专项安全研究_双向证书扫描方法

1、密级：内部文档类型：技术文档双向证书扫描方法研究与利用（v 1.0）文档编号：撰写人：方强审核人：审核吋间：批准人：批准时间：分发范围：安全技术部渗透测试项目组受控状态：受控口非受控银行卡检测中心安全技术部（版权所有，翻版必究）修订记录章节内容修订人丨丨期当前版本批准人全部建立方强2013年3月27日vi. 0目录1 综述12 双向认证技术详述 12.1原理分析13 双向ssl扫描技术演示 33.1 webravor 33.1.1 导出证书33.1.2 设置 fiddler2 43.13扫描器设置53 2ibm appscan 63.2.1 导出证书6322fiddler 2 73.2.3 扫

2、描器设置73 1 awvs 83.1.1 导出证书83 1.2设置 fiddler2 93.1.3 扫描器设置104 附录115 工具111综述目前测试过程中，测试人员时常遇到釆用了双向认证证书技术的目标站点等。釆用了双 向ssl技术的站点在进行工具扫描时所要进行的设置与单向ssl或无认证技术的的站点存 在较大不同。本文旨在对双向ssl技术进行基础研究并针对采用了双向ssl技术的站点进 行扫描提出相应的方法。2双向认证技术详述2.1原理分析ssl （secure sockets layer安全套接层），及其继任者传输层安全（transport layer security, tls）是为网络通

3、信提供安全及数据完整性的一种安全协议。tls与 ssl在传输层对网络连接进行加密。ssl的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证，其主耍过程 如下： 客户端的浏览器向服务器传送客户端ssl协议的版本号，加密算法的种类，产生 的随机数，以及其他服务器和客八端之问通讯所需要的各种信息。 服务器向客户端传送ssl协议的版本号，加密算法的种类，随机数以及其他相关 信息，同时服务器还将向客户端传送自己的证书。 客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是 否过期，发行服务器证书的ca是否可靠，发行者证书的公钥能否正确解开服务器 证书的''发

4、行者的数字签名，服务器证书上的域名是否和服务器的实际域名相匹配。 如果合法性验证没有通过，通讯将断开；如果合法性验证通过，将继续进行第四步。 用户端随机产生一个用于后面通讯的'、对称密码，然后用服务器的公钥（服务器的 公钥从步骤中的服务器的证书中获得）对其加密，然后将加密后的''预主密码传 给服务器。银行卡检测中心bank card test center 如果服务器要求客户的身份认证（在握手过程屮为可选），用户可以建立一个随机 数然后对其进行数据签名，将这个含有签名的随机数和客八自己的证书以及加密过 的''预主密码一起传给服务器。 如果服务器要求客户的

5、身份认证，服务器必须检验客户证书和签名随机数的合法性, 具体的合法性验证过程包括：客户的证书使用口期是否有效，为客户提供证书的ca 是否可靠，发行ca的公钥能否正确解开客户证书的发行ca的数字签名，检查客 户的证书是否在证书废止列表（crl）中。检验如果没有通过，通讯立刻中断；如 果验证通过，服务器将用自己的私钥解开加密的'、预主密码，然后执行一系列步骤 来产生主通讯密码（客户端也将通过同样的方法产生相同的主通讯密码）。 服务器和客户端用相同的主密码即'、通话密码，一个对称密钥用于ssl协议的安 全数据通讯的加解密通讯。同时在ssl通讯过程中还要完成数据通讯的完整性， 防止数据

6、通讯中的任何变化。 客八端向服务器端发出信息，指明后而的数据通讯将使用的步骤屮的主密码为对 称密钥，同时通知服务器客户端的握手过程结束。 服务器向客户端发出信息，指明后面的数据通讯将使用的步骤中的主密码为对称 密钥，同时通知客户端服务器端的握手过程结束。 ssl的握手部分结束，ssl安全通道的数据通讯开始，客户和服务器开始使用相同 的对称密钥进行数据通讯，同时进行通讯完整性的检验。双向认证ssl协议的具体过程： 浏览器发送一个连接请求给安全服务器。 服务器将自己的证书，以及同证书相关的信息发送给客户浏览器。 客户浏览器检查服务器送过来的证书是否是由自己信赖的ca中心所签发的。 如果是，就继续执

7、行协议；如果不是，客户浏览器就给客户一个警告消息：警 告客户这个证书不是可以信赖的，询问客户是否需要继续。 接着客户浏览器比较证书里的消息，例如域名和公钥，与服务器刚刚发送的相 关消息是否一致，如果是一致的，客户浏览器认可这个服务器的合法身份。 服务器要求客户发送客户自己的证书。收到后，服务器验证客户的证书，如果 没有通过验证，拒绝连接；如杲通过验证，服务器获得用户的公钥。 客户浏览器告诉服务器口己所能够支持的通讯对称密码方案。银行卡检测中心bank card test center 服务器从客户发送过来的密码方案屮，选择一种加密稈度最高的密码方案，用 客户的公钥加过密后通知浏览器。 浏览器针

