安全風險評估-應用系統(tǒng)評估

安全風險評估之應用系統(tǒng)評估TIME\@"yyyy年M月"2013年3月目錄1.應用系統(tǒng)評估概述41.1評估的概念41.2評估手段42.評估前的準備52.1確定用戶配合人員52.2確定評估的范圍52.3獲得應用系統(tǒng)組件的清單52.4應用系統(tǒng)評估啟動會62.5簽署應用系統(tǒng)評估申請63.具體評估步驟63.1認證和鑒別63.1.1是否啟用了PKI73.1.2是否啟用了組織統(tǒng)一要求的PKI73.1.3認證進程是否適當73.2用戶賬戶管理73.2.1用戶ID唯一性檢查73.2.2不活動用戶是否禁用83.2.3不必要的內(nèi)置用戶是否禁用83.2.4用戶ID是否有默認的或者弱口令83.3數(shù)據(jù)保護83.3.1敏感數(shù)據(jù)不適當?shù)卮鎯?3.3.2敏感數(shù)據(jù)傳輸中沒有適當?shù)谋Ｗo93.3.3使用未經(jīng)驗證的加密算法93.4安全審核93.4.1安全相關(guān)事件記錄93.4.2日志將滿沒有警告103.4.3日志存在未授權(quán)刪除、修改、泄露等漏洞103.5應用操作103.5.1基于角色的訪問控制沒有加強責任分離103.5.2應用在執(zhí)行操作之前沒有進行授權(quán)103.5.3進程運行的權(quán)限過高103.5.4應用沒有對session的限制113.5.5應用修改在應用的范圍之外的文件113.5.6用戶繞過用戶界面直接修改資源113.6影響控制113.6.1網(wǎng)絡架構(gòu)不適當113.6.2沒有災難恢復計劃113.6.3備份或者備份程序不完備123.6.4沒有確保應用日志可以長時間保存的流程123.6.5敏感數(shù)據(jù)未經(jīng)修改地直接導入測試環(huán)境123.7代碼安全123.7.1應用的進程在終止前沒有從內(nèi)存或者磁盤中刪除臨時對象123.7.2應用沒有充分驗證用戶輸入123.7.3應用直接暴露出錯信息133.7.4應用失敗能夠?qū)е虏话踩臓顟B(tài)13應用系統(tǒng)評估概述評估的概念應用系統(tǒng)評估，是風險評估中必須的一個子項。它是指將應用系統(tǒng)作為一個單位，對該應用系統(tǒng)所面臨的脆弱性、安全隱患進行檢查的過程。應用系統(tǒng)評估和網(wǎng)絡架構(gòu)評估、網(wǎng)絡訪問控制評估、數(shù)據(jù)流評估等不同，它關(guān)注的是應用系統(tǒng)的自身的安全，主要從“應用代碼或程序”層面進行評估。11評估手段在應用系統(tǒng)安全評估中，應盡可能采用以下多種方式，對應用系統(tǒng)進行全面的安全檢測。如果某些情況下，有些方式不能采用或無法實現(xiàn)，比如源代碼審核、配置文件檢查等，可考慮通過其他方式來進行驗證其現(xiàn)狀，比如滲透測試。應用系統(tǒng)文檔檢查檢查應用系統(tǒng)的開發(fā)和維護文檔，特別注意其中的和安全相關(guān)的部分。評估訪談和應用系統(tǒng)的開發(fā)人員、系統(tǒng)管理員、普通用戶（抽查）進行訪談，了解系統(tǒng)的在開發(fā)和使用過程中的詳細信息。如果回答否，則結(jié)果為否；若回答是，則應盡可能實際上機驗證。訪談前，評估人員需根據(jù)系統(tǒng)的情況，準備對應的訪談表。Checklist檢查根據(jù)應用系統(tǒng)的操作系統(tǒng)，對應相應的checklist檢查項，對應用系統(tǒng)進行安全檢查。