政府网站安全检测服务方案.docx
《政府网站安全检测服务方案.docx》由会员分享,可在线阅读,更多相关《政府网站安全检测服务方案.docx(19页珍藏版)》请在冰豆网上搜索。
政府网站安全检测服务方案
贵州省政府网站群
安全检测服务方案
二〇〇九年一月六日
第1章.前言
前言
据调查,有75%的攻击发生在Web应用层,且大多数网站都相当脆弱。
大量的攻击者在利用Web漏洞入侵网站,实现数据篡改、挂马获利。
然而,用户很难主动发现这一切。
若能主动发现Web漏洞以及网页木马,并采取补救措施,就可以降低网站安全风险,减少损失。
这一切都需要从建立一个主动的网站安全检查机制入手。
针对这一网站安全趋势,(北京)信息安全服务中心发布了专门针对网站安全的标准化服务产品——Web安全检测服务。
Web漏洞、网页木马,这些令管理员头痛的问题可以通过远程方式进行详细的检测,相当于为网站进行了一次全面的“体检”,并提供有针对性的“治疗”措施和健康建议,从而将这些安全隐患带来的损失降到最低。
什么是网页漏洞和网页挂马
网页漏洞
日益增长的网络业务应用为脆弱的web应用提供了漏洞滋生的土壤。
如银行、政府机构和在线商务企业都使用了web技术提供服务。
这些机构往往自己开发整套的web应用程序(ASP、JSP和CGI等),而这些开发者由于没有获得过专业训练,导致这些自产web软件漏洞百出,这些漏洞统称为网页漏洞。
网页漏洞的存在意味着网页中任何传递给浏览器的信息都可能被用户利用和操纵,恶意用户可以查看、修改或者插入敏感信息(包括价格、会话跟踪信息甚至是脚本执行代码)。
网页挂马
很多朋友都碰到过这样的现象:
打开一个网站,结果页面还没显示,杀毒软件就开始报警,提示检测到木马病毒。
有经验的朋友会知道这是网页病毒,但是自己打开的明明是正规网站,没有哪家正规网站会将病毒放在自己的网页上吧?
那么是什么导致了这种现象的发生呢?
其中最有可能的一个原因就是:
这个网站被挂马了。
网页木马是指黑客攻击WEB网站后,在网页中嵌入的一段用于自动下载带有特定目的木马程序的恶意代码或脚本。
请注意,挂上去的是一段代码或脚本,而非真正的“一匹”马。
而黑客实施恶意代码或脚本植入的行为通常称为“挂马”。
监测实施原则
标准性原则
符合标准的要求:
依据国际信息安全标准、国内行业规范及其他相关标准和制度。
根据ISO17799/ISO27001所建立的信息安全管理框架,作为建立企业信息安全管理体系(ISMS)的主要依据。
根据ISO13335、国信办《信息安全风险评估标准》作为对信息资产进行安全风险评估与风险管理的主要参考方法。
根据公安部《信息安全等级保护规范》、美国国家安全局信息安全保障架构IATF等标准作为建立信息安全架构体系的主要依据。
根据COBIT、ITIL、CMMI等国际上得到普遍认可的事实标准,对IT流程进行风险评估与控制。
根据国家保密局、国家档案局、国资委及广东省的有关保密规定,作为企业建立保密工作体系的依据。
项目规范化管理
在信息安全服务过程中,根据安全工程的项目管理方法,在每个项目阶段都建立持续监控机制,制定相应的文档规范,对工作过程中产生的文档进行跟踪和控制;
安全咨询项目框架遵从美国项目管理协会(PMI)推出的项目管理知识体系(PMBOK),并在实际中根据自己的行业特征,形成自己的行之有效的项目管理体系,所有项目的管理都必须严格遵守规定的流程,以确保项目的成功和客户的满意度。
过程可控性:
本项目的管理将依据PMI项目管理、服务规范等进行管理,成立高层项目管理委员会保障项目的沟通管理,达到项目过程的可控性。
工具可控性:
咨询服务人员所使用的评估、修补与加固的工具将事先通告用户,确保应在双方认可的范围之内,并通过安全培训、工程联络会等方式进行工具的使用介绍。
服务过程中采用的安全技术手段确定为已经经过实际应用的安全技术和产品。
整体性原则:
