渗透测试在办公网站开发的应用研究

张如云（江苏安全技术职业学院　徐州　221011）



渗透测试在办公网站开发的应用研究

张如云
（江苏安全技术职业学院徐州221011）

摘要随着软件开发技术的快速发展，办公网站的结构日趋复杂，办公面临的安全威胁、威胁的主体及其动机和能力、威胁的客体等方面都变得更加复杂和难于控制。应对安全威胁的途径之一就是采用渗透测试的方法模拟黑客的攻击，本文介绍了渗透测试的定义和目的，介绍了渗透测试的类型，分析了渗透测试过程中的风险控制，阐述了渗透测试的一般步骤，强调了渗透测试的注意事项，最后，对渗透测试进行了总结。对软件开发者对办公网站进行渗透测试具有较强的指导意义。

关键词渗透测试办公网站开发应用研究

当办公系统被部署到办公网站上时，其会面对成千上万的测试，其中不乏来自黑客的“恶意”攻击，办公系统提供的服务越多，遭受攻击的概率就越高。虽然就“安全系统开发生命周期”问题而言，办公系统从一开始规划就必须注重相关的安全防护，但一组办公系统的成型要经过许多人之手，如何保证每个人都尽到安全防护的责任呢？对系统又该如何验证呢？况且每天都有新的缺陷、漏洞被发现，如何判断原本安全的办公系统是否存在新的漏洞呢？要完成这些任务，就需要依靠良性测试-渗透测试来完成。

一、渗透测试的涵义

所谓渗透测试［1］，就是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，其从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。渗透测试有两个显著特点：（1）渗透测试是一个渐进的并且逐步深入的过程。（2）渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。

二、渗透测试的目的

1、解入侵者可能利用的途径，一般有如下途径

（1）信息不当；

（2）网络架构存在设计问题；

（3）防火墙设置存在问题；

（4）系统和应用程序之中存在漏洞；

（5）系统和应用程序设置存在问题。

2、了解系统及网络的安全强度

从三个方面进行评估：

（1）评估具有同等能力的入侵者大约需要花费多久的时间才能入侵成功；

（2）评估遭到入侵后可能造成的影响；

（3）评估信息通信安全政策的落实程度。

3、了解办公系统存在的弱点，强化其安全

（1）强化系统及网络的安全；

（2）降低遭到入侵后的损失。

三、渗透测试的类型

渗透测试是利用黑客的观点、技术、工具［2］对目标系统仿照黑客的攻击手段，以找出本系统的缺陷或漏洞，并提供客户修补建议，以作为系统强化的手段，因此，渗透测试不是要击垮系统，而是找出弱点作为改善的依据，进行渗透测试时，根据甲方和乙方对测试内容的熟练程度，可分为5种类型。

1、黑箱

甲方只提供受测目标的名称或URL，乙方必须在测试活动期间自行搜集其他相关信息。感觉上，除了知道敌人是谁外，其他如敌人的部署、配备、数量全部未知，就像拿到一只看不透的黑箱子，使用黑箱测试，是在考验乙方的黑客技巧，因为这种模式最接近实际黑客攻击的情况。

2、白箱

甲方会尽可能提供标靶的信息，让乙方尽可能将精力放在找出受测系统的缺陷（漏洞）上，因为乙方知晓受测目标的部署情况，可事先拟好策略，就像拿到一只透明的箱子，可以知道箱子里放的是什么东西。使用白箱测试，是在考验系统的安全防护能力。

3、灰箱

当然，有时候甲方并不是非常清楚受测系统的信息，例如一些外包开发的系统，若无法主动提供完整的受测目标信息，乙方就无法事先取得系统信息，不过甲方还是尽可能协助乙方取得相当多的信息，所以灰箱测试是介于黑箱和白箱之间的测试。

4、双黑箱

有时，甲方想尽可能以模拟黑客攻击的情景进行测试，不仅要测验系统的防护能力，同时也要测试乙方人员的警觉性或应变能力，在对内部人员保密的情况下，暗地委托乙方进行渗透测试操作，相关人员并不知道渗透测试的进行，而乙方亦无法得到详细的受测系统信息，因此，攻防双方都在暗地里较劲。

5、双白箱

双方都知道彼此的存在，最主要的目的是乙方协助甲方找出并确认系统漏洞。

相对而言，陆军的BIM发展政策最为完善和系统化。 而其中起决定性作用的是美国陆军工程兵部队 (US Army Corps of Engineers，USACE)。 陆军工程兵部队为美国国防部下属所有国内和海外军事设施提供工程设计、项目管理、施工管理以及运行维护服务。早在2006年10月，陆军工程兵部队下属工程研究与发展中心 (Engineer Research and Development Center，ERDC) 制定并发布了未来15年的BIM发展路线规划，承诺未来所有军事建筑项目都使用BIM技术，其阶段性的目标和长期战略目标见图2。 这意味着BIM在军事建筑领域将全面普及。

四、渗透测试中的风险控制

由于渗透测试模拟了真实的攻击者，所以有可能对网络本身的正常运行造成损害。为了减少或消除渗透测试本身对网络运行的消极影响，有必要对渗透测试的风险［3］进行控制。

渗透测试可能带来如下风险：一是高强度的扫描导致网络流量和主机资源占用较大，可能导致系统异常；二是口令破解，例如弱口令测试，可能导致违反系统安全策略，导致用户账户锁定；三是由于应用系统的复杂性，系统测试可能会导致系统配置变化，从而发生业务异常；四是用户信息泄漏给被测系统带来的风险。