檢查時，可以手工逐項檢查，也可以過腳本的方式快速檢查。滲透測試對于某些應用系統(tǒng)，在授權(quán)的情況下可以適當采用的滲透測試，來檢驗系統(tǒng)的安全性。比如針對Web網(wǎng)站，可以進行SQL注入、XSS、數(shù)據(jù)庫、暴力破解等滲透測試攻擊手段。系統(tǒng)配置狀況檢查登陸系統(tǒng)，對系統(tǒng)配置進行安全檢查。評估前的準備為保證在用戶現(xiàn)場的工作效率，評估前應作好以下準備工作。確定用戶配合人員和用戶確定能夠配合評估工作的人員，需要具有以下能力：了解應用系統(tǒng)，能夠有效回答評估者的詢問；能夠提供對源代碼的訪問，并協(xié)助分析源代碼；能夠提供應用系統(tǒng)相關(guān)的開發(fā)、維護文檔；能夠提供超級用戶權(quán)限的訪問界面；能夠提供普通用戶權(quán)限的訪問界面；最終確定的配合人員，一般包括：系統(tǒng)開發(fā)人員、系統(tǒng)管理員、普通用戶。確定評估的范圍和用戶確定本次應用系統(tǒng)評估的范圍，需落實到具體的服務器、應用、軟件等。獲得應用系統(tǒng)組件的清單獲得應用系統(tǒng)架構(gòu)范圍內(nèi)的所有組件清單，包括網(wǎng)絡拓撲圖、IP地址、OS版本、數(shù)據(jù)庫、APP版本、第三方中間件版本、庫文件或者其他組件等。應用系統(tǒng)評估啟動會可以考慮召開應用系統(tǒng)評估的啟動會，會上由系統(tǒng)開發(fā)人員、系統(tǒng)管理員介紹應用系統(tǒng)的基本情況，包括應用系統(tǒng)的基本功能、組件架構(gòu)、部署情況、使用對象、安全設計思想、業(yè)務流程等。同時，通過啟動會，也可能獲得更多與該應用系統(tǒng)相關(guān)的各種技術(shù)文檔。簽署應用系統(tǒng)評估申請在應用系統(tǒng)評估實施之前，應向用戶提交并簽署應用系統(tǒng)安全評估申請，以確保用戶認可以下問題：接受評估過程中可能帶來的操作風險；對物理、邏輯訪問用戶應用系統(tǒng)的授權(quán)。具體評估步驟通常情況下，對應用系統(tǒng)的評估，應從以下7個方面進行。認證和鑒別用戶賬戶管理數(shù)據(jù)保護安全審核應用操作影響控制代碼安全認證和鑒別這部分主要測試用戶或者進程如何進行身份認證。首先應該識別出應用系統(tǒng)中所有涉及認證和鑒別的行為，然后對它們逐個進行測試。本文主要介紹基于PKI的認證和鑒別測試，如果應用系統(tǒng)使用其他的認證和鑒別方式，可以比照執(zhí)行。是否啟用了PKI檢查應用系統(tǒng)是否啟用了PKI，如果沒有啟用，則紀錄之。如果說啟用，那么對使用了PKI的組件進行實際驗證。是否啟用了組織統(tǒng)一要求的PKI如果配合人員說“是”，那么進行實際驗證。認證進程是否適當列出應用系統(tǒng)中所有客戶認證進程的清單，包括ApplicationServer與數(shù)據(jù)庫服務器也構(gòu)成client/sever關(guān)系。認證方式一般有：操作系統(tǒng)、數(shù)據(jù)庫、目錄服務、認證設備等。通過查看配置文件、手工測試等方式來驗證在認證過程中，是否存在以下問題：只使用用戶名，不需要口令；是否有口令復雜性的策略要求；是否有帳戶鎖定的策略；用戶口令不能更改；用戶賬戶管理這部分主要檢查保存的用戶賬戶可能存在的安全弱點。首先識別應用系統(tǒng)中用戶ID保存在哪里。有些應用系統(tǒng)的用戶ID可能保存在多個地方。