6.3　漏洞驗證技術

6.3.1　口令破解

實施口令破解應遵循如下要求：

a) 采用字典式攻擊方法生成哈希值；

b) 采用混合攻擊方法生成哈希值，以字典式攻擊的方法為基礎，在字典中增加數字、符號字符等，如使用字符和數字來代替字母，在單詞的詞首或詞尾上添加字符；

c) 采用彩虹表的方法，使用預先計算好的哈希值查找表。

6.3.2　滲透測試

滲透測試要求如下：

a) 宜側重找出在應用程序、系統或網絡中設計并實施的缺陷；

b) 應充分考慮并模擬內部攻擊、外部攻擊；

c) 盡可能采用遠程訪問測試方法；

d) 如果內部和外部測試都要執行，則應優先進行外部測試；

e) 應在評估者達到當其行為會造成損害的時間點時即停止滲透測試；

f) 通過滲透測試的攻擊階段，應能確認以下幾類漏洞的存在：

1) 系統/服務類漏洞。由于操作系統、數據庫、中間件等為應用系統提供服務或支撐的環境存在缺陷，所導致的安全漏洞。如緩沖區溢出漏洞、堆/棧溢出、內存泄露等，可能造成程序運行失敗、系統宕機、重新啟動等后果，更為嚴重的，可以導致程序執行非授權指令，甚至取得系統特權，進而進行各種非法操作；

2) 應用代碼類漏洞。由于開發人員編寫代碼不規范或缺少必要的校驗措施，導致應用系統存在安全漏洞，包括SQL注入、跨站腳本、任意上傳文件等漏洞；攻擊者可利用這些漏洞，對應用系統發起攻擊，從而獲得數據庫中的敏感信息，更為嚴重的，可以導致服務器被控制；

3) 權限旁路類漏洞。由于對數據訪問、功能模塊訪問控制規則不嚴或存在缺失，導致攻擊者可非授權訪問這些數據及功能模塊。權限旁路類漏洞通常可分為越權訪問及平行權限，越權訪問是指低權限用戶非授權訪問高權限用戶的功能模塊或數據信息；平行權限是指攻擊者利用自身權限的功能模塊，非授權訪問或操作他人的數據信息；

4) 配置不當類漏洞。由于未對配置文件進行安全加固，僅使用默認配置或配置不合理，所導致的安全風險。如中間件配置支持PUT方法，可能導致攻擊者利用PUT方法上傳木馬文件，從而獲得服務器控制權；

5) 信息泄露類漏洞。由于系統未對重要數據及信息進行必要的保護，導致攻擊者可從泄露的內容中獲得有用的信息，從而未進一步攻擊提供線索。如源代碼泄露、默認錯誤信息中含有服務器信息/SQL語句等均屬于信息泄露類漏洞；

6) 業務邏輯缺陷類漏洞。由于程序邏輯不嚴或邏輯太復雜，導致一些邏輯分支不能夠正常處理或處理錯誤。如果出現這種情況，則用戶可以根據業務功能的不同進行任意密碼修改、越權訪問、非正常金額交易等攻。

注：有關滲透測試階段、滲透測試方案、滲透測試風險及滲透測試風險規避參見附錄A。

6.3.3　遠程訪問測試

遠程訪問測試應遵循如下要求：

a) 發現除VPN、SSH、遠程桌面應用、撥號調制解調器之外是否存在其他的非授權的接入方式；

b) 發現未授權的遠程訪問服務。評估者可通過端口掃描定位經常用于進行遠程訪問的公開的端口，通過查看運行的進程和安裝的應用來手工檢測遠程訪問服務；

c) 檢測規則集來查找非法的遠程訪問路徑。評估者應檢測遠程訪問規則集，如VPN網關的規則集，查看其是否存在漏洞或錯誤的配置，從而導致非授權的訪問；

d) 測試遠程訪問認證機制。評估者應在訪問前確認是否需要獲得認證授權。評估者可嘗試默認的賬戶和密碼或暴力攻擊（使用社會工程學的方法重設密碼來進行訪問），或嘗試通過自助的服務認證程序來重設密碼從而獲得訪問權限；

e) 監視遠程訪問通信。評估者可以通過網絡嗅探器監視遠程訪問通信。如果通信沒有被保護，那么評估者可能利用這些數據作為遠程訪問的認證信息，或者將這些數據作為遠程訪問用戶發送或接收的數據；

f) 主動或入侵性遠程訪問測試，應盡量放在對遠程訪問系統產生干擾較少的時間段進行。