在进行安全咨询服务过程中将严格按照确定的范围和内容进行实施,从广度和深度上满足用户的要求,安全咨询项目包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。
最小影响原则:
会从项目管理和技术应用的层面,将安全咨询服务的实施对系统和网络的正常运行所可能的影响降到最低程度,不对网络系统的运行和业务应用的正常提供产生显著影响,同时在安全咨询服务实施前做好备份和应急措施。
保密性原则:
参与本项目的项目组成员都将与用户签署此项目特定的保密协议,对工作过程数据和结果数据严格保密,XX不得泄露给任何单位和个人。
第2章.安全检测服务介绍
跨站脚本
跨站脚本(即XSS)漏洞允许攻击者向其他用户发送恶意代码(通常是Javascript格式的)。
浏览器不能判断该脚本是否可被信任,因此会在用户上下文中执行此脚本。
恶意人员可利用跨站脚本构造诱骗页面,诱骗用户登陆,进而获取登陆者的用户名称、密码等敏感信息,进行非法活动。
SQL注入
web应用程序接收的用户输入在没有对输入的字符进行恶意字符过滤的前提下,直接用来拼接SQL语句,造成了SQL注入漏洞。
攻击者利用此注入漏洞,通过对数据库的猜解,可得到网站管理员的用户名和密码,进而获取站点的上传权限得到webshell,利用权限提升控制服务器,对整个外部和内部网络系统造成重大损失。
SQL注入是目前互联网中应用最普遍的一个应用层攻击。
后台表单逃逸检测
后台表单逃逸检测,是针对单表的一种特殊性SQL注入检测,常用于检测Web应用后台登录系统。
单表逃逸是一种常见的Web应用漏洞。
例如登录帐户为'or''='等。
XPath注入检测
随着简单XMLAPI、Web服务和RichInternetApplications(RIAs)的发展,更多组织几乎在所有方面(从配置文件到远程过程调用)都采用XML作为数据格式。
一些人已经使用XML文档代替更传统的纯文本文件或关系数据库,但是与任何其他允许外部用户提交数据的应用程序或技术相似,XML应用程序可能容易受到代码注入的攻击
后台登录弱口令检测
后台登录弱口令检测,是针对Web应用后台登录帐户口令强壮性的检测。
通过后台登录弱口令检测可以检验Web应用系统是否存在默认的帐户口令或者弱口令。
例如对admin:
admin888此类帐户密码的检测。
源码泄露检测
源代码泄露检测是针对网站开发人员或者管理员人为疏忽所造成的严重操作失误所进行的检查。
例如
常见数据库检测
由于WEB站点使用了第三方程序或者使用了比较常见的数据库名,攻击者通过尝试访问下载的数据库文件,将可能导致数据库信息泄露,包括网站合法用户信息和管理员信息,将严重影响数据库安全。
常见目录检测
由于WEB站点使用了常见目录,将可能导致攻击者进行后台管理页面及数据库路径的暴力猜解。
目录浏览检测
由于WEB服务器配置不当,导致攻击者可以浏览WEB目录内所有文件。
通过浏览WEB目录,攻击者可以获取当前WEB路径下的敏感文件信息。
验证码检测
通过检测验证码的强弱度,验证网站是否使用了较弱的验证码。
网站如果使用了较弱的验证码,将无法有效的保护网站安全。
ani木马检测
木马病毒TROJ_ANICMOO.AX利用Windows动画光标缺陷(VulnerabilityinWindowsAnimatedCursorHandling)发动零时差攻击。
使用者只要点选相关恶意链接就会遭受窃取密码账号等机密数据的木马攻击,但也有可能因为访问了遭受植入恶意程序的网站,而被暗中下毒。
ActiveX控件木马检测
ActiveX控件木马检测是针对,利用Windows系统或者第三方应用程序的控件漏洞来实现木马等恶意软件传播的脚本文件,所进行的检测,实质上是对网页挂马的分析性检测之一。
常见挂马方式检测
通过检测,寻找网站是否已经被黑客挂马,是否存在一段用于自动下载带有特定目的木马程序的恶意代码或脚本。
第3章.Web安全检测原理
