对于网络应用的安全测试中什么最重要

对于网络应用的安全测试中什么最重要

作者：杜莉　来源：赛迪网

跟其他商业分析一样，网络应用的安全测试也有三个可能的结果：你的测试结果，你的漏洞评估以及真相。

不管用的是商用还是免费的扫描器，你都能收集到很多信息，从而发现这些网络应用的漏洞。问题是，其中可能有很多不是很严重的漏洞。无论营销方案还是precanned安全策略和报告，当需要从测试结果中整理出真正有威胁的漏洞时，你都应当从公司的网络，商业需求和能承受风险的大小这些方面来考虑。

网络安全应用测试工具极其聪明，它们能够在数分钟内发现那些世界上最好的黑客也需要花数小时，数月或者更多的时间才能找出的漏洞。当你拿到测试结果后，你需要决定什么才是至关重要的。某些没有经验的网络应用安全顾问、安全管理服务商以及审计员，他们在进行漏洞评估扫描后，直接把结果交给客户，并声称客户的系统有一大堆的漏洞需要修复。类似的，还有的网管看到测试工具找到的一大堆漏洞后大惊失色。他们会认为问题非常严重，并且立即跑去申请更多的预算来购置更多技术来解决这些问题。

即使你希望人们重视你的测试结果，你也无需用这样的方式表达，尤其是在你身为经理人或者开发人员的情况下。你得退一步，从全局角度考虑问题，结合公司的具体情况来分析这些评估结果。也就是说，你得换个角度（例如，从防火墙内侧而不是从外侧考虑）看待联机（或者通过漏洞连接）或者手动进行攻击的问题。

除非你的测试工具确实利用某漏洞进行了攻击，并将结果呈献给你，否则你必须深入研究漏洞评估的结果，并且确定什么才真正构成威胁。

下面是些网络应用安全漏洞的实例。你可以把这些情况称为假阳性，失察，妄想或者其他的——归根结底，它们都是表面上看起来很严重，但其实跟本不构成威胁。

漏洞评估发现1：发现SQL注入漏洞，它可能允许黑客访问数据库。

结果：进行适当的用户输入验证后，没有什么数据真的被人窃取。

漏洞评估发现2：由于没有在登陆页面上进行SSL（安全连接），会话ID和登陆信息是以文本形式发送的，黑客有可能截获这些信息。

结果：网管仍然没有在服务器上使用数字签名。

漏洞评估发现3：黑客有可能利用网络服务器软件的缓存溢出漏洞远程地在服务器上运行command命令行。

结果：使用可靠的防火墙和入侵检测系统后，服务器可以对所有传输开放而无需担心任何威胁。

漏洞评估发现4：微软FrontPage虚拟目录，FTP目录等等。

结果：设置适当的目录权限就可以阻止实际的访问。

漏洞评估发现5：发现带.old扩展名的备份文件，它有可能导致源码泄露和攻击。

结果：这些是以前的可执行文件，文档还有主页，跟安全威胁一点关系也没有。

漏洞评估发现6：安装了过期版本的Apache网络服务器，这将导致一系列漏洞以及对系统的无授权访问。

结果：系统中根本找不到Apache。

漏洞评估发现7：在Google黑客数据库（GHDB）中发现的文件，链接以及邮件地址能够泄露敏感信息。

结果：这些文件文件，链接以及邮件地址是网络应用进行操作时必须的。

漏洞评估发现8：人们可以通过访问Macromedia Dreamweaver远程数据库脚本来执行任意SQL查询。

结果：只有当用户以管理者/网管身份登陆的时候，他们才能够访问到这些文件。

有些漏洞看起来似乎是良性的，但是不考虑背景的话，人们还是有可能犯大错。比如，同一个漏洞在相对安全的网络应用中，跟处在监听不当的网络应用中安全性是完全不一样的，后者可能引发不必要的冲突，从而导致时间、精力以及金钱的浪费。

