IBM_Rational_AppScan网站漏洞扫描课件

1、IBM Rational AppScan软件安全测试软件安全测试软件安全测试什么是软件安全测试？什么是软件安全测试？ 软件安全测试包括：程序、数据库安全测试，根据系统安全指标不同测试策略也不同。主要包括：用户认证的安全测试、系统网络安全测试、数据库安全测试（数据库自身安全和人为安全）。2数据库安全概述 数据库安全数据库安全数据库安全是指保护数据库中的数据不因用户的非法使用而造成破坏、更改或数据泄露，也就是指数据库中的数据不允许收到任何恶意侵害或未经授权的存取和修改。数据库安全设计采用的措施主要包括：数据库安全设计采用的措施主要包括：身份认证（Authentication）访问控制（Access

2、 Control）数据访问机密性（Confidentialty)数据完整性（Integrity）审计能力（Auditing）可用性（Availability） 很多软件在设计时忽略或者很少考虑安全性问题，考虑了安全性的软件产品也往往因为开发人员缺乏安全培训、没有安全经验而造成了安全漏洞。这样产生的安全漏洞分为两类： 第一类第一类 ：是由于操作系统本身设计缺陷带来的安全漏洞，这类漏洞将被运行在该系统上的应用程序所继承； 第二类第二类：是应用软件程序的安全漏洞。第二类漏洞更为常见，更需要得到广泛的关注。 软件自身安全软件自身安全 保证系统的安全，仅靠安全软件是不够的，同时要注重安全管理人才的培养，

3、提高安全防范意识，最终做到安全有效的防范。而当前人员安全意识的培养还远远不够，在现在的网络环境中，绝大多数漏洞存在的原因在于管理员对系统进行了错误的配置，或者没有及时的升级系统软件到最新的版本。人为安全人为安全软件安全测试依据软件安全测试依据: GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求依据依据IBM Rational AppScan简介IBM Rational AppScan 能够在能够在 Web 开发、测试、维护、运营的开发、测试、维护、运营的整个生命周期中，帮助企业高效的发现、解决安全漏洞，最大限度的保整个生命周期中，帮助企业高效的发现、解决安全漏洞，最大限度

4、的保证应用的安全性。证应用的安全性。Web 安全检测主要分为两大类，分别是安全检测主要分为两大类，分别是白盒检测白盒检测和和黑盒检测黑盒检测。白盒工。白盒工具通过分析应用程序源代码以发现问题，而黑盒工具则通过分析应用程具通过分析应用程序源代码以发现问题，而黑盒工具则通过分析应用程序运行的结果来报告问题。序运行的结果来报告问题。 IBM Rational AppScan属于后者，属于后者，它是业界领先的它是业界领先的Web 应用安全检测工具，提供了扫描、报告和修复建应用安全检测工具，提供了扫描、报告和修复建议等功能。议等功能。89WebWeb应用现状应用现状 目录1常见的常见的WebWeb攻击攻

5、击 2构筑安全构筑安全WebWeb应用应用3案例介绍案例介绍 45软件的使用软件的使用10 Web 应用的基础概念应用的基础概念什么是什么是 Web 应用应用 Web 应用是由动态脚本、编译过的代码等组合而成。它通常架设在 Web 服务器上，用户在 Web 浏览器上发送请求，这些请求使用 HTTP 协议，经过因特网和企业的 Web 应用交互，由 Web 应用和企业后台的数据库及其他动态内容通信。Web 安全的认识误区安全的认识误区u “Web Web 网站使用了防火墙，所以很安全网站使用了防火墙，所以很安全” 无论是应用级还是端口级的防火墙针对的都是网络层面的攻击，通过设置可访问的端口或者应用

6、，把恶意访问排除在外，然而如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许，后续的安全问题就不是防火墙能应对了。u “Web Web 网站使用了网站使用了 IDSIDS，所以很安全，所以很安全” 通过模式识别对网络层面的攻击做出防护措施。然而类似于防火墙，通过利用程序漏洞，通过正常连接进行攻击的访问无法被识别和处理。u “Web Web 网站使用了网站使用了 SSL SSL 加密，所以很安全加密，所以很安全” SSL 对网站发送和接收的信息都进行加密处理，然而 SSL 无法保障存储在网站里的信息的安全和网站访问者的隐私信息。采用 64 位甚至 128 位 SSL 加密的网站被黑客攻陷的例子

7、举不胜举。u “漏洞扫描工具没发现任何问题，所以很安全漏洞扫描工具没发现任何问题，所以很安全” 当前漏洞扫描工具已经被广泛使用去查找一些明显的网络安全漏洞。同理，扫描工具无法对网站应用程序进行检测，无法查找应用本身的漏洞。u “我们每季度都会聘用安全人员进行审计，所以很安全我们每季度都会聘用安全人员进行审计，所以很安全” 人为的检测考察不仅仅效率低，不可控因素也较多，同时对于代码变更频繁的今天，安全人员也无法满足全面的安全需求然而这些方法远远不能保障 Web 应用的安全，针对应用层面的攻击可以轻松的突破防火墙保护的网站。例如：最为常见的 SQL 注入攻击表现层面完全是正常的数据交互查询。对于防

