依據(jù)。遠(yuǎn)程溢出這是當(dāng)前出現(xiàn)的頻率最高、威脅最嚴(yán)重，同時又是最容易實現(xiàn)的一種滲透方法，一個具有一般網(wǎng)絡(luò)知識的入侵者就

6、可以在很短的時間內(nèi)利用現(xiàn)成的工具實現(xiàn)遠(yuǎn)程溢出攻擊。對于防火墻內(nèi)的系統(tǒng)同樣存在這樣的風(fēng)險，只要對跨接防火墻內(nèi)外的一臺主機攻擊成功，那么通過這臺主機對防火墻內(nèi)的主機進行攻擊就易如反掌。口令猜測口令猜測也是一種出現(xiàn)概率很高的風(fēng)險，幾乎不需要任何攻擊工具，利用一個簡單的暴力攻擊程序和一個比較完善的字典，就可以猜測口令。對一個系統(tǒng)賬號的猜測通常包括兩個方面:首先是對用戶名的猜測，其次是對密碼的猜測。本地溢出所謂本地溢出是指在擁有了一個普通用戶的賬號之后，通過一段特殊的指令代碼獲得管理員權(quán)限的方法。使用本地溢出的前提是首先要獲得一個普通用戶密碼。也就是說由于導(dǎo)致本地溢出的一個關(guān)鍵條件是設(shè)置不當(dāng)?shù)拿艽a策略。

7、多年的實踐證明，在經(jīng)過前期的口令猜測階段獲取的普通賬號登錄系統(tǒng)之后，對系統(tǒng)實施本地溢出攻擊，就能獲取不進行主動安全防御的系統(tǒng)的控制管理權(quán)限。腳本及應(yīng)用測試Web腳本及應(yīng)用測試專門針對Web及數(shù)據(jù)庫服務(wù)器進行。艮據(jù)最新的技術(shù)統(tǒng)計，腳本安全弱點為當(dāng)前Web系統(tǒng)，尤其是存在動態(tài)內(nèi)容的Web系統(tǒng)比較嚴(yán)重的安全弱點之一。利用腳本相關(guān)弱點輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對于含有動態(tài)頁面的Web、數(shù)據(jù)庫等系統(tǒng)，Web腳本及應(yīng)用測試將是必不可少的一個環(huán)節(jié)。在Web腳本及應(yīng)用測試中，可能需要檢查的部份包括：檢查應(yīng)用系統(tǒng)架構(gòu),防止用戶繞過系統(tǒng)直接修改數(shù)據(jù)庫；檢查身份認(rèn)證模塊

8、，用以防止非法用戶繞過身份認(rèn)證；檢查數(shù)據(jù)庫接口模塊，用以防止用戶獲取系統(tǒng)權(quán)限；檢查文件接口模塊，防止用戶獲取系統(tǒng)文件；檢查其他安全威脅；無線測試中國的無線網(wǎng)絡(luò)還處于建設(shè)時期，但是由于無線網(wǎng)絡(luò)的部署簡易，在一些大城市的普及率已經(jīng)很高了。北京和上海的商務(wù)區(qū)至少80%的地方都可以找到接入點。通過對無線網(wǎng)絡(luò)的測試，可以判斷企業(yè)局域網(wǎng)安全性，已經(jīng)成為越來越重要的滲透測試環(huán)節(jié)。除了上述的測試手段外，還有一些可能會在滲透測試過程中使用的技術(shù)，包括:社交工程學(xué)、拒絕服務(wù)攻擊，以及中間人攻擊。從守方視角看滲透當(dāng)具備滲透測試攻擊經(jīng)驗的人們站到系統(tǒng)管理員的角度，要保障一個大網(wǎng)的安全時，我們會發(fā)現(xiàn)，需要關(guān)注的問題是完

9、全不同的:從攻方的視角看，是“攻其一點，不及其余”，只要找到一點漏洞，就有可能撕開整條戰(zhàn)線;但從守方的視角看，卻發(fā)現(xiàn)往往“千里之堤，毀于蟻穴”。因此，需要有好的理論指引，從技術(shù)到管理都注重安全，才能使網(wǎng)絡(luò)固若金湯。滲透測試的必要性滲透測試?yán)镁W(wǎng)絡(luò)安全掃描器、專用安全測試工具和富有經(jīng)驗的安全工程師的人工經(jīng)驗對網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、防火墻等進行非破壞性質(zhì)的模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機密信息并將入侵的過程和細(xì)節(jié)產(chǎn)生報告給用戶。滲透測試和工具掃描可以很好的互相補充。工具掃描具有很好的效率和速度，但是存在一定的誤報率和漏報率，并且不能發(fā)現(xiàn)高層次、復(fù)雜、并且相互

10、關(guān)聯(lián)的安全問題;滲透測試需要投入的人力資源較大、對測試者的專業(yè)技能要求很高（滲透測試報告的價值直接依賴于測試者的專業(yè)技能），但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強、更深層次的弱點。微軟在其IT攻擊和滲透測試團隊的任務(wù)描述中提到，他們內(nèi)部有一支滲透測試團隊，日常的工作流程如下:時間選擇:為減輕滲透測試對網(wǎng)絡(luò)和主機的影響，滲透測試時間盡量安排在業(yè)務(wù)量不大的時段或晚上。策略選擇:為防止?jié)B透測試造成網(wǎng)絡(luò)和主機的業(yè)務(wù)中斷，在滲透測試中不使用含有拒絕服務(wù)的測試策略。授權(quán)滲透測試的監(jiān)測手段在評估過程中，由于滲透測試的特殊性，用戶可以要求對整體測試流程進行監(jiān)控（可能提高滲透測試的成本）。測試方自控:由滲透測試方對本次測透測試過程中的三方面數(shù)據(jù)進行完整記錄:操作、響應(yīng)、分析,最終形成完整有效的滲透測試報告提交給用戶。用戶監(jiān)控：用戶監(jiān)控有四種形式，其一全程監(jiān)控:采用類似Ethereal的嗅探軟件進行全程抓包嗅探，；其二擇要監(jiān)控:對掃描過程不進行錄制，僅僅