在考虑对网络应用的安全性进行测试和改进的时候，你应当集中关注最紧急最重要的问题。你得找出攻击者在你的公司的典型工作情景下能够利用的漏洞。到下周之前，你需要解决的是什么问题？哪些问题可以等一个月或者更长时间之后解决？哪些问题根本不需要解决？这些需要你结合自己公司的具体情况来考虑。不是说让你忽略其他问题，我们只是认为你得抓住主要矛盾而不是针对那些有可能永远不会被黑客们利用或者没有攻击价值的漏洞。

无论你的网络应用有多安全，总有些人能够发现攻击这些应用的方法。因此，你不得不使用重重的安全控制措施，比如防火墙，IPS，输入验证，严格的认证要求，最低访问控制，坚固的网络服务器以及操作系统，系统监控等等。这样，即使某一种防御失败了，你还有半打其他的保护措施来应对。

透彻地分析漏洞评估，而不是不加思考地接受所有结果，这样你的网络应用安全测试将进入更高的水平。让管理层知道，你不仅能从商业角度平衡应用安全与现实的关系，更重要的是你还能够减轻自己、团队以及开发人员的工作量，因此所有人都能够专注于真正重要的方面。

熟知当今最流行的网络攻击的六大趋势

作者：黑客基地　来源：黑客基地

在最近几年里，网络攻击技术和攻击工具有了新的发展趋势，使借助Internet运行业务的机构面临着前所未有的风险，本文将对网络攻击的新动向进行分析，使读者能够认识、评估，并减小这些风险。

趋势一：自动化程度和攻击速度提高

攻击工具的自动化水平不断提高。自动攻击一般涉及四个阶段，在每个阶段都出现了新变化。扫描可能的受害者。自1997年起，广泛的扫描变见惯。目前，扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。损害脆弱的系统。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。传播攻击。在2000年之前，攻击工具需要人来发动新一轮攻击。目前，攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播，在不到18个小时内就达到全球饱和点。攻击工具的协调管理。随着分布式攻击工具的出现，攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具。目前，分布式攻击工具能够更有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。

趋势二：攻击工具越来越复杂

攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。攻击工具具有三个特点：反侦破，攻击者采用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多；动态行为，早期的攻击工具是以单一确定的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为；攻击工具的成熟性，与早期的攻击工具不同，目前攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的攻击，且在每一次攻击中会出现多种不同形态的攻击工具。此外，攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。许多常见攻击工具使用IRC或HTTP(超文本传输协议)等协议，从入侵者那里向受攻击的计算机发送数据或命令，使得人们将攻击特性与正常、合法的网络传输流区别开变得越来越困难。

趋势三：发现安全漏洞越来越快

新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修补这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。

趋势四：越来越高的防火墙渗透率

防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙，例如，IPP(Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。

趋势五：越来越不对称的威胁

Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高，威胁的将继续增加。

趋势六：对基础设施将形成越来越大的威胁

基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务，基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。

拒绝服务攻击利用多个系统攻击一个或多个受害系统，使受攻击系统拒绝向其合法用户提供服务。攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块，电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。由于Internet是由有限而可消耗的资源组成，并且Internet的安全性是高度相互依赖的，因此拒绝服务攻击十分有效。蠕虫病毒是一种自我繁殖的恶意代码。与需要用户做某种事才能继续繁殖的病毒不同，蠕虫病毒可以自我繁殖。再加上它们可以利用大量安全漏洞，会使大量的系统在几个小时内受到攻击。一些蠕虫病毒包括内置的拒绝服务攻击载荷或Web站点损毁载荷，另一些蠕虫病毒则具有动态配置功能。但是，这些蠕虫病毒的最大影响力是，由于它们传播时生成海量的扫描传输流，它们的传播实际上在Internet上生成了拒绝攻击，造成大量间接的破坏(这样的例子包括：DSL路由器瘫痪；并非扫描本身造成的而是扫描引发的基础网络管理(ARP)传输流激增造成的电缆调制解制器ISP网络全面超载)。

