发布日期:2021-02-02 16:08:28
游览量:64
作者:谷尼软件
运营商渗透测试与挑战
最近几年,运营商行业安全服务中渗透测试中常见的漏洞包括弱口令、注入漏洞、跨站漏洞、Struts2命令执行漏洞、WebServer远程部署及上传漏洞等,但随着新技术、新业务出现和运营商集团层面的关注重点有所转移,渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战,这就需要服务团队与时俱进,满足客户的服务要求。文章对这些方面进行了分析与总结,希望对安全服务人员的渗透测试工作有所帮助。
传统渗透测试主要关注于系统本身存在的常见问题,常见系统弱口令、SQL注入、跨站、struts2框架命令执行、上传漏洞和远程部署造成的getshell等问题。
弱口令问题是运营商渗透测试最常见问题之一,运营商网络设备、安全设备、数据库与操作系统都可能存在弱口令问题,包括后面介绍的webserver远程部署getshell也是由于后台弱口令造成,并且弱口令是利用难度最小危害最大的漏洞,因此特别需要注意。
如下图是某运营商某次检查扫描出的弱口令。
图2-1 弱口令
SQL注入是web系统最高危也是最为常见的漏洞之一,是所有系统测试都必须关注的漏洞,在OWASP漏洞排名中连续排名第一。这漏洞可通过手工或者工具拿到后台用户名密码并且可进行数据库转储。sqlmap是当前最好用的SQL注入测试工具之一。
跨站漏洞跟SQL注入类似,是web系统最高危漏洞之一,在OWASP 2013 top10中排名第三。可通过XSS Platform收集cookie信息或者XSS getshell,危害非常大。
跨站漏洞分为反射型、存储型和DOM型。在进行跨站测试的时候可以通过扫描器发现大部分的跨站漏洞,也可以采用常见的跨站语句进行手工测试。
由于使用框架技术可以使开发变得简单省时而且高效,因此框架技术在系统开发中越来越普遍,其中java三大框架是hibernate、spring和struts。struts2框架虽然是一款优秀的MVC框架,但是最近几年来爆发几次严重漏洞,2013年7月曝出CVE-2013-2251多个命令执行漏洞,虽然距今时间较长,但仍然有很多漏网之鱼,在运营商渗透测试中多次遇到。
图2-2 struts命令执行
支持远程部署的Web服务器有很多,通过远程部署获取webshell并非代码层次的问题,而是由于配置不当造成的问题。在运营商渗透测试过程中最常见的可远程部署的web服务器是Tomcat、JBoss和WebLogic。
Tomcat默认端口为8080,也可能被改为其他端口,后台管理路径为/manager/html,后台默认弱口令admin/admin、tomcat/tomcat等,若果配置不当,可通过”Tomcat Manager”连接部署war包的方式获取webshell。
图2-3 Tomcat后台部署war包
JBoss是基于JavaEE的开放源代码的应用服务器,跟Tomcat类似,JBoss默认安装端口为8080,访问8080端口即可看到JBoss的默认安装部署界面。JBoss在安全性方面比Tomcat更差,不需要密码即可登录管理后台,进行war部署。也可以用metasploit或者jboss_exploit_fat.jar进行利用。
下图是某运营商JBoss后台界面,可直接部署war包获取webshell。
图2-4 JBoss后台
下图是通过jboss_exploit_fat.jar获取服务器操作系统的命令,可通过相同的方法可获取webshell。
图2-5 jboss_exploit_fat.jar获取服务器操作系统信息
图2-6 jboss_exploit_fat.jar进行war部署
WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,默认端口7001,后面添加console即可进入后台管理界面。老版本weblogic有一些常见的弱口令,比如weblogic、system、portaladmin和guest等,用户名密码交叉使用。一旦登录后台,通过部署连接可以很容易的通过部署本地war包获取webshell,与Tomcat类似。
图2-7 WebLogic后台
上传漏洞常见与解析漏洞进行配合使用,比较常见的解析漏洞是IIS的解析漏洞和Apache解析漏洞。IIS解析漏洞一般存在两种情况,一种是.asa和.asp目录下任意文件被当做asp文件来执行,另外一种是.asp;.jpg在IIS6中会被当做asp脚本来执行。Apache解析漏洞是当遇到不认识的扩展名时,将会从后向前解析,直到碰到认识的扩展名为止,如果都不认识,则直接暴露文件源代码。
常见上传漏洞则是绕过客户端检测、绕过服务端检测、文本编辑器上传等漏洞。
如下为导入的文件类型仅在客户端校验,未在服务端校验,可以截取数据包修改文件后缀获取webshell。上传webshell,后缀改为xls。
图2-8 上传位置
攻击者利用Burpsuite截断数据包,修改xls后缀为jsp。
图2-9 修改后缀
攻击者通过此方法获取webshell,并且是root权限。
