创建云迁移测试策略指南
| 正式的框架可以帮助IT团队制定云迁移测试策略,并确保应用程序在云端正常运行。让我们来看看需要关注的主要领域、需要遵循的最佳做法以及可能出现的问题和解决办法。 |
企业将应用程序迁移到云端可能是一项独特的挑战。用户不直接与服务器或本地IT基础架构的其他底层组件进行交互,在云端,每个人都可以看到并使用应用程序。因此,应用程序测试是所有云迁移的关键部分。
正式的框架可以帮助IT团队制定云迁移测试策略,并确保应用程序在云端正常运行。让我们来看看需要关注的主要领域、需要遵循的最佳做法以及可能出现的问题和解决办法。
为什么云迁移测试很重要?
云迁移测试可帮助IT团队确保应用程序在迁移到云端后继续正常运行,并确保更好的用户体验。为此,他们必须衡量应用程序在迁移前后的性能,它如何在本地运行,以及它迁移到云端后如何工作。
云迁移测试的指标有助于识别和量化任何问题,否则,基于猜测的对比会消耗IT员工的时间和资源。关键指标包括应用程序启动时间和响应时间、高峰需求和非工作时间的性能以及各种平台(台式机、远程连接和移动设备)上的可用性。
此外,云供应商可能会发布更新,这可能导致你的应用出现性能问题。通过你的测试指标验证这一点,并与你的云提供商合作,找出发生了什么以及哪些调整将纠正这些问题。
最后,云迁移测试揭示IT团队可以在哪里调整性能或UX,以证明将应用程序保留在云端的合理性。
云迁移测试与传统应用程序测试有何不同
测试本地应用程序与测试迁移到云端的应用程序的主要区别在于,你必须适应云计算的可扩展性,以及额外的集成和依赖关系。有些集成可能难以识别和理解。你的云测试框架可能与用于测试本地内容的框架不同,并且某些工具可能不同,例如负载测试或渗透测试。
但请记住,从本地到云端,测试的实际最终目标不应该改变。不同的目标或指南意味着不再具有可比性。使用很多相同的步骤和工具来清晰地展示你将应用程序迁移到云端的努力,对测试框架或方法的更改可能会影响结果。
云迁移测试类型
云迁移测试的目标不是测试所有可能的特性和功能,但你需要可靠的测试和指标结果,以确保你的应用程序按预期运行。对于云迁移,下面几种不同类型的测试尤为重要:
功能验证。确认构建满足组件和服务功能的要求,对云迁移工作的两边。任何遗漏的东西都会很快凸显。
性能。这涉及几个指标来衡量应用程序在现实条件下的表现:处理数据量、容量负载以及CPU和内存使用情况的能力。
集成。你的应用程序可能与其他服务和应用程序相关联,以在云端和本地(可能两者兼有)中共享数据。IT团队必须验证这些连接在云端是否仍然有效。如果相关服务位于不同的云端或保留在本地,这可能会很棘手。
其他需要测试的方面:如果你的应用程序有专用门户或需要调整界面才能在移动设备上运行,请在Android和Apple平台上进行测试。对于云迁移的应用程序和在本地运行的应用程序来说都是如此。测试每种可能的设备类型可能不可行,因此请与你的用户群一起确定最佳的移动平台。
此外,在蜂窝网络和Wi-Fi网络上进行测试,因为不同的数据速度会影响应用程序的行为。在你公司的Wi-Fi网络之外执行此操作,网络内部访问服务的方式可能与外部Wi-Fi网络不同,这可能导致应用程序运行不同或根本不运行。
最后,测试可打印性,是的,人们仍然会打印,对于某些人来说,这是一项关键的工作职能。不要低估这个潜在的具有挑战性的技术问题。从基于云的应用程序打印到本地打印机会遇到你在本地没有的安全和网络挑战。
云迁移测试的安全注意事项
在你开始将应用程序从本地迁移到云端前,应该进行适当的应用程序安全审计和对最终用户权限的调整。你最不想做的就是引入额外的更改,而影响应用程序的工作方式及其相互依赖性。
你的云迁移测试应包括安全验证,以确认三个关键因素:
(1) 谁有权访问该应用程序?从用户将访问的帐户和特性/功能开始。添加更多变量不会帮助或加速测试, 因此,随着横向移动,最终用户的访问应该反映他们在本地应用程序所拥有的内容,不多也不少。
(2) 你如何确保最小特权?当你的数据在云端的不同服务之间移动时,哪些步骤可以确保最小特权?云供应商提供服务和报告来帮助你解决此问题;请花时间学习和使用它们。
(3) 安全更改会影响应用程序吗?进行安全更改后始终重新运行应用程序测试,因为这些更改可能会影响性能。例如,移动中和静止时的数据加密会改变应用程序的响应时间,还是会增加CPU周期的开销?这可以是完整测试的子集,但你必须重新验证应用程序仍然可以正常工作,并且你的安全更改不会使应用程序脱机。
