WEB应用评估白皮书 过去,WEB应用评估问题上,管理人员认为最为直接有效地评估安全性的手段是渗透测试。这种模拟黑客攻击思路的黑盒测试方法确实在一定程度上提高了WEB应用的安全性,但这种方式就真的能够彻底解决网站的安全性问题吗?答案当然是否定的。纵观以往曾发生过的很多安全事件,通过渗透测试的应用不在少数,但往往还是会出现各种安全问题。主要是因为渗透测试工作的成效与服务人员的知识技能、工作时间、环境等因素有着密切地联系,可见,渗透测试并不能百分之百发现WEB应用存在的问题。
那么,究竟怎样做才能更加有效地保证WEB应用的安全呢?WEB应用评估服务正是专门服务于这样一个需求的新型服务形态。严格来说,WEB应用平复服务并非一种全新的服务,它只是将一些传统的风险评估服务经过改良后有机地结合起来,使其更加适用于WEB应用的安全评估。它从网络、系统、应用、管理等多个层面和角度来分析WEB应用的脆弱性及可能面临的威胁,病针对发现的问题提出确实可行的解决方案,帮助企业管理者保证其应用的安全。
1.4 客户收益
对于客户而言,WEB应用评估服务可以为其带来以下收益: ?
全面掌握应用的脆弱性和面临的威胁
评估人员会从影响应用安全性的各个层面、各种角度来细致地分析应用是否存在特定的安全问题。所有的分析和评判都不再是停留于表面,而是要深入挖掘问题的根本,使客户准确地认识到应用在哪方面存在脆弱性和可能面临怎样的安全威胁。 ?
提高了客户安全技能
在评估过程中,评估人员会经常与客户进行沟通交流。在这些交互过程中,无论是在安全技术、还是安全管理方面,评估人员都能以自己专业的知识和技能来影响客户,最终达到共同提高的目的。 ?
帮助客户提高了安全意识
在评估过程中,评估人员通常会进行一系列的安全测试来验证应用是否存在问题,这些测试的一旦成功必定会在一定程度上对管理人员的意识残生冲击,颠覆管理人员对应用安全性的理解。通过这些过程,必然能够促使客户管理人员安全意识的提高。
? 2019 绿盟科技 - 2 - 密级:完全公开
WEB应用评估白皮书 二. 评估内容
2.1 评估范围
绿盟科技WEB应用评估服务的目标只有一个,那就是所有WEB应用。无论是一个简单的WEB站点,还是一个复杂的WEB应用系统,WEB应用评估服务都可以为其提供确实有效的安全建议和意见。
由于WEB应用所处的系统平台、所使用的应用软件、数据库软件、开发语言、应用架构等各不相同,绿盟科技可以在下列范围内为客户提供专业的评估服务。
网络方面:
常见交换机、路由器、防火墙设备 操作系统方面:
Solaris、AIX、HP-UX等主流Unix操作系统,Redhat、SUSE等主流Linux系统、Windows操作系统
WEB应用软件方面:
Apache(IBM HTTP Server)、IIS等主流WEB服务器,Tomcat、Weblogic、Websphere、JBOSS等主流应用服务器。
数据库方面:
Oracle、SQL Server、Sybase、DB2、Informix等主流数据库 WEB程序包括:
JAVA、PHP、ASP.NET等语言编写的WEB程序。
2.2 外部评估
2.2.1 系统、应用漏洞扫描
操作系统及应用服务器的安全性主要通过使用远程安全评估系统(RSAS),对操作系统和应用服务器进行远程测试,测试中包含了常见的安全问题:
? 远程缓冲区溢出漏洞 ? 远程拒绝服务漏洞
? 2019 绿盟科技
- 3 -
密级:完全公开
WEB应用评估白皮书 ? 远程信息泄漏漏洞 ? 远程身份验证漏洞 ? … …
2.2.2 WEB安全测试
WEB安全测试主要包括业务测试和渗透测试两部分。业务测试主要是根据业务的特点测试应用与客户业务流程的符合程度,而渗透测试主要通过使用远程Web评估系统,手工辅助测试,对Web应用程序进行远程测试,手工辅助测试不仅可以验证远程Web评估系统结果的准确性,排除误报,还能发现一些自动化工具无法发现的漏洞,测试中包含了常见的Web安全问题:
