IBM_Rational_AppScan网站漏洞扫描课件

1、IBM Rational AppScan 软件安全测试软件安全测试 软件安全测试 什么是软件安全测试？什么是软件安全测试？ 软件安全测试包括：程序、数据库安全测试， 根据系统安全指标不同测试策略也不同。主要包括： 用户认证的安全测试、系统网络安全测试、数据库 安全测试（数据库自身安全和人为安全）。 2 数据库安全概述 数据库安全数据库安全 数据库安全是指保护数据库中的数据不因用户 的非法使用而造成破坏、更改或数据泄露，也就是 指数据库中的数据不允许收到任何恶意侵害或未经 授权的存取和修改。 数据库安全设计采用的措施主要包括：数据库安全设计采用的措施主要包括： 身份认证（Authenticati

2、on） 访问控制（Access Control） 数据访问机密性（Confidentialty) 数据完整性（Integrity） 审计能力（Auditing） 可用性（Availability） 很多软件在设计时忽略或者很少考虑安全 性问题，考虑了安全性的软件产品也往往因为 开发人员缺乏安全培训、没有安全经验而造成 了安全漏洞。这样产生的安全漏洞分为两类： 第一类第一类 ：是由于操作系统本身设计缺陷带 来的安全漏洞，这类漏洞将被运行在该系统上 的应用程序所继承； 第二类第二类：是应用软件程序的安全漏洞。第 二类漏洞更为常见，更需要得到广泛的关注。 软件自身安全软件自身安全 保证系统的安全，仅

3、靠安全软件是不够的， 同时要注重安全管理人才的培养，提高安全防范 意识，最终做到安全有效的防范。而当前人员安 全意识的培养还远远不够，在现在的网络环境中 ，绝大多数漏洞存在的原因在于管理员对系统进 行了错误的配置，或者没有及时的升级系统软件 到最新的版本。 人为安全人为安全 软件安全测试依据软件安全测试依据: GB/T22239-2008信息安全技术 信息系统 安全等级保护基本要求 依据依据 IBM Rational AppScan简介 IBM Rational AppScan 能够在能够在 Web 开发、测试、维护、运营的开发、测试、维护、运营的 整个生命周期中，帮助企业高效的发现、解决安全

4、漏洞，最大限度的保整个生命周期中，帮助企业高效的发现、解决安全漏洞，最大限度的保 证应用的安全性。证应用的安全性。 Web 安全检测主要分为两大类，分别是安全检测主要分为两大类，分别是白盒检测白盒检测和和黑盒检测黑盒检测。白盒工。白盒工 具通过分析应用程序源代码以发现问题，而黑盒工具则通过分析应用程具通过分析应用程序源代码以发现问题，而黑盒工具则通过分析应用程 序运行的结果来报告问题。序运行的结果来报告问题。 IBM Rational AppScan属于后者，属于后者， 它是业界领先的它是业界领先的Web 应用安全检测工具，提供了扫描、报告和修复建应用安全检测工具，提供了扫描、报告和修复建 议

5、等功能。议等功能。 8 9 WebWeb应用现状应用现状 目录 1 常见的常见的WebWeb攻击攻击 2 构筑安全构筑安全WebWeb应用应用3 案例介绍案例介绍 4 5 软件的使用软件的使用 10 Web 应用的基础概念应用的基础概念 什么是什么是 Web 应用应用 Web 应用是由动态脚本、编译过的代码等组合而成。它 通常架设在 Web 服务器上，用户在 Web 浏览器上发送请求， 这些请求使用 HTTP 协议，经过因特网和企业的 Web 应用 交互，由 Web 应用和企业后台的数据库及其他动态内容通 信。 Web 安全的认识误区安全的认识误区 u “Web Web 网站使用了防火墙，所以

