Web 应用的安全探测技术原理及最佳实践.doc

流程安全探测指南（V1.1）KYUTIE二一四二一四年十月北京XXX信息技术股份有限公司 第 2 页 共 39 页 安全探测指南 文档信息文档名称安全探测指南电子文档安全探测指南/Microsoft WORD 2007文件状态 草 稿 正式发布 正在修改编 写 人日 期2013年12月20日校 对 人日 期年 月 日审 核 人日 期年 月 日批 准 人日 期年 月 日变更记录变更序号变更原因变更页码变更前版本号变更后版本号更改人批准人生效日期备 注目录一、概述61.编写目的62.适用范围63.术语和缩略语64.参考文献65.阅读说明71)阅读指导72)各部门需重点关注内容7二、指南综述7三、角色职责8四、安全探测总体系统架构81.安全运营标准流程82.SANS的五步法划分网络攻击93.OWASP标准104.自动化的安全探测系统架构121)Nessus的分支OpenVAS132)W3AF基于攻击的WEB安全审计工具143)渗透测试的顶级组合Metasploit和Nexpose14五、Web安全探测指南141.Web安全探测工具选择142.Grandel-scan151)启动 Grendel Scan扫描程序162)进行扫描173)扫描结果导出194)查看扫描报告203.Owasp-ZAP211)OWASP-ZAP程序启动212)客户端的浏览器设置223)OWASP-ZAP系统配置234)扫描策略设置265)OWASP-ZAP程序扫描参数设置276)主动扫描287)生成报告、308)扫描报告查看314.W3af321)W3AF启动（gui）322)安全审计扫描333)采用gui方式开始扫描354)报告的导出39六、漏洞修复401.Web安全实现步骤402.Web安全漏洞修复参考40七、附录41一、 概述1. 编写目的本指南的目的是描述所有公网商务项目Web 应用的安全探测技术原理及操作步骤。2. 适用范围适用于组织内全部公网商务项目或对Web应用安全要求比较高的商务项目。3. 术语和缩略语本文中使用的名词术语和缩略语见下表。表1 名词和缩略语序号术语/缩略语说明备注1SANSSysAdmin, Audit, Network, Security2OWASPOpen Web Application Security Project3OpenVASOpen Vulnerability Assessment System4WAFWeb Application Attack and Audit Framework4. 参考文献表2 参考文献参考站点站点名称版本号发布日期作者1.2.3.4.5.http:/ BT3r52012 年8月5. 阅读说明1) 阅读指导阅读目的相关内容相关文档想了解安全探测技术原理第四章：总体安全探测架构想了解具体Web按全探测第五章：Web安全探测实践二、 指南综述安全探测和漏洞修复是所有运营项目安全保障的最后的一环，同时它也是黑客对网站进行实质性攻击的第一步，所以基于安全运营和安全质量管控的要求，建立自动化的安全探测系统则是实现业务安全运营的必备条件。安全探测指南就是基于安全运营流程和黑客的攻击方法而进行相对应防护的指导性的文档。本指南通过SANS安全运营的理解和黑客5步法攻击理解，推导出了自动化的安全探测系统，进行对XXX商务项目自动化的安全探测和相应的漏洞修复，使公司的所有项目满足安全运营的需求，进而达到安全合规性的要求。文章主要内容包括安全探测理论依据，以及安全探测操作步骤。三、 角色职责u 安全探测人员：对在线的公网站点进行探测，发布安全报告给相关人员，跟踪安全漏洞修复。u 产品线技术负责人：明确安全漏洞的归属，安排相关人员进行整改，确认整改效果，最后进行复查探测。u 项目经理：确认安全漏洞，进行整改推进并依据复查探测结果审查安全整改效果。四、 安全探测总体系统架构1. 安全运营标准流程 安全运营流程是SANS组织对IT系统依据ISO27001的PDCA原则建立的系统的闭环营运系统，是指导安全营运的规范性的程序。下图就是符合标准的安全运营的运维流程图。2. SANS的五步法划分网络攻击SANS (SysAdmin, Audit, Network, Security) 研究机构()开发的5-阶段的黑客攻击分析模型 :1) 侦查阶段( 获得要攻击网站的有用信息,攻击目标等等)2) 探测扫描 (扫描网络和系统的安全漏洞，以资利用)3) 获得访问权限(利用漏洞攻击获得访问控制权限)4) 维持访问 (植入后门程序维持以后长久的访问控制权限)5) 匿踪(删除访问和操作的历史纪录) 基于对于攻击模型的理解，我们解决安全问题首先就是要解决安全漏洞问题，所以我们首先要建立的自动化的安全探测系统，利用自动化的安全探测系统解决掉安全漏洞，从而把黑客的攻击消灭于萌芽之中。