DNS是一种将名字翻译为数字IP地址的分布式分级全球目录。这种目录结构最上面的两层对于Internet运行至关重要。在顶层中有13个“根”名服务器。下一层为顶级域名(TLD)服务器，这些服务器负责管理“.com”、“.net”等域名以及国家代码顶级域名。DNS面临的威胁包括：缓存区中毒，如果使DNS缓存伪造信息的话，攻击者可以改变发向合法站点的传输流方向，使它传送到攻击者控制的站点上；破坏数据，攻击者攻击脆弱的DNS服务器，获得修改提供给用户的数据的能力；拒绝服务，对某些TLD域名服务器的大规模拒绝服务攻击会造成Internet速度普遍下降或停止运行；域劫持，通过利用客户升级自己的域注册信息所使用的不安全机制，攻击者可以接管域注册过程来控制合法的域。路由器是一种指挥Internet上传输流方向的专用计算机。路由器面临的威胁有：将路由器作为攻击平台，入侵者利用不安全的路由器作为生成对其他站点的扫描或侦察的平台；拒绝服务，尽管路由器在设计上可以传送大量的传输流，但是它常常不能处理传送给它的同样数量的传输流，入侵者利用这种特性攻击连接到网络上的路由器，而不是直接攻击网络上的系统；利用路由器之间的信赖关系，路由器若要完成任务，就必须知道向哪里发送接收到的传输流，路由器通过共享它们之间的路由信息来做到这点，而这要求路由器信赖其收到的来自其他路由器的信息，因此攻击者可以比较容易地修改、删除全球Internet路由表或将路由输入到全球Internet路由表中，将发送到一个网络的传输流改向传送到另一个网络，从而造成对两个网络的拒绝服务攻击。尽管路由器保护技术早已可供广泛使用，但是许多用户没有利用路由器提供的加密和认证特性来保护自己的安全。

安全攻略　探秘全新一代安全接入技术

作者：hanbin　来源：赛迪网技术社区

当传统的终端安全技术（Antivirus、Desktop Firewall…etc.）努力保护被攻击的终端时，它们对于保障企业网络的可使用性却无能为力，更不要说能确保企业的弹性与损害恢复能力。针对于此，目前出现了几种安全接入技术，这些技术的主要思路是从终端着手，通过管理员指定的安全策略，对接入私有网络的主机进行安全性检测，自动拒绝不安全的主机接入保护网络直到这些主机符合网络内的安全策略为止。目前具有代表性的技术包括：思科的网络接入控制NAC技术，微软的网络接入保护技术NAP以及TCG组织的可信网络连接TNC技术等。综上所述，NAC和NAP的优势在于其背后拥有思科、微软这样的网络与操作系统的巨头，这些技术将随着其下一代产品同时绑定发布。NAC目前已经随思科的新一代网络设备一起，在2004年开始推向市场，而NAP则计划于2006年年底，随微软的Windows Vista操作系统一起，推向市场。而TNC的优势在于其开放性，目前TNC规范已经发展到1.1版本，TCG组织的成员都可以对其提出自己的意见，并且由于技术的开放，所以国内厂商也可以自主研发相关产品，例如之前的TPM一样，可以拥有自主知识产权。

NAC技术

网络接入控制（Network Access Control，简称NAC）是由思科（Cisco）主导的产业级协同研究成果，NAC可以协助保证每一个终端在进入网络前均符合网络安全策略。NAC技术可以提供保证端点设备在接入网络前完全遵循本地网络内需要的安全策略，并可保证不符合安全策略的设备无法接入该网络、并设置可补救的隔离区供端点修正网络策略，或者限制其可访问的资源。

