網站安全測試和審計實例
【51CTO.com 綜合消息】隨著各種各樣的Web應用(電子商務、論壇、新聞、博客等)不斷進入人們的生活,越來越多的動態元素被加入到網站建設中來。表單、登錄、信息發布等動態內容允許訪問者獲得和提交動態的內容,如果這些Web應用存在不安全的隱患,那么整個數據庫甚至是Web站點系統都會面臨安全風險。據統計,目前75%的網絡攻擊行為都是通過Web來進行的。
對Web應用的安全性進行手工測試和審計是一項復雜且耗時的工作,不僅需要極大的耐心還需要專業的技術經驗。對于Web管理人員來說,基于安全的管理將占用大量工作時間。自動化的漏洞掃描工具能夠大幅簡化對于未知安全隱患的檢測工作,有助于Web管理人員將精力轉向如何處理安全風險上。
針對系統平臺安全性的自動化漏洞掃描、審計產品已經為人們所熟悉,這些產品能夠很方便的檢測操作系統、端口服務、Web服務平臺、口令通信等方面存在的安全隱患。但是針對Web應用層的成熟的安全性檢測系統目前還比較少,本文使用的是國舜科技的UnisWebScanner系統來進行的。
本次檢測對象為某貿易公司網站,檢測行為已獲得該公司認可。檢測項目為注入漏洞、跨站漏洞、掛馬漏洞以及敏感信息泄漏等。
 |
| 圖1 |
檢測過程中發現有3個注入漏洞風險,其中兩個為SQL盲注漏洞,一個為普通SQL注入漏洞。為了檢測注入漏洞是否可以被惡意攻擊者利用,可以對其進行注入漏洞狀態驗證。
 |
| 圖2 |
對于兩個盲注漏洞的狀態驗證,我們還原掃描系統的檢測結果發現該網站對用戶提交的訪問沒有進行合規性過濾。對于提交的特殊構造訪問,依然返回了相關信息。
 |
| 圖3 |
 |
| 圖4 |
而對于普通SQL注入漏洞,我們發現了該網站使用的數據庫類型,對數據庫內的敏感信息進行了掃描,并獲取了一定的敏感信息。碰巧的是,出現這個注入漏洞的不是別的頁面,正是網站的后臺管理登錄頁面,于是為了驗證獲得的敏感信息,我們使用了之前獲取的帳號密碼,發現果然可以進入。對于惡意的攻擊者來說,這樣的漏洞對于網站來說簡直是災難性的,攻擊者甚至不需要去尋找后臺登錄頁面,也不需要進行密碼暴力破解,在3-5分鐘內就可以完成對整個網站的控制。
 |
| 圖5 |
對于3個跨站漏洞,系統使用了 >">
對于這個貿易公司網站來說主要存在的是兩方面的安全威脅,第一是來源于注入漏洞,惡意攻擊者可以利用這些漏洞獲得數據庫內的某些敏感信息,假如獲得后臺管理員的帳號密碼,那么整個網站服務器就岌岌可危了。另外,跨站漏洞雖然對于網站服務器本身的威脅并不是很嚴重,但是作為一個交易平臺,作為一個以服務客戶為目的的網站系統,如果使得客戶的隱私信息發生泄漏又或是客戶訪問主機被執行了惡意操作,那么對于這個貿易公司來說,商業信譽以及經濟方面的損失將是不可估量的。