云迁移测试中的7个常见挑战 – 以及解决这些挑战的最佳做法
无论事情进展得多么顺利,应用程序测试都是一项挑战。尽管你执行所有计划和测试,但你仍会遇到问题。没有什么事情会像你希望的那样顺利,但大多数问题都是可以解决的。
挑战#1:如何确定应用程序测试指标的优先级
应用程序的用户体验和安全性对整个应用程序很重要,但最终应用程序必须按预期工作。缺乏核心功能的应用程序,即使它绝对安全或对用户来说非常精简,也没有任何好处。
最佳做法:平衡设计和安全性与关键功能。花时间和精力在云迁移过程的早期解决所有因素:功能、用户体验和安全性。这些不是你可以在不同阶段处理的单独方面;它们是相互关联的,你必须在早期处理。
挑战#2:不要为了让应用程序运行而偷工减料
确保应用程序在云端正常运行至关重要,但不要为了实现短期目标而养成不良习惯。IT团队可能会减少或删除安全控制,以使应用程序在新环境中正常运行,然后忘记恢复这些保护措施。这最初可能会节省时间,但会在以后创建更多和复杂的工作,并使整体测试更加困难。
最佳做法:从一开始就规划安全性。经常会出现安全权限问题,并且可能会阻碍应用程序的功能,但要抵制下意识的反应,以进行大规模更改以使事情立即运行。在你的云迁移计划中留出时间来解决这些问题。
挑战#3:仅靠IT无法进行云迁移测试
云迁移是一项复杂的工作,需要很多专业领域人员来确保迁移的应用程序可以大规模安全地运行。IT肩负着重大责任,他们可以帮助领导这些工作,但如果没有开发方面的专业知识,你就不能只关注技术方面的问题。
最佳做法:组建多元化的测试团队。组建跨职能团队以提供应用支持,并识别可能的问题。你的团队必须灵活,你需要内容专家来确保所有方面都得到关注。在会议中,对项目分门别类,这样你就不会因为过多的信息而使每个人负担过重,有些人可能会感到无聊或无法理解超出他们专业知识的技术问题。
挑战#4:抵制“简单”更新和范围蔓延
为迁移到云端的应用程序启用加密可能看起来很理想,而且看似简单。但请注意:任何更改都可能在不知不觉中影响应用程序操作的很多其他方面,并增加技术问题和成本。迁移测试中的这种范围或功能蔓延可能会迅速扩大到不可持续的水平。
最佳做法:测试和审查附加功能。首先,对于应用程序核心功能,请尝试坚持原始计划,测试阶段不是功能扩展的时间或地点。如果你必须添加任何小的新特性或功能,请让每个人都同意并测试和审查这些更改,以了解其更广泛的影响。
挑战#5:平衡测试节奏与竞争优先级
理想情况下,你应该执行持续的安全测试和至少每周测试以验证数据和处理错误日志。不幸的是,IT和管理层的金钱、时间和不断变化的优先级可能会推翻这些计划。云使用的每一秒都要花钱。员工需要时间和金钱,在应用程序发布后,大多数运营和开发团队都会转移到其他项目。
最佳做法:围绕重大更新进行计划,并推动更多更新。 IT总能找到方法利用可用资源来满足所需要求。对于云迁移测试,试图了解管理层想要什么、需要什么和期望什么。为围绕基础应用程序或平台的重大更改,设置每日和每周检查的测试框架。如果有更多可用资源,请争取更频繁的定期检查。
挑战#6:UX测试范围狭窄
有些IT团队依赖常规用户池进行本地测试,或者依赖少数特定软件的专家。但是,当你将应用程序迁移到云端时,你需要更全面地了解你的应用程序。这意味着从多个角度收集有关整体用户体验的数据,而不仅仅是技术角度。
最佳做法:扩展你的用户测试团队。与来自不同经验和角色的大量测试人员协调用户测试。包括精通云的人员和新手。大多数最终用户并不了解或关心云的内部机制,但他们会看到你的应用程序,e并且对性能有一定的期望。有时他们可能比你更了解它。
挑战#7:测试指标忽略云成本问题
在本地迁移中,你通常拥有应用程序涉及的所有部分。而在云迁移中,每个流程步骤、调用的服务以及传输到缓存或返回本地的数据都会产生成本。还有与其他云服务存在集成和依赖关系,其中一些可能并不明显。你甚至可以使用新的基于云的测试工具。当你收到账单时,费用可能会令人震惊,并迫使你调整应用程序,甚至重新评估云迁移。
最佳做法:定期测试揭示成本趋势。成本管理不是云迁移测试的重点,但测试可以让企业了解应用程序在云端运行的情况。这就是说,频繁的云迁移测试可以帮助企业更好地了解数据传输、使用模式和关键依赖关系。这意味着收到账单时不会有任何意外。
什么是渗透测试?如何做渗透测试?
渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立地检查你的网络策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的专业人士。
渗透测试一定要遵循软件测试基本流程,要知道测试过程和目标特殊,在具体实施步骤上主要包含以下几步:
1、明确目标
当测试人员拿到需要做渗透测试的项目时,首先确定测试需求,如测试是针对业务逻辑漏洞,还是针对人员管理权限漏洞等;然后确定客户要求渗透测试的范围,如ip段、域名、整站渗透或者部分模块渗透等;最后确定渗透测试规则,如能够渗透到什么程度,是确定漏洞为止还是继续利用漏洞进行更进一步的测试,是否允许破坏数据、是否能够提升权限等。
2、收集信息
在信息收集阶段要尽量收集关于项目软件的各种信息。比如:对于一个Web应用程序,要收集脚本类型、服务器类型、数据库类型以及项目所用到的框架、开源软件等。信息收集对于渗透测试来说非常重要,只要掌握目标程序足够多的信息,才能更好地进行漏洞检测。
信息收集的方式可分为以下2种:主动收集、被动收集。
3、扫描漏洞
在这个阶段,综合分析收集到的信息,借助扫描工具对目标程序进行扫描,查找存在的安全漏洞。
4、验证漏洞
在扫描漏洞阶段,测试人员会得到很多关于目标程序的安全漏洞,但这些漏洞有误报,需要测试人员结合实际情况,搭建模拟测试环境对这些安全漏洞进行验证。被确认的安全漏洞才能被利用执行攻击。
5、分析信息
经过验证的安全漏洞就可以被利用起来向目标程序发起攻击,但是不同的安全漏洞,攻击机制不同,针对不同的安全漏洞需要进一步分析,制定一个详细的攻击计划,这样才能保证测试顺利执行。
6、渗透攻击
渗透攻击实际是对目标程序进行的真正攻击,为了达到测试的目的,像是获取用户账号密码、截取目标程序传输数据等。渗透测试是一次性测试,在攻击完成后能够执行清理工作。
7、整理信息
渗透攻击完成后,整理攻击所获得的信息,为后边编写测试报告提供依据。
8、编写报告
测试完成之后要编写报告,阐述项目安全测试目标、信息收集方式、漏洞扫描工具以及漏洞情况、攻击计划、实际攻击结果等。此外,还要对目标程序存在的漏洞进行分析,提供安全有效的解决办法。
网络安全工程师分享的6大渗透测试必备工具
租用海外服务器,不可避免就是考虑使用安全问题,其中渗透测试可模仿网络黑客攻击,来评估海外服务器网络系统安全的一种方式。互联网中,渗透测试对网络安全体系有着重要意义。
通过渗透工具可提高渗透测试效率。快速云作为专业的IDC服务商,在本文中为大家分享了网络安全工程师推荐的6种必备渗透工具,使用这6种工具后用户可实现更高效的进行渗透测试。
一、NST网络安全工具
NST是基于Fedora的Linux发行版,属于免费的开源应用程序,在32、64平台运行。使用NST可启动LiveCD监视、分析、维护海外服务器网络安全性。可以用于入侵检测、网络浏览嗅探、网络数据包生成、扫描网络/海外服务器等等。
二、NMAP
可以用于发现企业网络种任意类型的弱点、漏洞,也可以用于审计。原理是通过获得原始数据包渠道哪些海外服务器在网络特定段中有效,使用的是什么操作系统,识别正在使用的特定海外服务器的数据包防火墙/过滤器的不同版本和类型。
三、BeEF工具
BeEF工具可以通过针对web浏览器查看单源上下文的漏洞。
四、AcunetixScanner
一款可以实现手动渗透工具和内置漏洞测试,可快速抓取数千个网页,可以大量提升工作效率,而且直接可以在本地或通过云解决方案运行,检测出网站中流行安全漏洞和带外漏洞,检测率高。
五、JohntheRipper
这款工具最常见,可简单迅速的破解密码。支持大部分系统架构类型如Unix、Linux、Windows、DOS模式等,常用于破解不牢固的Unix/Linux系统密码。
六、SamuraiWeb测试框架
SamuraiWeb测试框架预先配置成网络测试平台。内含多款免费、开源的黑客工具,能检测出网站漏洞,不用搭建环境装平台节省大部分时间很适合新手使用。
渗透测试应该怎么做呢?