如果應用系統(tǒng)使用操作系統(tǒng)、數(shù)據(jù)庫的內(nèi)置賬戶，那么這部分應該在主機或者數(shù)據(jù)庫安全性評估中已經(jīng)進行，這里可以標記為NA。用戶ID唯一性檢查把用戶按ID排序，檢查是否存在ID重復的情況。把用戶按姓名排序，檢查是否存在一個姓名多ID的情況。不活動用戶是否禁用超過90天沒有登陸的用戶，是否禁用？不必要的內(nèi)置用戶是否禁用如果commoncommercialoff-the-shelf(COTS)的軟件，使用的內(nèi)置用戶，在其他評估中，已經(jīng)進行了評估，那么這部分可以忽略。需要注意這些不必要的內(nèi)置用戶是否必要？尤其當它們是超級用戶的時候。用戶ID是否有默認的或者弱口令應該嘗試應用系統(tǒng)廣為人知的默認口令。或者使用bruteforce進行弱口令暴力破解。數(shù)據(jù)保護本部分主要檢查數(shù)據(jù)在存儲、傳輸過程中的安全性、加密算法的問題。敏感數(shù)據(jù)不適當?shù)卮鎯γ舾袛?shù)據(jù)需要有適當?shù)臋?quán)限保護，只有管理員、應用或者操作系統(tǒng)進程有權(quán)限進行讀寫。對于賬戶數(shù)據(jù)庫的本地備份，也應該檢查其權(quán)限設置。其他用戶對敏感數(shù)據(jù)、尤其是用戶賬戶數(shù)據(jù)文件的讀或者寫，都是危險的。可以參考passwd~shadow的權(quán)限設置。口令需要被加密，可以查看配置文件是否啟用了加密功能。如果認證數(shù)據(jù)是可讀的，看看它是否明文，或者脆弱的加密方式。也可以審核源代碼，檢查對加密函數(shù)的過程調(diào)用，啟用了什么樣的加密功能。如果應用系統(tǒng)中使用key進行認證，列出server中key的清單，并抽樣檢查。注意key文件的權(quán)限，一般用戶或者進程不應該有寫的權(quán)限。識別是否有不必要的用戶或者應用進程（它在用戶的背后讀）對keys有讀的權(quán)限。對于非公開的用戶數(shù)據(jù)，詢問配合人員它們存儲在何處，及如何保護。用戶的權(quán)限不應該超過最小授權(quán)的原則。注意全局權(quán)限，或者非管理員的組權(quán)限。敏感數(shù)據(jù)傳輸中沒有適當?shù)谋Ｗo數(shù)據(jù)可以分成可以分成I&A和非I&A數(shù)據(jù)。所有的I&A數(shù)據(jù)在存儲、傳輸過程中必須進行加密。檢查系統(tǒng)是否使用telnet、ftp、basichttp等協(xié)議進行明文驗證。如果是，那么是否在低層次的協(xié)議中進行了加密？比如IPSEC、L2TP、PPTP或者鏈路層加密。如果應用和數(shù)據(jù)庫在同一臺機器上，那么傳輸過程中無需加密。對于非I&A數(shù)據(jù)，也應該根據(jù)重要性、是在內(nèi)網(wǎng)還是internet傳輸，來考慮其安全性。使用未經(jīng)驗證的加密算法列出應用系統(tǒng)中所有使用加密組件的清單，比如文件加密、VPN、SSH等。檢查是否使用了未經(jīng)驗證的加密算法。這樣的加密算法，安全性無法保證。安全審核安全相關(guān)事件記錄對于以下安全相關(guān)的事件，應該有詳細的紀錄：啟動和關(guān)閉；認證事件；授權(quán)用戶對數(shù)據(jù)的受控訪問；不成功的訪問企圖；刪除數(shù)據(jù)；應用配置更改；日志將滿沒有警告檢查應用文檔或者詢問用戶是否有此功能？通過配置文件確認之。