6、很安全网站使用了防火墙，所以很安全” 无论是应用级还是端口级的防火墙针对的都是网络层面的攻击，通过设置 可访问的端口或者应用，把恶意访问排除在外，然而如何鉴别善意访问和恶 意访问是一个问题。访问一旦被允许，后续的安全问题就不是防火墙能应对 了。 u “Web Web 网站使用了网站使用了 IDSIDS，所以很安全，所以很安全” 通过模式识别对网络层面的攻击做出防护措施。然而类似于防火墙，通过 利用程序漏洞，通过正常连接进行攻击的访问无法被识别和处理。 u “Web Web 网站使用了网站使用了 SSL SSL 加密，所以很安全加密，所以很安全” SSL 对网站发送和接收的信息都进行加密处理，然

7、而 SSL 无法保障存储 在网站里的信息的安全和网站访问者的隐私信息。采用 64 位甚至 128 位 SSL 加密的网站被黑客攻陷的例子举不胜举。 u “漏洞扫描工具没发现任何问题，所以很安全漏洞扫描工具没发现任何问题，所以很安全” 当前漏洞扫描工具已经被广泛使用去查找一些明显的网络安全漏洞。 同理，扫描工具无法对网站应用程序进行检测，无法查找应用本身的漏 洞。 u “我们每季度都会聘用安全人员进行审计，所以很安全我们每季度都会聘用安全人员进行审计，所以很安全” 人为的检测考察不仅仅效率低，不可控因素也较多，同时对于代码 变更频繁的今天，安全人员也无法满足全面的安全需求然而这些方法远 远不能保

8、障 Web 应用的安全，针对应用层面的攻击可以轻松的突破防火 墙保护的网站。例如：最为常见的 SQL 注入攻击表现层面完全是正常的 数据交互查询。对于防火墙或者入侵检测系统而言，这是最为正常的访 问连接，没有任何特征能够说明此种访问连接存在恶意攻击。所以，一 些简单的 SQL 注入语句就可以使得装备昂贵网络安全设备的网站被轻松 攻破。 Web 安全的认识误区安全的认识误区 13 Web 应用的基础概念应用的基础概念 Web 应用的架构应用的架构 用户通过 Web 浏览器发送请求给中间层，由中间层将用 户的请求转换为对后台数据的查询或是更新，并将最终的结 果在浏览器上展示给用户。 “我们使用了防

9、火墙”、“我们使用了网络脆弱扫描工具”、 “我们使用了 SSL技术”、“我们每个季度都会进行渗透测试 ”所以，“我们的应用是安全的”。现实真是如此吗? Web应用安全全景分析应用安全全景分析 a.网络脆弱性扫描工具，由于它仅仅用来分析网络层面的漏洞，不 了解应用本身，所以不能彻底提高Web应用安全性; b.防火墙可以阻止对重要端口的访问，但是 80 和 443 端口始终 要开放，我们无法判断这两个端口中通讯数据是善意的访问还是恶 意的攻击; c.SSL 可以加密数据，但是它仅仅保护了在传输过程中数据的安全 性，并没有保护Web应用本身; d.每个季度的渗透测试，无法满足处于不断变更之中的应用。

10、 只要访问可以顺利通过防火墙，Web应用就毫无保留的呈现在 用户面前。只有加强Web应用自身的安全，才是真正的Web应用安全 解决之道。 Web应用安全全景分析应用安全全景分析 16 当前安全现状统计分析图 由于网络技术日趋成熟， 黑客们也将注意力从以往 对网络服务器的攻击逐步 转移到了对Web应用的攻 击上。如图：信息安全攻 击有75%都是发生在 Web应用而非网络层面上。 同时，数据也显示，三分 之二的Web站点都相当脆 弱，易受攻击。然而现实 确是，绝大多数企业将大 量的投资花费在网络和服 务器的安全上，没有从真 正意义上保证Web应用本 身的安全，给黑客以可乘 之机。 17 WebWe

11、b应用现状应用现状 目录 1 常见的常见的WebWeb攻击攻击 2 构筑安全构筑安全WebWeb应用应用3 案例介绍案例介绍 4 5 软件的使用软件的使用 18 Web Web 应用安全威胁应用安全威胁 WASCWASC（网络应用安全联盟）（网络应用安全联盟） 将将 Web Web 应用安全威胁分为如下六类：应用安全威胁分为如下六类： l验证验证 用来确认某用户、服务或是应用身份的攻击手段。用来确认某用户、服务或是应用身份的攻击手段。 l授权授权 用来决定是否某用户、服务或是应用具有执行请求动作必要权限的用来决定是否某用户、服务或是应用具有执行请求动作必要权限的 攻击手段。攻击手段。 l客户侧