01、信息收集
1、域名、IP、端口
域名信息查询:信息可用于后续渗透
IP信息查询:确认域名对应IP,确认IP是否真实,确认通信是否正常
端口信息查询:NMap扫描,确认开放端口
发现:一共开放两个端口,80为web访问端口,3389为windows远程登陆端口,嘿嘿嘿,试一下
发现:是Windows Server 2003系统,OK,到此为止。
2、指纹识别
其实就是网站的信息。比如通过可以访问的资源,如网站首页,查看源代码:
看看是否存在文件遍历的漏洞(如图片路径,再通过…/遍历文件)
是否使用了存在漏洞的框架(如果没有现成的就自己挖)
02、漏洞扫描
1、主机扫描
Nessus
经典主机漏扫工具,看看有没有CVE漏洞:
2、Web扫描
AWVS(Acunetix | Website Security Scanner)扫描器
PS:扫描器可能会对网站构成伤害,小心谨慎使用。
03、渗透测试
1、弱口令漏洞
漏洞描述
目标网站管理入口(或数据库等组件的外部连接)使用了容易被猜测的简单字符口令、或者是默认系统账号口令。
渗透测试
① 如果不存在验证码,则直接使用相对应的弱口令字典使用burpsuite 进行爆破
② 如果存在验证码,则看验证码是否存在绕过、以及看验证码是否容易识别
风险评级:高风险
安全建议
① 默认口令以及修改口令都应保证复杂度,比如:大小写字母与数字或特殊字符的组合,口令长度不小于8位等
② 定期检查和更换网站管理口令
2、文件下载(目录浏览)漏洞
漏洞描述
一些网站由于业务需求,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意的文件,可以是源代码文件、敏感文件等。
渗透测试
① 查找可能存在文件包含的漏洞点,比如js,css等页面代码路径
② 看看有没有文件上传访问的功能
③ 采用…/来测试能否夸目录访问文件
风险评级:高风险
安全建议
① 采用白名单机制限制服务器目录的访问,以及可以访问的文件类型(小心被绕过)
② 过滤【./】等特殊字符
③ 采用文件流的访问返回上传文件(如用户头像),不要通过真实的网站路径。
示例:tomcat,默认关闭路径浏览的功能:
param-namelistings/param-name
param-valuefalse/param-value
3、任意文件上传漏洞
漏洞描述
目标网站允许用户向网站直接上传文件,但未对所上传文件的类型和内容进行严格的过滤。
渗透测试
① 收集网站信息,判断使用的语言(PHP,ASP,JSP)
② 过滤规则绕过方法:文件上传绕过技巧
风险评级:高风险
安全建议
① 对上传文件做有效文件类型判断,采用白名单控制的方法,开放只允许上传的文件型式;
② 文件类型判断,应对上传文件的后缀、文件头、图片类的预览图等做检测来判断文件类型,同时注意重命名(Md5加密)上传文件的文件名避免攻击者利用WEB服务的缺陷构造畸形文件名实现攻击目的;
③ 禁止上传目录有执行权限;
④ 使用随机数改写文件名和文件路径,使得用户不能轻易访问自己上传的文件。
4、命令注入漏洞
漏洞描述
目标网站未对用户输入的字符进行特殊字符过滤或合法性校验,允许用户输入特殊语句,导致各种调用系统命令的web应用,会被攻击者通过命令拼接、绕过黑名单等方式,在服务端运行恶意的系统命令。
渗透测试
风险评级:高风险
安全建议
① 拒绝使用拼接语句的方式进行参数传递;
② 尽量使用白名单的方式(首选方式);
③ 过滤危险方法、特殊字符,如:【|】【】【;】【’】【"】等
5、SQL注入漏洞
漏洞描述
目标网站未对用户输入的字符进行特殊字符过滤或合法性校验,允许用户输入特殊语句查询后台数据库相关信息
渗透测试
① 手动测试:判断是否存在SQL注入,判断是字符型还是数字型,是否需要盲注
② 工具测试:使用sqlmap等工具进行辅助测试
风险评级:高风险
安全建议
① 防范SQL注入攻击的最佳方式就是将查询的逻辑与其数据分隔,如Java的预处理,PHP的PDO