8、对这个密码方案，选择一个通话密钥，接着用服务器的公傍加过密后 发送给服务器。 服务器接收到浏览器送过來的消息，用自己的私钥解密，获得通话密钥。 漏洞利用工具的使用和操作步骤。3双向ssl扫描技术演示常用的应用安全扫描工具有webravor, ibm appscan, 3wvs等，本文针对以上几种 常用的扫描工具提出相应webravor的扫描釆用了双向ssl技术的站点的方法。主要思想 为利用fiddler作为代理的方式，将证书导入到fiddler中，设置扫描器代理服务器为 fiddler然后进行扫描。3.1 webravor3.1.1导出证书将 ie 屮 的证书导 出， 保存地址为：c : us

9、ersadministratordocumentsfidcller2, 即 fiddler 白勺目录下，名 称为：client certificate cer银行卡检测中心bank card test center3.1.2 设置 fiddler 2扌j开 fiddler2 , 点击 fiddler optionssfiddler teb debugger1fil* edit rulestoolsviw help get /bookwirjnet options.fiddler optionsaysessions any process 拎fmd(£sav< rz<) s

10、tatistics曙 inspectors | / auti31200mt02200ht3200htcl«u* wininet cookixttxtwiztrd.clear wininet cache ctrl+shift+xctrl+hleck.asp95547521101 compare sessionsr«s«t scriptsandboxview ie cachehosts如下图进行勾选:银行卡检测中心bank card test center3.1.3扫描器设置打开webravor选择选项，如卜:w webravor professional editi

11、on 43510 -崇明农商.wprjx文件 扫描 工具(t)很告(r)策略(p)插件 选项(0)许可(l)语言(n)帮助(h)选择代理服务器列表，右键添加，如下所示:全部选择(a)反向选择(r)确定(0)银行卡检测中心bank card test center添加代理地址,端口 8888.设蛊代理隔务器xw7请在下列表单中输入http代理朋务器信息地址：端口： 8888|dssl需要身份验证(basic)用户：密码:确定(0)(c)取消添加完成后，继续进行扫描。扫描过程与普通网站类似。3.2 ibm appscan3.2.1导出证书将 ie 中 的证书导

12、出， 保存地址为c:usersadministratordocumentsfiddler2,名 称为：client certificate cer银行卡检测中心bank card test center3.2.2 设置 fiddler 2扌j开 fiddler2 , 点击 fiddler optionssfiddler teb debugger1fil* edit rulestoolsviw help get /bookwirjnet options.fiddler optionsaysessions kny process 曲fmd |jsav<g i result i pre1200

13、htstatistics 謀 inspectors | / aubclear wininet cache ctrl+shift+xhthtcl«u* wininet cookixt tx tw i z tr d.compare sessionsctrl+hctrlf'-leck.asp055475 21101 r«s«t scripts&ndboxview ie cachehosts如下图进行勾选:3.2.3扫描器设置打开扫描器，新建扫描，设置扫描配置，如下所示:银行卡检测中心bank card test center人扫拒古果文件编辑（e）査看（

14、v）fi5o扫插基于url 扫描（s）工具帮助00o完全扫描厲）f50 暂傳（v）shift+f5重新扫描00o仅探索（e）f3手动探索山）探索 web service®）仅卿试仅测试多步燥作a） 测试恶意软件g）x濟除所有扫描数据i运行扫描专家评佶 仅运行扫描专家分析（0）x扫描国矍（c）.仙 °q上一个 下一步严垂诂|州设置代理为,端口为8888,如下所示:继续进行扫描。3.1 awvs3.1.1导出证书将 ie 中 的证书导 出， 保存地址为：c: usersadministratordocumentsfidcller2,名称为：clientcert

15、if icmte cer银行卡检测中心bank card test center3.1.2 设置 fiddler 2扌j开 fiddler2 , 点击 fiddler optionssfiddler teb debugger1fil* edit rulestoolsviw help get /bookwirjnet options.fiddler optionsaysessions any process 拎fmd(£sav< rz<) statistics曙 inspectors | / auti31200mt02200ht3200htcl«u* winine

16、t cookixttxtwiztrd.clear wininet cache ctrl+shift+xctrl+hleck.asp95547521101 compare sessionsr«s«t scriptsandboxview ie cachehosts如下图进行勾选:银行卡检测中心bank card test center3.1.3扫描器设置打开扫描器，新建扫描，设置扫描配置，如下所示:点击 configuretion, 选择 scan setting, 如下所示:file actions tools configuration kelptools explorer

17、 何 web vulnerabaty scanner s web scanner曰 0 toolssite crawler i- q target finder 卜 匕 subdomain senner 卜blind sql injector 雷 http editorhttp snifferhttp fuzzerauthenticabo n tester巴 template: |default3 scanmng options 團 headers and cookies 虱 parameter exclusionslan settings/|configur 皀 th 皀 scanner t

18、o work through a proxy servercompare results f)亡 web services” 胡 web services scannerl 屋 web services editor 日 £ configuration/ application settings j scan settings站 scanning profiles q general卜- program updates： 同 version information '歹 licensrg$、crawling optionsfile extension filters directory and file filters 0? url rewrite£ http optionshttp proxy7 use an http proxy server/ custom cookies 型 input fields* acusensor port scanners custom 404-socks