自动化安全检测系统的主要作用是完成web应用的自动化的安全审计和测试，并根据我们的安全审计和测试结果对web系统进行安全修复。从而使我们的产品更加符合ISO17799的安全标准和OWASP安全测试的标准。3. OWASP标准OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性组织，目前全球有130个分会近万名会员，其主要目标是研议协助解决Web软体安全之标准、工具与技术文件，长期 致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。在安全探测中我们以OWASP推荐的工具和探测标准为主。致力于解决我们实际应用中最紧急最重要的安全问题。开放式Web应用程序安全项目是一个非营利组织，不附属于任何企业或财团。因此，由OWASP提供和开发的所有设施和文件都不受商业因素的影响。其目的是协助个人、企业和机构来发现和使用可信赖软件。n OWASP-TOP10发展n OWASP-TOP10现状n OWASP TOP 10攻击比例分配4. 自动化的安全探测系统架构本架构设计以自动化快速检测Web的弱点为目的。建立可简单输入探测目标的界面来达到快速探测的目的，减少安全人员的检测弱点的时间，本架构结合OpenVAS、w3af、Metasploit 的漏洞扫描和渗透测试工具( 见下图)，整合不同的资料格式，对Web安全进行自动化的安全扫描探测，最终利用网页界面显示资讯情况，让管理者可以迅速了解Web站点弱点，以及快速修复漏洞。自动化的安全检测系统架构图1) Nessus的分支OpenVASOpenVAS 全名是 Open Vulnerability Assessment System (开放弱点评估系統)，OpenVAS是一种自动化的安全探测工具，包括一个中央服务器和一个图形化的前端。这个服务器准许用户运行 几种不同的网络漏洞测试（以Nessus攻击脚本语言编写），而且OpenVAS可以经常对其进行更新。OpenVAS所有的代码都符合GPL规范。OpenVAS项目是Nessus的分支，以自由软件的形式在以前代码的基础上继续改进扫描程序的性能，提供完整的组件。 他是一个开源项目，但在2002年第三版Nessus发布时它选择了一个私有许可证，收回了版权和封闭了源代码。2) W3AF基于攻击的WEB安全审计工具w3af是 Web Application Attack and Audit Framework 的缩写，w3af针对网站应用程序程式有一完整的攻击和评估环境，它提供审计和渗透测试的平台，以及許多的探测模块，是一強大的开放原代码安全漏洞探测工具。目前W3AF已经被Metasploit收购，估计不久也要闭源收费,不过目前还可以继续使用,如果不能继续使用计划使用OWASP-ZAP进行替代。3) 渗透测试的顶级组合Metasploit和Nexpose Metasploit是一款免费的安全漏洞检测工具，因此安全工作人员常用Metasploit工具来检测系统的安全性，他的强大一直是渗透测试的第一。Nexpose是配合Metasploit渗透测试进行漏洞扫描的漏洞管理平台,他的在漏洞扫描工具的排名有时候和Nessus是不分仲伯。目前这两款产品都是商业产品，免费的注册可以进行渗透测试的第一步漏洞扫描，渗透工具和报表均不能用（试用或购买后可以开启功能模块）。免费使用基本可以满足测试需求。五、 Web安全探测指南1. Web安全探测工具选择我们选择 推荐的BT5作为我们安全探测的工具集，Web扫描采用 grandel-scan,owasp-zap,w3af1. Grandel-scan完成低安全级别的初次web探测 2. Owasp-ZAP完成中等级别的安全探测 3. W3af完成最高安全级别攻击类型的安全审计 2. Grandel-scanGrendel-Scan工具是一套自动化图形接口的网站安全性检测工具，可运行在Windows及Macintosh操作系统上，并提供Source Code下载。