② 拒绝使用拼接SQL的方式
6、跨站脚本漏洞
漏洞描述
当应用程序的网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建 HTML或JavaScript 的浏览器 API 更新现有的网页时,就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点。
三种XSS漏洞:
① 存储型:用户输入的信息被持久化,并能够在页面显示的功能,都可能存在存储型XSS,例如用户留言、个人信息修改等。
② 反射型:URL参数需要在页面显示的功能都可能存在反射型跨站脚本攻击,例如站内搜索、查询功能。
③ DOM型:涉及DOM对象的页面程序,包括:document.URL、document.location、document.referrer、window.location等
渗透测试
存储型,反射型,DOM型
风险评级:高风险
安全建议
① 不信任用户提交的任何内容,对用户输入的内容,在后台都需要进行长度检查,并且对【】【】【"】【’】【】等字符做过滤
② 任何内容返回到页面显示之前都必须加以html编码,即将【】【】【"】【’】【】进行转义。
7、跨站请求伪造漏洞
漏洞描述
CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种网络攻击方式,它可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作,如修改密码,转账等。
渗透测试
风险评级:中风险(如果相关业务极其重要,则为高风险)
安全建议
① 使用一次性令牌:用户登录后产生随机token并赋值给页面中的某个Hidden标签,提交表单时候,同时提交这个Hidden标签并验证,验证后重新产生新的token,并赋值给hidden标签;
② 适当场景添加验证码输入:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串;
③ 请求头Referer效验,url请求是否前部匹配Http(s)😕/ServerHost
④ 关键信息输入确认提交信息的用户身份是否合法,比如修改密码一定要提供原密码输入
⑤ 用户自身可以通过在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的cookie;
8、内部后台地址暴露
漏洞描述
一些仅被内部访问的地址,对外部暴露了,如:管理员登陆页面;系统监控页面;API接口描述页面等,这些会导致信息泄露,后台登陆等地址还可能被爆破。
渗透测试
① 通过常用的地址进行探测,如login.html,manager.html,api.html等;
② 可以借用burpsuite和常规页面地址字典,进行扫描探测
风险评级:中风险
安全建议
① 禁止外网访问后台地址
② 使用非常规路径(如对md5加密)
9、信息泄露漏洞
漏洞描述
① 备份信息泄露:目标网站未及时删除编辑器或者人员在编辑文件时,产生的临时文件,或者相关备份信息未及时删除导致信息泄露。
② 测试页面信息泄露:测试界面未及时删除,导致测试界面暴露,被他人访问。
③ 源码信息泄露:目标网站文件访问控制设置不当,WEB服务器开启源码下载功能,允许用户访问网站源码。
④ 错误信息泄露:目标网站WEB程序和服务器未屏蔽错误信息回显,页面含有CGI处理错误的代码级别的详细信息,例如SQL语句执行错误原因,PHP的错误行数等。
⑤ 接口信息泄露:目标网站接口访问控制不严,导致网站内部敏感信息泄露。
渗透测试
① 备份信息泄露、测试页面信息泄露、源码信息泄露,测试方法:使用字典,爆破相关目录,看是否存在相关敏感文件
② 错误信息泄露,测试方法:发送畸形的数据报文、非正常的报文进行探测,看是否对错误参数处理妥当。
③ 接口信息泄露漏洞,测试方法:使用爬虫或者扫描器爬取获取接口相关信息,看目标网站对接口权限是否合理