8、火墙或者入侵检测系统而言，这是最为正常的访问连接，没有任何特征能够说明此种访问连接存在恶意攻击。所以，一些简单的 SQL 注入语句就可以使得装备昂贵网络安全设备的网站被轻松攻破。Web 安全的认识误区安全的认识误区13Web 应用的基础概念应用的基础概念Web 应用的架构应用的架构 用户通过 Web 浏览器发送请求给中间层，由中间层将用户的请求转换为对后台数据的查询或是更新，并将最终的结果在浏览器上展示给用户。“我们使用了防火墙”、“我们使用了网络脆弱扫描工具”、“我们使用了 SSL技术”、“我们每个季度都会进行渗透测试”所以，“我们的应用是安全的”。现实真是如此吗?Web应用安全全景分析应用

9、安全全景分析a.网络脆弱性扫描工具，由于它仅仅用来分析网络层面的漏洞，不了解应用本身，所以不能彻底提高Web应用安全性;b.防火墙可以阻止对重要端口的访问，但是 80 和 443 端口始终要开放，我们无法判断这两个端口中通讯数据是善意的访问还是恶意的攻击;c.SSL 可以加密数据，但是它仅仅保护了在传输过程中数据的安全性，并没有保护Web应用本身;d.每个季度的渗透测试，无法满足处于不断变更之中的应用。只要访问可以顺利通过防火墙，Web应用就毫无保留的呈现在用户面前。只有加强Web应用自身的安全，才是真正的Web应用安全解决之道。Web应用安全全景分析应用安全全景分析16当前安全现状统计分析图

10、由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。如图：信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。然而现实确是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全，给黑客以可乘之机。17WebWeb应用现状应用现状 目录1常见的常见的WebWeb攻击攻击 2构筑安全构筑安全WebWeb应用应用3案例介绍案例介绍 45软件的使用软件的使用18Web Web 应用安全威胁应用安全威胁WASCWASC（网络应用安全联盟）（网络应用安全联盟）

11、 将将 Web Web 应用安全威胁分为如下六类：应用安全威胁分为如下六类：l验证验证 用来确认某用户、服务或是应用身份的攻击手段。用来确认某用户、服务或是应用身份的攻击手段。 l授权授权 用来决定是否某用户、服务或是应用具有执行请求动作必要权限的用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。攻击手段。 l客户侧攻击客户侧攻击 用来扰乱或是探测用来扰乱或是探测 Web Web 站点用户的攻击手段。站点用户的攻击手段。 l命令执行命令执行 在在 Web Web 站点上执行远程命令的攻击手段。站点上执行远程命令的攻击手段。 l信息暴露信息暴露 用来获取用来获取 Web Web

12、 站点具体系统信息的攻击手段。站点具体系统信息的攻击手段。 l逻辑性攻击逻辑性攻击 用来扰乱或是探测用来扰乱或是探测 Web Web 应用逻辑流程的攻击手段。应用逻辑流程的攻击手段。19Web 应用漏洞分类20Web 应用的安全隐患应用威胁负面影响后果跨网站脚本攻击跨网站脚本攻击标识盗窃，敏感数据丢失标识盗窃，敏感数据丢失黑客可以模拟合法用户，控制其帐户。黑客可以模拟合法用户，控制其帐户。注入攻击注入攻击通过构造查询对数据库、通过构造查询对数据库、LDAP LDAP 和其和其他系统进行非法查询。他系统进行非法查询。黑客可以访问后端数据库信息，修改、盗黑客可以访问后端数据库信息，修改、盗窃。窃。

13、恶意文件执行恶意文件执行在服务器上执行在服务器上执行 Shell Shell 命令命令 ExecuteExecute，获取控制权。，获取控制权。被修改的站点将所有交易传送给黑客被修改的站点将所有交易传送给黑客不安全对象引用不安全对象引用黑客访问敏感文件和资源黑客访问敏感文件和资源Web Web 应用返回敏感文件内容应用返回敏感文件内容伪造跨站点请求伪造跨站点请求黑客调用黑客调用 Blind Blind 动作，模拟合法用动作，模拟合法用户户黑客发起黑客发起 Blind Blind 请求，要求进行转帐请求，要求进行转帐信息泻露和不正确的错误处信息泻露和不正确的错误处理理黑客得到详细系统信息黑客得到

14、详细系统信息恶意的系统检测可能有助于更深入的攻击恶意的系统检测可能有助于更深入的攻击被破坏的认证和被破坏的认证和 Session Session 管理管理Session token Session token 没有被很好的保护没有被很好的保护在用户推出系统后，黑客能够盗窃在用户推出系统后，黑客能够盗窃 sessionsession。不安全的木马存储不安全的木马存储过于简单的加密技术导致黑客破解编过于简单的加密技术导致黑客破解编密码密码隐秘信息被黑客解密盗窃隐秘信息被黑客解密盗窃不安全的通讯不安全的通讯敏感信息在不安全通道中以非加密方敏感信息在不安全通道中以非加密方式传送式传送黑客可以通过嗅探器