NAP技术

网络访问保护NAP技术(Network Access Protection)是为微软下一代操作系统Windows Vista和Windows Server Longhorn设计的新的一套操作系统组件，它可以在访问私有网络时提供系统平台健康校验。NAP平台提供了一套完整性校验的方法来判断接入网络的客户端的健康状态，对不符合健康策略需求的客户端限制其网络访问权限。为了校验访问网络的主机的健康，网络架构需要提供如下功能性领域：健康策略验证：判断计算机是否适应健康策略需求。网络访问限制：限制不适应策略的计算机访问。自动补救：为不适应策略的计算机提供必要的升级，使其适应健康策略。

动态适应：自动升级适应策略的计算机以使其可以跟上健康策略的更新。

TNC技术

可信网络连接技术TNC（Trusted Network Connection）是建立在基于主机的可信计算技术之上的，其主要目的在于通过使用可信主机提供的终端技术，实现网络访问控制的协同工作。又因为完整性校验被终端作为安全状态的证明技术，所以用TNC的权限控制策略可以估算目标网络的终

端适应度。TNC网络构架会结合已存在的网络访问控制策略（例如802.1x、IKE、Radius协议）来实现访问控制功能。TNC构架的主要目的是通过提供一个由多种协议规范组成的框架来实现一套多元的网络标准，它提供如下功能：平台认证：用于验证网络访问请求者身份，以及平台的完整性状态。

终端策略授权：为终端的状态建立一个可信级别，例如：确认应用程序的存在性、状态、升级情况，升级防病毒软件和IDS的规则库的版本，终端操作系统和应用程序的补丁级别等。从而使终端被给予一个可以登录网络的权限策略从而获得在一定权限控制下的网络访问权。访问策略：确认终端机器以及其用户的权限，并在其连接网络以前建立可信级别，平衡已存在的标准、产品及技术。评估、隔离及补救：确认不符合可信策略需求的终端机能被隔离在可信网络之外，如果可能执行适合的补救措施。

对比分析

以上可以看出，NAC、NAP和TNC技术的目标和实现技术具有很大相似性。首先，其目标都是保证主机的安全接入，即当PC或笔记本接入本地网络时，通过特殊的协议对其进行校验，除了验证用户名密码、用户证书等用户身份信息外，还验证终端是否符合管理员制定好的安全策略，如：操作系统补丁、病毒库版本等信息。并各自制定了自己的隔离策略，通过接入设备（防火墙、交换机、路由器等），强制将不符合要求的终端设备隔离在一个指定区域，只允许其访问补丁服务器进行下载更新。在终端主机没有安全问题后，再允许其接入被保护的网络。其次，三种技术的实现思路也比较相似。都分为客户端、策略服务以及接入控制三个主要层次。NAC分为：Hosts Attempting Network Access、Network Access Device、Police Decision Points三层；NAP分为：NAP客户端、NAP服务器端、NAP接入组件（DHCP、VPN、IPsec、802.1x）；TNC分为AR、PEP、PDP三层。同时，由于三种技术的发布者自身的背景，三种技术又存在不同的偏重性。NAC由于是CISCO发布的，所以其构架中接入设备的位置占了很大的例，或者说NAC自身就是围绕着思科的设备而设计的；NAP则偏重在终端agent以及接入服务组件），这与微软自身的技术背景也有很大的关联；而TNC技术则重点放在与TPM绑定的主机身份认证与主机完整性验证，或者说TNC的目的是给TCG发布的TPM提供一种应用支持。从发展上来说，目前NAC与NAP已经结为同盟，即网络接入设备上采用思科的NAC技术，而主机客户端上则采用微软的NAP技术，从而达到了两者

互补的局面，有利于其进一步发展。而TNC则是由TCG组织成员Intel、HP、DELL、Funk等企业提出的，目标是解决可信接入问题，其特点是只制定详细规范，技术细节公开，各个厂家都可以自行设计开发兼容TNC的产品，并可以兼容安全芯片TPM技术。