Grendel-Scan可以检测相当完整的弱点，包含档案列举(File Enumeration)、信息泄漏(Information Leakage)、联机管理(Session Management)、XSS、恶意攻击(Miscellaneous Attacks)、应用程序架构(Application Architecture)、网站设定(Web Server Configuration)及SQL Injection等弱点分项，使用者可对每一分项再就需要检测的项目进行细部调整。此外Grendel-Scan亦具备网站爬寻功能，因此在检测时只需提供起始页面，即可取得网站树状结构并对每一页面自动检测。Grendel-Scan也具备了许多其他好用的功能，例如：选择是否使用代理服务器进行检测、选择不同的报告输出格式、设定检测速度、预先设定须登入页面之账号密码，及设定检测时URL之黑名单与白名单等，这些都是在从事网页检测时非常方便的功能1) 启动 Grendel Scan扫描程序运行BT5 虚拟机。系统登录后，在应用程序菜单打开BackTrackvulnerability Assessmentweb Application Assessment web Application Scannergrendel -scan ,如下图 2) 进行扫描1. 设置要进行扫描的网址URL，输入位置选项是Base URLs如下图2. 对进行安全测试的网址URL进行添加，如下图3. 设置要进行扫描测试的采用的模块4. 进行扫描，输出报告位置使用缺省，报告格式输出使用缺省，具体如下图3) 扫描结果导出a) 扫描结束后，点击结束，生成报告。要打开报告首先要打开报告目录，具体操作如下：b) 进入 /pentest/web/grendel-san/scans/c) 打开扫描结果文件夹，我们看到report.html文件，这就是扫描报告。4) 查看扫描报告说明：报告中的here 连接的文件在都在探测站点生成报告文件夹中的http-transactions文件夹中，所以，如果copy出报告最好http-transactions文件夹也copy出来，否则报告中的链接打不开。3. Owasp-ZAP OWASP-ZAP(Zed Attack Proxy)是一套使用JAVA语言撰写成的网页代理服务器型检测工具也是渗透攻击的工具。,ZAP是OWASP-ZAP启动之后，用户只需将代理服务器指向OWASP-ZAP，使得接下来浏览网页的信息皆可被OWASP-ZAP中断与记录，让用户可对HTTP/HTTPS所传送与接收的内容观看或修改，亦可找出POST等方法所传送的数据格式，非常便于网站测试。 此外，OWASP-ZAP也提供爬寻(spider)网站的功能，可完整取得网站之树状结构，并对找出来的页面进行XSS、SQL Injection及信息揭露与不适当错误处置等基本网页弱点进行扫描。整体来说，OWASP-ZAP是一套以网页代理服务器型的检测工具，功能性可说是非常完整。并且一直在持续更新。1) OWASP-ZAP程序启动a) 运行BT5 虚拟机。系统登录后，在应用程序菜单打开BackTrackvulnerability Assessmentweb Application Assessment web Application Scannerowasp-zap ,如下图b) 主菜单如下图2) 客户端的浏览器设置在客户的浏览器中设置代理参数，IP: Port:80803) OWASP-ZAP系统配置1) OWASP-ZAP程序更新1 系统登录后，首选打开Help菜单,运行检查更新,更新程序到最新。2 打开Owasp-zap 的tools 菜单的Option 选项的local proxy菜单可以设置本地代理的端口也就是在浏览器中设置的本地代理服务器的端口，3 打开Owasp-zap 的tools 菜单的Option 选项的Language菜单可以设置程序的语言，选择他的前提是最好BT5r3已经安装好了简体中文，否则容易出现乱码。4 开始在本地浏览器中打开要测试的网站页面，最好要找到几个分别的入口，本文就是以公司门户网站为例的情况，从中找到了六个入口。5 点击打开Spider菜单，在如图的位置Site选择Spider 的入口，然后运行右面的三角运行图标，进行六个入口的依次扫描。6 Spider扫描结果如下图7 点击打开Alerts菜单可以查看六个入口站点的扫描结果统计8 点击打开Port Scan菜单，在如图的位置Site选择六个入口站点，可以对六个入口地址开放端口进行扫描，具体如下图。不作具体详述。4) 扫描策略设置在Analyze菜单可以设置扫描的策略，缺省策略是全部启用的，如下图。注意：缺省情况下，以下的几种策略都是被启用的。