图2-10 webshell
随着运营商新技术新业务的发展,运营商集团层面对安全的要求有所变化,关注重点也有所转移,对业务流程安全格外关注,其中包括内容安全、计费安全、客户信息安全、业务逻辑安全、传播安全、营销安全等。随着某运营商互联网的发展,运营商也开始关注某运营商业务,自己开发大量APP应用,因此APP应用的安全也成了运营商的关注重点。
内容安全主要是针对各种虚假、反动、色情内容的实施敏感词安全。主要风险是敏感词库不全、审核机制不全、信息发布管控范围不健全等。
计费安全顾名思义就是计费方面的安全,就是计费无差错无绕过无异常。主要包括针对用户的不知情订购、针对运营商的计费机制被绕过、订购机制不健全、异常订购监测机制不健全等。计费安全也属于业务逻辑安全问题的一种。
例如某商城iphone6购买,攻击者可能会通过burp suite等web调试工具截断修改金额,造成计费风险。
图3-1 商城购买商品
可通过burpsuite等web调试工具截断数据包,修改金额。
图 3-2 修改价格
客户信息是指客户隐私信息不被泄露,包括客户姓名、密码、手机号码、家庭住址等隐私信息,主要由客户信息入口认证控制不严或者平行越权造成客户信息泄露。
运营商业务逻辑常见问题有平行越权造成的客户信息泄露、修改金额造成的计费绕过、登录中的验证码暴力破解、短信炸弹等等。运营商非常重视业务逻辑问题,包括计费中的逻辑漏洞与APP中业务逻辑问题。新业务新技术中的计费安全、客户信息安全和APP安全的业务安全部分都与业务逻辑相关。
** **随着某运营商互联网的发展,运营商也开始关注互联网业务,自己开发大量APP应用,因此APP应用的安全也成了运营商的关注重点。在进行APP测试的时候,常见如下图所示。
图3-4 APP评估常见问题
潍坊谷尼软件技术服务有限公司17年行业经验、服务企业5000家,知名企业近160家。谷尼信天翁是山东网站制作机构,是山东企业"互联网+";"移动营销"品牌。执行供给侧改革的网络企业。咨询热线:13188831521TAG标签:SQL注入 , struts , 弱口令 , 渗透测试 , 渗透测试工具 , 渗透测试工具包 , 跨站攻击 , 运营商 , 未注明作者或来源均属原创文章,转载请注明:转自 谷尼软件
摘要:处于信息时代,人们对网页设计提出更多要求,但网页设计的艺术性、目的性、时代感并不突出,与宣传需要严重不符。对此,应根据实际设计要求,合理运用图像分割、图像编码压缩等图像处理技术,确保最佳网页设计效果。空间域处理阵列较大的图像,计算量也会随之增加;对此,借助沃尔什变换、傅立叶变换等多种图像
摘要:借助计算机程序,通过相应的设计、分析、建模和执行等一系列手段,将设计者所要表达的信息通过互联网展示出来,最终用户所浏览到的界面通常是图形的形式,这即是网页设计。换句话说,网页设计的目的便是产生用户所需要的网站以供浏览和阅读。通常来说,文字,图片以及表格这些简单的信息都可以放置到网站页面上。而矢
摘要:在ASP的开发过程中,基本不能在Unix等一系列的服务器上运行,而只能在微软的服务器产品中运行。然而,JSP在Apache的支持下,可以实现在Unix、Linux等其他很多操作系统中运行。除此之外,JSP是JAVA的一部分,使得它还具有只需编写一次,就能随时使用的特点。这个特点实地能够实现跨平台的移植,相对其他潍坊网站建设动
摘要:由于不同网站的配置、运行情况很不相同,所以监听网站前先要读取XML文件初始化参数,包括监听的网站目录、禁止上传的文件类型、日志位置、上传文件所在目录、发送短信参数等。监听工具服务程序使用Java的JNotify组件进行监控,程序运行后调用监控类,监控类继承于JNotifyListener接口,需要开发者重写fileRenamed、fi
摘要:随着互联网技术的迅速发展,人们越来越习惯于从各种网站获取信息,而网站作为信息传递的载体,其性能与服务方式对用户浏览体验极为重要。在新媒体技术的影响下,网络UI设计自然成为用户浏览体验的重要因素。UI是用户界面的简称,合理的UI设计可以通过软件操作呈现出舒适化与简单化,给人以美感。传统的网页设计都是通
摘要:当前社会信息技术高速发达,为了提高企业服务效率,为顾客提供最佳服务体验,企业都会建立专门的企业网站,这类网站将介绍企业基本信息、最新产品参数以及企业发展规划、人才招聘等信息。而网站的建立将成为企业壮大、发展的关键,因此为了提高企业网站的运行效率,在网站开发初期,需要针对网页搜索引擎做出优化,既
摘要:以前的搜索引擎主要根据内容与关键词匹配度来排名,关键词出现的频率将成为搜索引擎数据排名的重要参考依据。而随着引擎算法的提升,排序思想逐渐被淘汰,当下排序开始采用链接分析技术,针对链接分析排序算法而言,可以减少垃圾,也可以有效减少人为信息干预,提高数据的准确率。结构层可以突出信息的层次性,因此,
可是,他们却忽枧了为自己的企业建一个网站。在网络时代的今日,一个企业有没有自己的网站和一个公司的领导有没有手刺相同重要。一个中小型企业树立一个网站的必要性,咱们将从以下几点叙说。一、树立一个网站费用也比其它广告方法要低的多。如企业在报纸上做广告,半个版面,几天时刻就要花掉几十万。当然,网站和广告是两