日志存在未授權(quán)刪除、修改、泄露等漏洞檢查日志文件的權(quán)限，是否存在以上問題。應用操作基于角色的訪問控制沒有加強責任分離應該考慮以下分離：日志管理者~其他管理者；設置訪問控制規(guī)則的人員~訪問數(shù)據(jù)、編寫程序的人員；如果應用中實施了分開，則可能使用的安全配置界面不同，或者使用不同的賬號登陸。應用在執(zhí)行操作之前沒有進行授權(quán)授權(quán)機制可能包括文件權(quán)限、數(shù)據(jù)庫、應用代碼等。如果是在應用代碼中，讓開發(fā)者locateto相關(guān)代碼，細細檢查。如果使用文件權(quán)限、數(shù)據(jù)庫的方式，注意Everyone、world、public、guest等用戶或者組。進程運行的權(quán)限過高識別應用運行使用的賬戶。Windows中可以在“服務”中查看；Unix在ps–ef；n-tier結(jié)構(gòu)，可能看連接數(shù)據(jù)庫所使用的賬戶。如果使用administrator、uid=0、sa或者system等權(quán)限，都是安全隱患。搜索文件系統(tǒng)，看看有沒有以運行進程所使用的用戶為所有者的文件或者目錄。若有，則它能改寫這些文件了。應用沒有對session的限制詢問配合人員每個用戶或者進程ID會話數(shù)目的限制；以及會話空閑的最大時間?？梢詸z查配置文件、源代碼進行驗證。許多時候，配置文件、源代碼可能都看不到。這些和DoS攻擊有關(guān)。有時候測試會比較困難，比如idlelimits太長；這也可以作為一個結(jié)果記錄下來。應用修改在應用的范圍之外的文件搜索最近一周、一天內(nèi)修改過的文件?？纯从袥]有在應用的范圍之外的文件。用戶繞過用戶界面直接修改資源檢查系統(tǒng)開放的服務、防火墻或者路由器的訪問控制措施，從而確定“威脅界面”的大小。如果是Web應用，可以嘗試是否存在授權(quán)機制繞過的問題?？梢栽儐柟芾韱T是否存在直接修改數(shù)據(jù)庫的問題。影響控制網(wǎng)絡架構(gòu)不適當應該通過DMZ、內(nèi)部訪問控制等措施，減小應用中一臺服務器被攻擊對其他系統(tǒng)的影響。沒有災難恢復計劃如果該應用是整個災難恢復計劃中的一部分，確保計劃中包含詳細的指導。備份或者備份程序不完備確保對應用數(shù)據(jù)、底層OS和應用組件都進行了備份。沒有確保應用日志可以長時間保存的流程建議保存至少半年以上。敏感數(shù)據(jù)未經(jīng)修改地直接導入測試環(huán)境敏感數(shù)據(jù)，必須修改后，才能在測試環(huán)境中運行。代碼安全這部分檢查都需要審視應用代碼，并且最好在測試系統(tǒng)上進行驗證。應用的進程在終止前沒有從內(nèi)存或者磁盤中刪除臨時對象應該從內(nèi)存中釋放臨時對象，也應該保證數(shù)據(jù)庫的連接被關(guān)閉?？梢赃M入程序進行選定的動作，然后退出，搜索最新創(chuàng)建的文件。在windows下，可以使用搜索。在unix下：#touch-t200301211020/tmp/testdatefile#find/-newer/tmp/testdatefile應用沒有充分驗證用戶輸入詢問配合人員應用的測試計劃。檢查測試計劃中包含對無效輸入的檢查，包括腳本標簽、查詢字串、SQL命令、無效的數(shù)據(jù)類型和大小等。可以進行查詢字串偽造、腳本嵌入、SQLinjection、無效的輸入大小或者類型等等攻擊。劃中是否包含了對緩沖區(qū)溢出的測試