Web安全检测是利用专用的Web应用漏洞扫描程序构建的自动化扫描平台,模拟Web前端可以与实际的Web应用程序通信,从而可以发现Web应用程序中的安全缺陷。
其工作原理非常类似一个黑匣子测试器,也就是说它并不需要访问源代码,真正实现远程的安全检测。
第一阶段、网站结构分析:
通过爬虫技术远程完整而详细的分析出目标网站系统程序的分布结构,获得详细的网站目录和内容结构窗体,精确地得到网站程序结构;并能够对所有可浏览页面进行内容检索和分析,从中找到所有与客户端/服务器交互相关的动态内容(例如表单);
第二阶段、网页漏洞分析功能:
分析来自网站程序结构中的每一个网站功能脚本程序的应用状况,借助于专用的漏洞检测数据库,能够自动构造各种类型的“异常”提交参数,能够对响应消息进行内容分析,结合状态码,判断测试结果。
同时,还会模拟大多数普遍存在的WEB攻击手段,探测各种已知漏洞和未知漏洞,针对所有可能为黑客所利用的项目进行多样化多层次的探测和分析。
第三阶段、结果审核输出阶段:
测试结果最终形成安全隐患报告。
和大多数检测工具一样,自动化的Web应用漏洞扫描程序的扫描结果也存在相应的误报,因此对于Web安全检测的结果还需要通过安全专家的精心审核,最终保证Web安全检测服务网页漏洞检测的真实性。
SQL注入漏洞安全检测流程举例
A)检测是否存在SQL注入漏洞
B)发送至少10个不同的数据包探测后台数据库的类型
C)获取当前数据库属性,例如连接的数据库名称,用户等
D)获取整个数据字典
E)开始注入/审核/渗透
SQL注入漏洞测试操作界面示意如下图:
第4章.渗透检测方案
渗透测试原理
渗透测试主要依据安全专家已经掌握的安全漏洞,模拟黑客的攻击方法对系统和网络进行无破坏性质的攻击性测试。
这里,所有的测试将在客户的授权和监督下进行。
渗透测试是风险评估中的技术层面评估的一个方面,有效的渗透测试可以直接发现被测试设备真实存在的一些安全风险,如可以发现操作系统、应用程序、数据库、网络设备等存在的漏洞以及漏洞利用的可能性,也可以发现各种设备的口令脆弱性、网络设备的易攻击性、防火墙设备策略的严谨性;也就能初步发现和估算出被测试网络中存在安全方面的技术风险;从而达到发现管理方面的一些风险的目的,这也是渗透测试的主要出发点和真实作用。
渗透测试的可行性
渗透测试对现有信息资源的要求
渗透测试主要针对系统主机以及网站应用程序进行,因此将占用主机及其所在的网络环境的部分资源。
为了能更全面的进行渗透测试,同时有可能需要工作人员的一些配合(某些特定条件下),对于其他的资源没有特殊的要求。
渗透测试的方法
渗透测试利用安全扫描器和富有经验的安全工程师的人工经验对网络中的核心服务器及重要的网络设备,包括服务器、交换机、防火墙等以及对外提供服务的应用系统,如网站,论坛等进行非破坏性质的模拟黑客攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。
渗透测试和工具扫描可以很好的互相补充。
工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现较高层次、较复杂的安全问题;渗透测试需要投入的人力资源非常大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业机能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。
渗透测试前后系统的状态
由于采用可控制的、非破坏性质的渗透测试,因此不会对被评估的主机造成严重的影响。
在渗透测试结束后,系统将保持正常运行状态。
参见上面的渗透测试流程图,信息的收集和分析伴随着每一个渗透测试步骤,每一个步骤又有三个部分组成:
操作、响应和结果分析。
远程渗透测试是通过互联网发起远程攻击,外部网络渗透测试比内部网络渗透测试更能说明安全性的严重性。