12、攻击客户侧攻击 用来扰乱或是探测用来扰乱或是探测 Web Web 站点用户的攻击手段。站点用户的攻击手段。 l命令执行命令执行 在在 Web Web 站点上执行远程命令的攻击手段。站点上执行远程命令的攻击手段。 l信息暴露信息暴露 用来获取用来获取 Web Web 站点具体系统信息的攻击手段。站点具体系统信息的攻击手段。 l逻辑性攻击逻辑性攻击 用来扰乱或是探测用来扰乱或是探测 Web Web 应用逻辑流程的攻击手段。应用逻辑流程的攻击手段。 19 Web 应用漏洞分类 20 Web 应用的安全隐患 应用威胁负面影响后果 跨网站脚本攻击跨网站脚本攻击标识盗窃，敏感数据丢失标识盗窃，敏感数据丢失

13、黑客可以模拟合法用户，控制其帐户。黑客可以模拟合法用户，控制其帐户。 注入攻击注入攻击通过构造查询对数据库、通过构造查询对数据库、LDAP LDAP 和其和其 他系统进行非法查询。他系统进行非法查询。 黑客可以访问后端数据库信息，修改、盗黑客可以访问后端数据库信息，修改、盗 窃。窃。 恶意文件执行恶意文件执行在服务器上执行在服务器上执行 Shell Shell 命令命令 ExecuteExecute，获取控制权。，获取控制权。 被修改的站点将所有交易传送给黑客被修改的站点将所有交易传送给黑客 不安全对象引用不安全对象引用黑客访问敏感文件和资源黑客访问敏感文件和资源Web Web 应用返回敏感文

14、件内容应用返回敏感文件内容 伪造跨站点请求伪造跨站点请求黑客调用黑客调用 Blind Blind 动作，模拟合法用动作，模拟合法用 户户 黑客发起黑客发起 Blind Blind 请求，要求进行转帐请求，要求进行转帐 信息泻露和不正确的错误处信息泻露和不正确的错误处 理理 黑客得到详细系统信息黑客得到详细系统信息恶意的系统检测可能有助于更深入的攻击恶意的系统检测可能有助于更深入的攻击 被破坏的认证和被破坏的认证和 Session Session 管理管理 Session token Session token 没有被很好的保护没有被很好的保护在用户推出系统后，黑客能够盗窃在用户推出系统后，黑客

15、能够盗窃 sessionsession。 不安全的木马存储不安全的木马存储过于简单的加密技术导致黑客破解编过于简单的加密技术导致黑客破解编 密码密码 隐秘信息被黑客解密盗窃隐秘信息被黑客解密盗窃 不安全的通讯不安全的通讯敏感信息在不安全通道中以非加密方敏感信息在不安全通道中以非加密方 式传送式传送 黑客可以通过嗅探器嗅探敏感信息，模拟黑客可以通过嗅探器嗅探敏感信息，模拟 合法用户。合法用户。 URL URL 访问限制失效访问限制失效黑客可以访问非授权的资源连接黑客可以访问非授权的资源连接黑客可以强行访问一些登陆网页、历史网黑客可以强行访问一些登陆网页、历史网 页。页。 21 跨站脚本攻击（跨站

16、脚本攻击（XSS） 如果如果Web应用没有对攻击者的输入进行适当的应用没有对攻击者的输入进行适当的 编码和过滤，就转发给其他用户的浏览器时，可能编码和过滤，就转发给其他用户的浏览器时，可能 导致导致XSS漏洞。攻击者可利用漏洞。攻击者可利用XSS在其他用户的在其他用户的 浏览器中运行恶意脚本，偷窃用户的会话，或是模浏览器中运行恶意脚本，偷窃用户的会话，或是模 拟用户执行非法的操作。拟用户执行非法的操作。 22 23 跨站脚本执行利用过程跨站脚本执行利用过程 24 跨站脚本类型 25 SQL注入 如果如果web应用未对攻击者的输入进行适当的编码应用未对攻击者的输入进行适当的编码 和过滤，就用于构

