安全測評基礎-安全測評常用測試工具講解
- 實驗目的
了解滲透測試原理。
了解滲透測試特點
了解常用測試工具的功能及特點。
- 實驗原理
- 滲透測試原理
滲透測試主要依據CVE(Common Vulnerabilities & Exposures公共漏洞和暴露)已經發現的安全漏洞,以及隱患漏洞。模擬入侵者的攻擊方法對應用系統、服務器系統和網絡設備進行非破壞性質的攻擊性測試。 - 滲透測試目標
滲透測試利用各種安全掃描器對網站及相關服務器等設備進行非破壞性質的模擬入侵者攻擊,目的是侵入系統並獲取系統信息並將入侵的過程和細節總結編寫成測試報告,由此確定存在的安全威脅,並能及時提醒安全管理員完善安全策略,降低安全風險。
人工滲透測試和工具掃描可以很好的互相補充。工具掃描具有很好的效率和速度,但是存在一定的誤報率,不能發現高層次、複雜的安全問題;滲透測試對測試者的專業技能要求很高(滲透測試報告的價值直接依賴於測試者的專業技能),但是非常準確,可以發現邏輯性更強、更深層次的弱點。 - 滲透測試特點
入侵者的攻擊入侵需要利用目標網絡的安全弱點,滲透測試也是同樣的道理。測試人員模擬真正的入侵者入侵攻擊方法,以人工滲透為主,輔助以攻擊工具的使用,以保證整個滲透測試過程都在可以控制和調整的範圍之內,同時確保對網絡沒有造成破壞性的損害。
由於採用可控制的、非破壞性質的滲透測試,因此不會對被評估的客戶信息系統造成嚴重的影響。在滲透測試結束後,客戶信息系統將基本保持一致。 - 滲透測試授權
測試授權是進行滲透測試的必要條件。用戶應對滲透測試所有細節和風險的知曉、所有過程都在用戶的控制下進行。
- 實驗步驟
步驟1:Web應用程序掃描工具
通過構造多種形式的Web訪問請求,遠程訪問目標應用特定端口的服務,記錄反饋信息,並與內置的漏洞庫進行匹配,判斷確認Web應用程序中的安全缺陷,確認Web應用程序遭受惡意攻擊的危險。
1.1 AppScan
AppScan是IBM的一款web安全掃描工具,具有利用爬蟲技術進行網站安全滲透測試的能力,能夠根據網站入口自動摸取網頁鏈接進行安全掃描,提供了掃描、報告和修復建議等功能。
appscan有自己的用例庫,版本越新用例庫月全,針對漏洞的檢測越全面,被檢測系統的安全性相關較高,目前網上流傳的最新版本是9,appscan為IBM一款商業用途的安全掃描工具,但是網絡存在破解版。
1.2 Acunetix Web Vulnerability Scanner(AWVS)
Acunetix Web Vulnerability Scanner(簡稱AWVS)是一款知名的網絡漏洞掃描工具,它通過網絡爬蟲測試你的網站安全,檢測流行安全漏洞。
功能以及特點:
a)、自動的客戶端腳本分析器,允許對 Ajax 和 Web 2.0 應用程序進行安全性測試。
b)、業內最先進且深入的 SQL 注入和跨站腳本測試
c)、高級滲透測試工具,例如 HTTP Editor 和 HTTP Fuzzer
d)、可視化宏記錄器幫助您輕鬆測試 web 表格和受密碼保護的區域
e)、支持含有 CAPTHCA 的頁面,單個開始指令和 Two Factor(雙因素)驗證機制
f)、豐富的報告功能,包括 VISA PCI 依從性報告
h)、高速的多線程掃描器輕鬆檢索成千上萬個頁面
i)、智能爬行程序檢測 web 服務器類型和應用程序語言
j)、Acunetix 檢索並分析網站,包括 flash 內容、SOAP 和 AJAX
k)、端口掃描 web 服務器並對在服務器上運行的網絡服務執行安全檢查
l)、可導出網站漏洞文件
1.3 burpsuit
Burp Suite中有兩個常用應用,一個叫”Burp Suite Spider”,它可以通過監測cookie、初始化這些web應用的連接列舉並繪製出一個網站的各個頁面以及它的參數;另一個叫”Intruder”,它可以自動執行web應用攻擊。同樣,如果你是網絡安全研究員或者正在進行滲透測試,Burp Suite也是一個必學工具。
步驟2:Web常用漏洞利用工具
2.1 sqlmap
sqlmap是一個自動化的SQL注入工具,其主要功能是掃描,發現並利用給定的URL的SQL注入漏洞,目前支持的數據庫是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。採用五種獨特的SQL注入技術,分別是:
1)基於布爾的盲注,即可以根據返回頁面判斷條件真假的注入。
2)基於時間的盲注,即不能根據頁面返回內容判斷任何信息,用條件語句查看時間延遲語句是否執行(即頁面返回時間是否增加)來判斷。
3)基於報錯注入,即頁面會返回錯誤信息,或者把注入的語句的結果直接返回在頁面中。
4)聯合查詢注入,可以使用union的情況下的注入。
5)堆查詢注入,可以同時執行多條語句的執行時的注入。
2.2 nmap
Nmap是”Network Mapper”的縮寫,眾所周知,它是一款非常受歡迎的免費開源黑客工具。Nmap被用於發現網絡和安全審計。據數據統計,全世界成千上萬的系統管理員使用nmap發現網絡、檢查開放端口、管理服務升級計劃,以及監視主機或服務的正常運行時間。Nmap是一種使用原始IP數據包的工具,以非常創新的方式決定網絡上有哪些主機,主機上的哪些服務(應用名稱和版本)提供什麼數據、什麼操作系統、什麼類型、什麼版本的包過濾/防火牆正在被目標使用。使用nmap有什麼好處,其中一個就是管理員用戶能夠確定網絡是否需要打包。
步驟3:Web常用目錄掃描工具
3.1 御劍
一款用來IP掃描的,看服務器在哪個ip上,可以掃出後台地址,檢測注入漏洞,功能很多 C段速度超級快,實際測試掃描一個C段的綁定域名只要幾秒的掃描工具
主要功能:
a)、可幫助用戶進行網站和網絡的安全掃描。
b)、支持每個頁面進行檢查和自動化掃描。
c)、可將掃描到的漏洞進行手工檢測可獲得數據庫的敏感信息。
d)、可有效的保證網站的安全性。
3.2 wwwscan
一個非常好的掃描工具,簡稱爬蟲,可以掃出網站所有敏感目錄。