由于本次渗透测试的目标是集团外网网站,本身网站就是对外提供服务,因此本次将完全模拟黑客攻击方式从远程进行外网渗透测试。
客户委托
客户委托是进行渗透测试的必要条件。
将尽最大努力做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。
这也是的专业服务与黑客攻击入侵的本质不同。
渗透测试委托书(授权书)应包含以下内容:
Ø渗透测试的范围(包括IP地址及域名)
Ø渗透测试时间(包括开始时间和结束时间)
Ø渗透测试委托书(授权书)以书面形式提交并盖有甲方单位的公章
信息收集
信息收集分析几乎是所有入侵攻击的前提/前奏/基础。
“知己知彼,百战不殆”,信息收集分析就是完成的这个任务。
通过信息收集分析,攻击者(测试者)可以相应地、有针对性地制定入侵攻击的计划,提高入侵的成功率、减小暴露或被发现的几率。
信息收集的方法包括端口扫描、操作类型判别、应用判别、账号扫描、配置判别等等。
入侵攻击常用的工具包括nmap、nc等,有时,操作系统中内置的许多工具(例如telnet、InternetExplorer浏览器)也可以成为非常有效的攻击入侵武器。
信息收集后的分析的基础是安全弱点的关键知识库。
弱点利用
通过收集信息和分析,存在两种可能性,其一是目标系统存在重大弱点:
测试者可以直接控制目标系统,这时测试者可以直接调查目标系统中的弱点分布、原因,形成最终的测试报告;其二是目标系统没有远程重大弱点,但是可以获得远程普通权限,这时测试者可以通过该普通权限进一步收集目标系统信息。
接下来,尽最大努力获取本地权限,收集本地资料信息,寻求本地权限升级的机会。
这些不停的信息收集分析、权限升级的结果构成了整个渗透测试过程的输出。
从权限提升的目标来分析,也分为两种。
其一是前面叙述的对本地主机权限进行提升。
其二是利用已经获得权限的主机发起攻击获得其他服务器甚至整个网络的控制权限。
结果输出
为了能让客户更好的理解和监督渗透测试的全过程,本次渗透测试将采用书面文字、关键截图、以及视频录相多种方式做记录,视频记录和关键截图可以比书面文字更直观的、更真实的反映渗透测试全过程。
当渗透测试完成后,将根据渗透测试的过程文档撰写《网站渗透测试报告》,详细描述渗透测试的过程和结果,并对发现的问题提出解决方案。
渗透测试方法
渗透测试模拟真正的黑客入侵攻击方法,主要采用了安全漏洞工具远程扫描和专家分析相结合的方式,找到攻击者远程突破网络和控制网络设备的可能性,相对应的找到所有来自外界入侵对特定网络和网络设备造成的威胁。
另外由于目前网站服务器放置在防火墙内,对外开放的端口比较少,大部分扫描策略都被阻挡在防火墙外,因此利用安全扫描工具基本上发现不了太多有效信息。
因此本次渗透测试,以人工渗透为主,辅助以攻击测试工具的使用,这样保证了整个渗透测试的全面型也保证了整个渗透过程都在可以控制和调整的范围之内。
实施准备
实施方式
本次渗透测试采用远程模拟黑客的攻击方法对网站的系统和网络进行无破坏性质的攻击性测试。
人员分工
安全管理员
安全管理员
安全顾问
安全顾问
工作环境
办公场所:
网络连接:
能够从互联网访问检查目标
打印机和纸张
会议室(仅在汇报工作时需要)
投影机(仅在汇报工作时需要)
工具测试
测试方式
工具测试使用的工具主要包括:
安全扫描工具:
自动化地扫描发掘系统的弱点以及其他信息;
漏洞利用工具:
对发现的弱点进行验证和利用;
辅助工具:
方便渗透测试的工作进行,帮助了解分析目标主机的信息。
工具测试的除安全扫描外,其他工作基本上都是与人工测试紧密结合来共同完成测试目标的。
常用工具
渗透测试工作中常用的扫描工具如下:
SuperScan3(端口扫描)
Nessus安全扫描软件(系统扫描)
X-Scan-v3.3安全扫描软件(系统扫描)
RetinaNetworkSecurityScanner安全扫描软件(系统扫描)
Nikto安全扫描软件(CGI扫描)