渗透测试过程中可能对业务产生影响，可采取以下措施来减小风险：一是渗透测试工具必须在测试环境中进行严格测试，在关键系统的渗透测试中，应慎用对目标系统有损伤性的渗透工具；二是为减轻渗透测试对网络和主机的影响，渗透测试时间尽量安排在业务量不大的时段进行；三是为防止在渗透测试过程中出现异常的情况，测试执行应根据业务需要做好充分的备份，以便在测试过程中系统发生异常能及时恢复；四是对于不能接受任何可能风险的系统，应在镜像系统中进行测试；五是应严格控制扫描策略，不使用含有拒绝服务的测试策略；六是应严格控制操作流程，测试人员应严格按照渗透测试方案来操作，并详细记录渗透结果日志。

五、渗透测试的步骤

1、测试前的准备

进行渗透测试之前，应先跟甲方协商测试范围、测试期间及时段、测试方法或使用工具、测试判定条件等。

2、启动会议

依据执行计划书规划的时间，在进行测试之前由甲方与乙方的相关人员共同召开会议，乙方于会议中说明预计进行事项及时间规划，若甲方对乙方的说明事项无异议时，即宣布测试操作正式开始。

3、信息搜集

4、网络与主机扫描

确定受测目标的IP后，可尝试跟受测目标互动，以取得打开的端口列表、使用的操作系统、网络应用程序的名称与版本、是否存在已知的缺陷，如果可以，甚至可找出网站的负责人、维护人员，或潜在用户的信息，这将对猜测系统的账号、密码有帮助。

5、弱点利用

在上一步骤中找到任何可疑的漏洞，都是此阶段应加以验证的地方。利用这些可能存在的缺陷，尝试取得系统的控制权或存取敏感数据的能力。

6、入侵之后

该步骤不一定要执行。如果真要执行，应事先跟甲方说明潜在的风险，任何植入的后门或行踪隐藏动作，都可能被转移成黑客入侵的通道或无意间清除黑客入侵的痕迹。

7、纂写渗透测试报告

渗透测试操作完成后，需提交一份报告书给甲方，其报告应包括如下内容：

（1）测试的过程记录；

（2）所有缺陷及其造成的影响，若为误判，应说明无法进行达成渗透的测试步骤；

（3）缺陷或漏洞的风险等级及修补建议。

8、召开结案会议

测试完成后，双方召开结案会议，由乙方在会议中报告执行的过程及结果，并提出修正或防护建议，即将渗透测试报告书的内容摘录成简报，由甲方确认测试结果，若甲方对报告内容无异议，即可完成渗透测试项目。

六、有关渗透测试的注意事项

1、是“健康检查”，而不是攻击

渗透测试［4］是为了提升甲方系统的安全性，尽早挖掘现存的缺陷，作为改善的依据，而执行渗透测试必须兼顾系统服务的持续进行，要事先制定因进行测试造成系统停止服务的处理对策。

2、是稽查，而不是窃取

渗透测试可印证甲方在信息安全政策方面的落实情况，是一种稽查行为，渗透测试结束后，相关信息必须完全交给甲方，作为甲方持续改进信息通信安全的策略参考，除非经甲方同意，否则不该留存副本。

3、防护是测试的目的

渗透测试发现的弱点，必须提出相应的防护对策，以供甲方参考。

七、结论

总之，渗透测试能够通过识别安全问题来帮助一个单位理解当前的安全状况。这使促使许多单位开发操作规划来减少攻击或误用的威胁。撰写良好的渗透测试结果可以帮助管理人员建立可靠的商业案例，以便证明所增加的安全性预算或者将安全性问题传达到高级管理层。安全性［5］不是某时刻的解决方案，而是需要严格评估的一个过程。安全性措施需要进行定期检查，才能发现新的威胁。渗透测试可使许多单位重视他们最需要的内部安全资源。

参考文献

［1］曹鑫，路遥，贺宏.基于渗透测试的SQL注入漏洞检测与防范［J］.科学与财富，2016（1）：582.

［2］田立军渗透性测试技术及方法研究［J］.铁路计算机应用，2015（2）：8-12.

［3］黄伟军.基于渗透测试的信息安全风险评估过程［J］.中国管理信息化，2015（15）：99-102.

［4］董晓露，王小军，王玥，王聪，孙雯，谢于宁.基于WebGoat的渗透测试教学平台开发与应用［J］.大众科技，2015（3）：131-133+158.

［5］刘翠.渗透测试技术的应用分析［J］.产业与科技论坛，2014（11）：65-66.

The Applied Research on Penetration Testing in the Office Website Development

Zhang Yuyun
（Jiangsu Security Technology Career AcademyXuzhou221011）

AbstractWith the rapid development of the software development technology，office site structure is complicated，the body of the office of the security threats and threats and their motivation and ability in such aspects as the object of threats and become more complicated and difficult to control. One way to deal with security threats is penetration testing methods are adopted to simulate the hacker's attack，the definition and purpose of this paper introduces the penetration testing，this paper introduces the types of penetration testing，penetration testing is analyzed in the process of risk control，this paper expounds the general steps of penetration testing，penetration testing is emphasized considerations，in the end，the penetration test are summarized. For software developers penetration test was carried out on the office website has strong guiding significance.

KeywordsPenetration testingOffice websiteDevelopmentApplicationResearch

中图分类号TP311.52

文献标识码A

文章编号160311-7223

作者简介

张如云（1979～），女，汉，江苏南通人，教研室主任，副教授；主要研究方向：电子商务。