? 跨站脚本漏洞 ? SQL注入漏洞 ? 文件包含漏洞 ? 命令执行漏洞 ? 目录遍历漏洞 ? 信息泄漏漏洞 ? 暴力破解漏洞 ? … …
2.3 内部评估
2.3.1 系统安全配置
操作系统的安全性,主要通过安全策略检查工具进行,测试中包括以下内容: ? 补丁管理:操作系统是否安装了最新的安全补丁,安全补丁更新是否及时 ? 用户管理:操作系统内是否有多余用户,例如:开发用户,测试用户
? 口令相关:操作系统是否设置了口令策略,是否存在弱口令用户,对密码的长度、
复杂度是否进行了限制,是否锁定多次登录失败的用户
? 不必要服务:是否存在不必要的网络服务,例如:DHCP、DNS、FrontPage扩展等
服务
? 2019 绿盟科技 - 4 - 密级:完全公开
WEB应用评估白皮书 ? 文件共享:是否存在不必要的文件共享:例如:Windows默认共享,unix的NFS共
享
? 文件系统:是否使用安全性较高的文件系统,例如:NTFS文件系统
? 权限设置:是否对重要的配置文件进行了严格的权限设置,防止未授权用户修改配
置文件
? 访问控制:是否对远程登录的IP地址进行了限制
? 审计设置:是否对操作系统启用了审计功能,审计日志的权限是否进行了严格的设
置 ? … …
2.3.2 应用安全配置
Web服务器的安全性,主要通过安全策略检查工具进行,测试中包括以下内容: ? Web服务器当前是否安装了最新的安全补丁,安全补丁更新是否及时 ? Web服务器是否安装了不必要的组件 ? Web服务器的运行身份是否正确设置 ? Web服务器的版本信息是否隐藏 ? Web服务器的目录遍历功能是否启用 ? Web服务器是否启用IP访问限制 ? Web服务器是否启用SSL传输加密 ? Web服务器是否启用了日志记录 ? Web服务器是否进行了严格的权限设置 ? … …
2.3.3 数据库安全配置
数据库安全在Web评估中也是很重要的一部分,主要通过安全策略检查工具和人工进行检查,测试中包括以下内容:
? 数据库当前是否安装了最新的安全补丁,安全补丁更新是否及时 ? 数据库是否安装了不必要的组件 ? 数据库服务的运行身份是否正确设置
? 数据库中是否有不必要的用户,例如:测试用户
? 2019 绿盟科技
- 5 -
密级:完全公开
WEB应用评估白皮书 ? 数据库中是否为各用户设置了复杂的密码,并启用了密码复杂度策略 ? 数据库是否为应用程序建立了单独的帐号,避免帐号共享
? 数据库是否为各用户划分了角色,使权限最小化,避免分配给DBA权限 ? 数据库是否启用了访问控制列表ACL,防止未授权地址连接数据库端口 ? 数据库是否对PUBLIC用户进行了限制
? 数据库是否启用了审计功能,在不影响业务的前提下,记录必要的审计日志 ? … …
2.3.4 恶意代码检测
恶意代码检测对于发现潜伏的入侵者非常有用,它主要通过专门的检查工具辅于人工分析的方式进行,主要包括以下几个方面:
? 检查操作系统中是否存在可疑进程
? 检查操作系统是否开放了可疑端口或存在可以的网络连接 ? … …
2.3.5 Web日志分析
WEB应用日志广义来说包括用户访问日志、应用错误日志、操作系统日志、其它日志。通过分析这些日志,我们不难发现如WEB访问情况、应用自身的问题、曾经发生过的攻击等等。对于日志分析,主要是通过专门的日志分析工具来完成,有时也需要评估人员的参与,主要包括以下内容:
? 对用户访问日志进行分析,了解访问情况,发现部分历史攻击行为 ? 对应用错误日志进行分析,发现应用自身程序上的问题 ? … …
2.3.6 网页挂马检测
攻击者在探测到Web应用程序存在漏洞,并成功利用、获得权限后,可能会向网页文件或数据库中添加挂马链接,正常用户在访问该网页后,可能会执行恶意代码,导致感染木马,从而危害用户的安全,对企业的声誉造成影响。
? 2019 绿盟科技
- 6 -
密级:完全公开