AcunetixWebVulnerabilityScanner(网站应用扫描)
MatriXay(SQL注入扫描)
渗透测试工作中常用的SQL注入利用工具如下:
Domain3.5
Nbsi3.0
Pangolin
DSQLTools
渗透测试工作中常用的漏洞利用以及辅助工具如下:
WEBTOOLV4.2网站安全检测工具
Metasploit
SQLInjectEncode
SQL综合利用工具
渗透测试工作中常用的在线工具如下:
IP地址查询
http:
//www.webhosting.infowhois服务器查询
http:
//www.xmd5.orgMd5在线解密
http:
//ip.wen.la/同IP站点查询
本次渗透测试过程中使用的工具将根据网站实际情况以及最小影响的原则进行选择。
可能的影响
工具自动扫描评估使用自动化的漏洞检测工具,通过禁用对目标服务器可能造成影响的策略,以保证目标主机的安全及应用程序的稳定。
工具自动扫描评估在评估过程中将占用的网络带宽小于40K,可以忽略其对网络的影响。
1)流量代价
经过测试,在扫描过程中,随着主机数量、漏洞的测试情况、网络划分、网络设备的构架等情况的不同,选用两种扫描软件(NESSUS、RETINA)进行模拟测试,具体数据如下:
Nessus2.0.10占用10-28KB/S,Retina4.9.210占用15-35KB/S。
2)主机代价
扫描过程对于主机的影响,同上的实验环境,选用2种扫描软件(NESSUS、RETINA)进行测试:
人工测试
测试方法
人工测试的主要工作是对扫描发现的弱点以及信息进行分析验证,找到真实存在的漏洞并进行利用或者发掘出新的弱点。
人工测试是渗透测试工作最主要的部分,它完全依靠顾问的个人经验进行。
因此每个顾问测试和利用的方法以及选用工具都会不同。
可能的影响
由于采用可控制的、非破坏性质的渗透测试,因此不会对被评估的系统造成严重的影响。
在渗透测试结束后,系统将基本保持一致。
渗透测试过程透明化,所有测试过程及记录均由相关人员进行批准和审查。
由于人工对网站的测试就相当于普通状态下流量网站内容,因此人工测试对服务器以及数据库的影响基本可以忽略。
渗透测试内容
本次针对网站的渗透测试是根据实际情况安排的,其中有部分属于系统评估内容。
这些方面都直接影响了网站的安全。
我们考虑到本次项目的初衷,故将部分评估内容加入到检测工作中。
在测试内容的介绍中我们将对可能发现的安全隐患给予说明,同时给出该隐患的解决建议。
应用层渗透测试
应用层的渗透测试主要针对B/S架构的系统,是当前最流行的攻击手段。
大部分黑客入侵都是由此开始,并渗透到系统和网络。
我们在应用层渗透测试主要安排以下内容,具体操作根据网站实际情况进行:
网站结构分析
通过对网站进行智能搜索扫描,从结构上剖析了整个网站的组织结构,可以更加直观的看到整个网站的实施。
可能的安全危害
通过分析网站整个网站结构上的目录和文件取名习惯,以及网站结构层次的分析,能够得到管理员的建站习惯,可能导致恶意用户猜测管理员密码。
解决方案建议
尽量使用最常见的命名和网站结构分布,增加迷惑性和猜测难度。
目录遍历探测
通过遍历每个存在的目录,智能搜索并探测除公开网页中包含的所有目录以外,是否存在非授权不能访问却被访问的目录。
这些目录很有可能就是网站管理员后台程序所在目录或者是数据库所在目录。
如果这些目录没有做好权限设置,那么极有可能导致网站后台失陷于此。
可能的安全危害
这是Web服务器常见的Apache设置错误,恶意用户可以读取任意可读文件。
解决方案建议
在目录下放置Apache默认访问页面,或者修改Apache配置文件,禁止目录遍历。
隐藏文件探测
通过隐藏文件的智能探测,除了已有的所有公开页面以外,智能搜索并探测在这些目录下是否存在隐藏文件。
这些文件很有可能就是网站的一些配置文件,或者是网站管理员忘记删除的程序说明书,或者是网站后台登陆的重要文件。