15、嗅探敏感信息，模拟黑客可以通过嗅探器嗅探敏感信息，模拟合法用户。合法用户。URL URL 访问限制失效访问限制失效黑客可以访问非授权的资源连接黑客可以访问非授权的资源连接黑客可以强行访问一些登陆网页、历史网黑客可以强行访问一些登陆网页、历史网页。页。21跨站脚本攻击（跨站脚本攻击（XSS） 如果如果Web应用没有对攻击者的输入进行适当的应用没有对攻击者的输入进行适当的编码和过滤，就转发给其他用户的浏览器时，可能编码和过滤，就转发给其他用户的浏览器时，可能导致导致XSS漏洞。攻击者可利用漏洞。攻击者可利用XSS在其他用户的在其他用户的浏览器中运行恶意脚本，偷窃用户的会话，或是模浏览器中运行恶意脚

16、本，偷窃用户的会话，或是模拟用户执行非法的操作。拟用户执行非法的操作。2223跨站脚本执行利用过程跨站脚本执行利用过程24跨站脚本类型25SQL注入如果如果web应用未对攻击者的输入进行适当的编码应用未对攻击者的输入进行适当的编码和过滤，就用于构造数据库查询或操作系统命令时，和过滤，就用于构造数据库查询或操作系统命令时，可能导致注入漏洞。攻击者可利用注入漏洞诱使可能导致注入漏洞。攻击者可利用注入漏洞诱使web应用执行未预见的命令（即命令注入攻击）应用执行未预见的命令（即命令注入攻击）或数据库查询（即或数据库查询（即SQL注入攻击）。注入攻击）。262728WebWeb应用现状应用现状 目录1常

17、见的常见的WebWeb攻击攻击 2构筑安全构筑安全WebWeb应用应用3案例介绍案例介绍 45软件的使用软件的使用29安全栈结构及安全栈结构及 AppScan 扫描范围扫描范围30IBM Rational AppScan 扫描原理-探测阶段在第一个步骤中，会探索站在第一个步骤中，会探索站点并构造应用程序树。这就点并构造应用程序树。这就是是“探索探索”步骤。步骤。AppScanAppScan会分析它所发送的每个请求会分析它所发送的每个请求的响应，查找潜在漏洞的任的响应，查找潜在漏洞的任何指示信息。何指示信息。 AppScanAppScan接收接收到可能指示有安全漏洞的响到可能指示有安全漏洞的响应

18、时，它将自动创建测试，应时，它将自动创建测试，并记录验证规则（这些规则并记录验证规则（这些规则是确定哪些结果构成漏洞以是确定哪些结果构成漏洞以及涉及到安全风险的级别时及涉及到安全风险的级别时所需的验证规则）所需的验证规则）31IBM Rational AppScan扫描原理-测试阶段AppScanAppScan会发送其在会发送其在“探索探索”步骤创建的上千条定制测试步骤创建的上千条定制测试请求，它会记录和分析应用请求，它会记录和分析应用程序的响应，以识别安全问程序的响应，以识别安全问题并将其按安全风险的级别题并将其按安全风险的级别进行排名。进行排名。32IBM Rational AppScan

19、扫描原理-测试阶段测试阶段频繁显示站点内测试阶段频繁显示站点内的新链接和更多潜在安全风的新链接和更多潜在安全风险。因此，完成探索和测试险。因此，完成探索和测试的第一个的第一个“过程过程”之后，之后，AppScan AppScan 将自动开始第二将自动开始第二个个“过程过程”，以处理新的信，以处理新的信息。如果在第二个过程中发息。如果在第二个过程中发现了新链接，那么会运行第现了新链接，那么会运行第三个过程，依此类推。三个过程，依此类推。 33IBM Rational AppScan工作过程IBMIBM Rational AppScan Rational AppScan 工作方式比较简单，就像一个

20、黑盒工作方式比较简单，就像一个黑盒测试工具一样，测试人员不需要了解测试工具一样，测试人员不需要了解 Web Web 应用本身的结构。应用本身的结构。IBMIBM Rational AppScan Rational AppScan 工作方式比较简单，就像一个黑盒工作方式比较简单，就像一个黑盒测试工具一样，测试人员不需要了解测试工具一样，测试人员不需要了解 Web Web 应用本身的结构。应用本身的结构。34IBM Rational AppScan过程操作创建新的扫描创建新的扫描3536选择执行的扫描类型选择执行的扫描类型37输入起始输入起始URL38应用程序树：会随着扫描进度填充应用程序树。显示在应用程序中所找到的所有文件夹、URL和文件结果列表：显示应用程序树中选定节点的相关结果。详细信息窗格:显示三个选项卡中的结果列表内选定节点的相关详细信息。扫描面板：扫描进度条状态栏：已访问的页面数