17、造数据库查询或操作系统命令时，和过滤，就用于构造数据库查询或操作系统命令时， 可能导致注入漏洞。攻击者可利用注入漏洞诱使可能导致注入漏洞。攻击者可利用注入漏洞诱使 web应用执行未预见的命令（即命令注入攻击）应用执行未预见的命令（即命令注入攻击） 或数据库查询（即或数据库查询（即SQL注入攻击）。注入攻击）。 26 27 28 WebWeb应用现状应用现状 目录 1 常见的常见的WebWeb攻击攻击 2 构筑安全构筑安全WebWeb应用应用3 案例介绍案例介绍 4 5 软件的使用软件的使用 29 安全栈结构及安全栈结构及 AppScan 扫描范围扫描范围 30 IBM Rational App

18、Scan 扫描原理-探测阶段 在第一个步骤中，会探索站在第一个步骤中，会探索站 点并构造应用程序树。这就点并构造应用程序树。这就 是是“探索探索”步骤。步骤。AppScanAppScan 会分析它所发送的每个请求会分析它所发送的每个请求 的响应，查找潜在漏洞的任的响应，查找潜在漏洞的任 何指示信息。何指示信息。 AppScanAppScan接收接收 到可能指示有安全漏洞的响到可能指示有安全漏洞的响 应时，它将自动创建测试，应时，它将自动创建测试， 并记录验证规则（这些规则并记录验证规则（这些规则 是确定哪些结果构成漏洞以是确定哪些结果构成漏洞以 及涉及到安全风险的级别时及涉及到安全风险的级别时

19、 所需的验证规则）所需的验证规则） 31 IBM Rational AppScan扫描原理-测试阶段 AppScanAppScan会发送其在会发送其在“探索探索” 步骤创建的上千条定制测试步骤创建的上千条定制测试 请求，它会记录和分析应用请求，它会记录和分析应用 程序的响应，以识别安全问程序的响应，以识别安全问 题并将其按安全风险的级别题并将其按安全风险的级别 进行排名。进行排名。 32 IBM Rational AppScan扫描原理-测试阶段 测试阶段频繁显示站点内测试阶段频繁显示站点内 的新链接和更多潜在安全风的新链接和更多潜在安全风 险。因此，完成探索和测试险。因此，完成探索和测试 的

20、第一个的第一个“过程过程”之后，之后， AppScan AppScan 将自动开始第二将自动开始第二 个个“过程过程”，以处理新的信，以处理新的信 息。如果在第二个过程中发息。如果在第二个过程中发 现了新链接，那么会运行第现了新链接，那么会运行第 三个过程，依此类推。三个过程，依此类推。 33 IBM Rational AppScan工作过程 IBMIBM Rational AppScan Rational AppScan 工作方式比较简单，就像一个黑盒工作方式比较简单，就像一个黑盒 测试工具一样，测试人员不需要了解测试工具一样，测试人员不需要了解 Web Web 应用本身的结构。应用本身的结

21、构。 IBMIBM Rational AppScan Rational AppScan 工作方式比较简单，就像一个黑盒工作方式比较简单，就像一个黑盒 测试工具一样，测试人员不需要了解测试工具一样，测试人员不需要了解 Web Web 应用本身的结构。应用本身的结构。 34 IBM Rational AppScan过程操作 创建新的扫描创建新的扫描 35 36 选择执行的扫描类型选择执行的扫描类型 37 输入起始输入起始URL 38 应用程序树：会随 着扫描进度填充应 用程序树。显示在 应用程序中所找到 的所有文件夹、 URL和文件 结果列表： 显示应用程 序树中选定 节点的相关 结果。 详细信息窗格:显示 三个选项卡中的结果 列表内选定节点的相 关详细信息。 扫描面板：扫描 进度条 状态栏：已访问的页面数、已测试的元 素数、请求数、安全