这些文件极有可能导致网站重要数据的泄漏,最终导致整个网站权限的沦陷。
可能的安全危害
隐藏文件有可能是各种重要的程序页面,通过分析隐藏,有可能暴露出后台登陆的细节内容。
解决方案建议
及时地删除重要文件,或者是修改重要文件的名称
备份文件探测
通过备份文件的智能探测,除了已有的所有公开页面以外,智能搜索并探测在这些目录下是否存在备份文件。
这些文件很有可能就是网站的一些重要文件的备份信息,或者是网站管理员忘记删除的网站数据库备份。
这些文件是最有可能导致网站重要数据的泄漏的风险点,直接威胁着整个网站的整体安全。
可能的安全危害
源代码、私密文件泄露。
解决方案建议
及时删除备份文件。
CGI漏洞扫描
这种类型的漏洞通常是导致服务端脚本文件源代码的暴露,或者是程序的任意执行等等。
同时,由于这类已知的CGI漏洞利用技术都是很成熟了的,所以对网站的安全也有较大的威胁。
可能的安全危害
敏感数据泄漏,服务器被入侵
解决方案建议
及时安装WEB服务器的安全补丁。
用户名和密码猜解
通常,网站是不提供内部用户注册的,但是由于内部用户的粗心大意留下了简单密码的帐户,导致外部人员可以使用内部功能。
于此同时,内部功能上的风险也暴露给了外部人员。
可能的安全危害
导致外部用户可以登陆管理员后台,使用高权限功能,并造成内部功能缺陷的暴露。
解决方案建议
使用强壮的帐号密码,内部用户避免使用常见的用户名。
跨站脚本漏洞挖掘
跨站脚本攻击漏洞通常出现在用户和应用程序进行信息交互的接口处,这种漏洞使用户访问应用程序的时候执行恶意代码,可以直接导致用户数据的泄漏,最终不但有损网站的信誉度,同时还威胁到服务器的安全性。
可能的安全危害
感染病毒,泄漏敏感数据。
解决方案建议
在程序中各种输入参数,进行关键字的过滤。
SQL注射漏洞挖掘
SQL注射类型的漏洞通常是出现在用户和服务器进行信息交互的接口处,这种漏洞使得服务器的后台数据库内的信息很有可能直接暴露出来,造成机密信息的泄漏。
如果其中包含管理员的帐号信息,其危害也就不言而喻了。
更重要的是站在网站用户的角度来说,这种问题的出现严重影响到了网站在客户心中的信誉度。
可能的安全危害
未授权用户可能通过该漏洞获取数据库敏感资料,造成敏感信息泄漏。
解决方案建议
针对此类型漏洞,应尽量过虑各种输入参数,如“用户名”或“密码”,id这三个参数进行过虑。
数据库挖掘分析
在使用MSSQL、MYSQL、Sybase和Oracle等常用数据库的时候,只要存在SQL注射漏洞,就能够通过这种漏洞对数据库中的信息进行挖掘,如果数据库服务器设置不当甚至可以导致数据库服务器被入侵。
可能的安全危害
敏感数据泄漏,服务器被入侵。
解决方案建议
由于数据库挖掘使用的是SQL服务器合法的语句,所以需要根治漏洞的根源,加固所有的外部脚本,避免产生SQL注入漏洞。
系统层渗透测试
由于目前防火墙技术已经入侵检测技术广泛使用,目前系统层的入侵相对较少。
大部分入侵行为在扫描阶段就被阻挡在防火墙外。
因此我们在系统层的渗透测试时并不一定能发现系统真实的漏洞,但是检测的结果也是黑客在攻击中能发现的真实情况。
漏洞扫描
通过漏洞扫描可以发现服务器各种重要信息,也有可能直接发现系统重要的系统安全漏洞,或者发现操作系统及数据库等应用的弱口令漏洞。
通过安全扫描工作充分了解系统安全的真实情况,也充分了解外部攻击者所能探测到的信息,同时也检验防火墙等安全设备的实际效果。
可能的安全危害
信息泄露。
解决方案建议
部署并加强防火墙、入侵检测设备的安全策略。
远程溢出
远程溢出测试基于漏洞扫描的结果,扫描发现的系统漏洞有可能是误报。
当前系统远程漏洞并不多,而且大部分远程溢出漏洞都被防火墙和入侵检测挡在外面,不过一旦远程溢出被利用,攻击者很有可能就会获得系统的最高权限。
可能的安全危害
导致攻击者获得系统权限。
解决方案建议
安装系统补丁,修复系统漏洞。
本地
升级会员 