1) Information Gathering：主要检测网页是否可找到机敏资料 2) Client Browser：检测Client端的一些安全设定3) Server Security：检测Server端是否有存放不必要的档案，或是机敏档案。4) Injection5) OWASP-ZAP程序扫描参数设置 在Tools 菜单栏的 Options的Active Scan选项可以对扫描中的各项参数进行设置，如敏感度，线程数。具体如下图。测试中选用的缺省值。 6) 主动扫描1 打开Active Scan菜单，在如图的位置Site选择六个入口站点，进行主动扫描。具体如下图。2 扫描结果如下图3 在History菜单，选择要进行暴力破解的活动，如下图4 鼠标右键进行点击，选择暴力破解，如下图5 打开Params，可以对扫描过程中出现的参数进行查看，如下图6 打开Search，可以对扫描的结果进行查找，如下图7) 生成报告、1. 打开Report ，执行Generate HTML Report 2 输入要生成的报告名称以及保存的位置，保存生成报告8) 扫描报告查看1 可以在扫描结果Alerts中查看扫描统计结果，点击结果，则可以看到扫描或得到的参数。如下图2 查看生成的HTML报告，打开刚才生成的HTML报告，扫描报告如下图。说明：报告中的对安全漏洞有详细的按全级别以及描述，因为它属于OWASP项目，所以对于安全级别较高的漏洞，报告中有标准的解决步骤或者解决方案连接，所以建议大家尽量采用OWASP ZAP进行测试，这样方便大家对安全漏洞的修复。4. W3af1) W3AF启动（gui） 运行BT5 虚拟机。系统登录后，在应用程序菜单打开BackTrackvulnerability Assessmentweb Application Assessment web Application Scannerw3af gui , 打开W3af时候，系统会自动更新，更新的时候点击确定即可，具体如下图2) 安全审计扫描扫描有两种方式，一种是通过console 方式，也就是我们常说的命令行方式，在此不作详述，一种是通过gui接口的图形扫描方式。w3af扫描进行方式大致可分为三个阶段，相关核心的 plugins 为 discovery、audit、attack 三者。n 第一阶段：discovery plugins 会寻找新的 URLs、表单和网络站中的 injection pointsn 第二阶段：audit plugins 针对第一阶段找到的 injection points 输入特殊的 input data 来找寻是否有弱点，例如检查SQLInjection、XSS 等常见弱点n 第三阶段：attack plugins 针对第二阶段找到的弱点传回对使用者有用的讯息，例如 remote shell、SQL table dump、a proxy 等除了上述三个主要的 plugins 外，w3af已有超過 130 個 plugins，这些 plugins 可分为以下几种类型： discovery：找寻网页中的 injection points audit：由 discovery plugins 产生的结果找寻网站弱点 grep：搜寻网页所有内容，找寻其他 plugins request 的弱点 exploit：由 audit plugins 产生的结果传回对使用者有用的信息 output：根据扫描结果产生 text 或 html 的档案，可以供使用者作进一步分析 mangle：可利用 regular expressions 更改 requests 和 responses bruteforce：做 bruteforce loginsevasion：可回避简单的侦测入侵规则a) Console 扫描方式 通过console扫描方式，也就是我们常说的命令行方式。 以下就以 console 接口为例，我们可以下达以下的指令来对网站应用程序做弱点的扫描： w3af target w3af/config:target set target http:/localhost/ w3af/config:target back w3af w3af start3) 采用gui方式开始扫描a) 进入到w3af的安装目录,并执行w3af_gui程序（或在BT下通过双击执行）b) 选择探审计扫描的策略基准。具体的审计标准根据实际情况而定，我们在此选择fast_scanc) 展开Plugin插件的output选项，选择并激活输出的格式，通常