安全测试之:探索Anonymous黑客攻击防范

发表于:2012-05-29来源:比特网作者:刘志乐点击数: 标签:Anonymous
大家一谈到黑客都会感觉到有点神秘,谈到Anonymous这个组织,实际上之前已经出现,它成立于20世纪初,当初为了报复法律对维基百科解密中央制裁之后形成的黑客组织,这个组织本身具有一种对社会的报复行为,这个组织在前面跟中国关系不是太大,但是随着中国这

  大家一谈到黑客都会感觉到有点神秘,谈到Anonymous这个组织,实际上之前已经出现,它成立于20世纪初,当初为了报复法律对维基百科解密中央制裁之后形成的黑客组织,这个组织本身具有一种对社会的报复行为,这个组织在前面跟中国关系不是太大,但是随着中国这两年经济的发展,一些敌对分子对我们中国仇视的心态,尤其今年Anonymous也逐步被中国人所知道,中国人一般都说它是匿名者攻击组织。这个组织还是做了一些骇人听闻的事情,比如说对国际上一些著名的公司,比如说Visa、万事达、索尼等等,这块在之前基本上是对世界上一些著名的政府组织去实行入侵的行为,但今年开始对中国数百家政府包括企业发起了疯狂的攻击行为,而且非常嚣张,号称在对数百家企业和政府攻击之后,还要进一步攻击。确实在攻击的过程当中,由于我们国内站点的安全意识薄弱,也给它们一些成功的机会,但是这块并不是太多,大家都知道,中国黑客的能力在世界上水平也还是可以的。

  我们看看Anonymous这个黑客组织,它到底有什么样的攻击手段?它的攻击技术是怎么样的?我们把它做一个分析之后发现,它的技术手段也没有多么的高明,只不过也是用一些网站存在的一些传统的网站SQL注入攻击,甚至为了这个组织下面一些人员比较好用,而且还专门做了一个AM虚拟机,这样的话本身也没有什么技术含量。

  通过这个分析之后,针对没有什么技术含量的一些攻击手段和技术,我们如何从整个生命周期去防范这样低水平的攻击?首先我们就要从网络的架构上去看我们怎么样去保证安全,在架构上如果能够保证安全的话,它基本上就可以起到一种保护墙。网站的架构,比如说要将WEB服务器放到专门的DMZ区,增加中间的服务器,防止WEB服务器被攻击以后影响后台数据库的安全,避免造成类似于去年“泄露门”事件再次发生。在防火墙上我们要配置完善的ACL策略,保证访问的安全,增加WEB应用防火墙,保证WEB应用的安全,增加数据库审计设备,当发生攻击的时候,我们可以快速追查这些原因。

  (图示)这是一个架构图,谈了这些架构安全以后,是不是我们就足够有能力抵挡住Anonymous这些组织对我们的攻击呢?并不全是,这只是在架构上达到了一个安全,因为应用是很复杂的,我们就要从应用来谈起,我们怎么样确保自身应用程序的安全?首先第一步要在开发的时候进行原代码安全的扫描设施,我们把安全前移,在原代码扫描做完之后,在传统QA只做功能性测试的时候,让它用专业的QA测试工具,在后台自动把安全测试给做了,本身作为QA人员并不一定就需要有安全的知识。在QA阶段之后,那就是上线部署,在上线指数之后我们要进行一系列上线安全部署设施,最后在上线部署测试过程当中正常运行的一些安全评估。同时有的时候我们不能确保百分之百的安全,我们可以交给专业的安全团队去做渗透测试,来验证自己系统安全足够的强健。

  首先在原代码安全测试这块它用到的技术,主要是通过对原代码静态的检测来揪出WEB应用程序的弱点,然后交代出这个弱点的来龙去脉,这样方便开发者在开发过程当中就能把这些安全问题进行修复。这块主要是通过源代码整个扫描,然后出一个报告,这是一个过程。上线部署后的安全性测试,首先是我们常用的黑盒的扫描,黑盒扫描可以把上线安全弱点检测起来,我们有WEB安全扫描器,它可以做这块工作。业务逻辑安全性测试,包括权限控制漏洞测试、逻辑顺序测试等等。

  日常运行中的安全评估刚才也已经说过了,不去多讲。

  渗透测试主要是通过专业的安全渗透小组,通过各种渗透测试工具,结合它自身渗透测试水平来模拟黑客行为对你的系统进行渗透测试,来保证你的系统除了技术上的原因,还比如通过社会工程学或者网站里面其他网络有问题,对你整个网站造成问题,就是从一个点扩大到一个面,然后去将所有的弱点揪出来,来保证整个网站的安全。

原文转自:http://www.ltesting.net