风险评级:一般为中风险,如果源码大量泄漏或大量客户敏感信息泄露。
安全建议
① 备份信息泄露漏洞:删除相关备份信息,做好权限控制
② 测试页面信息泄露漏洞:删除相关测试界面,做好权限控制
③ 源码信息泄露漏洞:做好权限控制
④ 错误信息泄露漏洞:将错误信息对用户透明化,在CGI处理错误后可以返回友好的提示语以及返回码。但是不可以提示用户出错的代码级别的详细原因
⑤ 接口信息泄露漏洞:对接口访问权限严格控制
10、失效的身份认证
漏洞描述
通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌, 或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。
渗透测试
① 在登陆前后观察,前端提交信息中,随机变化的数据,总有与当前已登陆用户进行绑定的会话唯一标识,常见如cookie
② 一般现在网站没有那种简单可破解的标识,但是如果是跨站认证,单点登录场景中,可能为了开发方便而简化了身份认证
风险评级:高风险
安全建议
① 使用强身份识别,不使用简单弱加密方式进行身份识别;
② 服务器端使用安全的会话管理器,在登录后生成高度复杂的新随机会话ID。会话ID不能在URL中,可以安全地存储,在登出、闲置超时后使其失效。
11、失效的访问控制
漏洞描述
未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。
渗透测试
① 登入后,通过burpsuite 抓取相关url 链接,获取到url 链接之后,在另一个浏览器打开相关链接,看能够通过另一个未登入的浏览器直接访问该功能点。
② 使用A用户登陆,然后在另一个浏览器使用B用户登陆,使用B访问A独有的功能,看能否访问。
风险评级:高风险
安全建议
① 除公有资源外,默认情况下拒绝访问非本人所有的私有资源;
② 对API和控制器的访问进行速率限制,以最大限度地降低自动化攻击工具的危害;
③ 当用户注销后,服务器上的Cookie,JWT等令牌应失效;
④ 对每一个业务请求,都进行权限校验。
12、安全配置错误
漏洞描述
应用程序缺少适当的安全加固,或者云服务的权限配置错误。
① 应用程序启用或安装了不必要的功能(例如:不必要的端口、服务、网页、帐户或权限)。
② 默认帐户的密码仍然可用且没有更改。
③ 错误处理机制向用户披露堆栈跟踪或其他大量错误信息。
④ 对于更新的系统,禁用或不安全地配置最新的安全功能。
⑤ 应用程序服务器、应用程序框架(如:Struts、Spring、ASP.NET)、库文件、数据库等没有进行相关安全配置。
渗透测试
先对应用指纹等进行信息搜集,然后针对搜集的信息,看相关应用默认配置是否有更改,是否有加固过;端口开放情况,是否开放了多余的端口;
风险评级:中风险
安全建议
搭建最小化平台,该平台不包含任何不必要的功能、组件、文档和示例。移除或不安装不适用的功能和框架。在所有环境中按照标准的加固流程进行正确安全配置。
13、使用含有已知漏洞的组件
漏洞描述
使用了不再支持或者过时的组件。这包括:OS、Web服务器、应用程序服务器、数据库管理系统(DBMS)、应用程序、API和所有的组件、运行环境和库。
渗透测试
① 根据前期信息搜集的信息,查看相关组件的版本,看是否使用了不在支持或者过时的组件。一般来说,信息搜集,可通过http返回头、相关错误信息、应用指纹、端口探测(Nmap)等手段搜集。
② Nmap等工具也可以用于获取操作系统版本信息
③ 通过CVE,CNVD等平台可以获取当前组件版本是否存在漏洞
风险评级:按照存在漏洞的组件的安全风险值判定当前风险。
安全建议
① 移除不使用的依赖、不需要的功能、组件、文件和文档;
② 仅从官方渠道安全的获取组件(尽量保证是最新版本),并使用签名机制来降低组件被篡改或加入恶意漏洞的风险;
③ 监控那些不再维护或者不发布安全补丁的库和组件。如果不能打补丁,可以考虑部署虚拟补丁来监控、检测或保护。
详细学习可参考: