一、口令破解

口令破解的主要功能是在评估过程中通过采用暴力猜测(密码穷举)、字典攻击等技术手段验证数据库.操作系统、应用系统、设备的管理员口令复杂度。进行口令破解时,可考虑以下评估方法和评估

原则:

  • 使用字 典式攻击方法或采用预先计算好的彩虹表(散列值查找表)进行口令破解尝试;
  • 使用混合攻击或暴 力破解的方式进行口令破解;混合攻击以字典攻击方法为基础,在字典中增

加了数字和符号字符;

  • 如测评对象采用带有盐值的加密散列函数时,不宜使用彩虹表方式进行口令破解尝试;
  • 使用暴力破解时,可采用分布式执行的方式提高破解的效率。

二、渗透测试

渗透测试的主要功能是通过模拟恶意黑客的攻击方法,攻击等级保护对象的应用程序、系统或者网络的安全功能,从而验证测评对象弱点、技术缺陷或漏洞的一种评估方法。进行渗透测试时,可考虑以

下评估要素和评估原则:

1.通过渗透测试评估确认以下漏洞的存在:

  • 系统/服务类漏洞。由于操作系统、数据库、中间件等为应用系统提供服务或支撑的环境:

存在缺陷,所导致的安全漏洞.如缓冲区溢出漏洞堆/栈溢出、内存泄露等,可能造成程序运行失败、系统宕机、重新启动等后果,更为严重的,可以导致程序执行非授权指令,甚至.取得系统特权,进而进行各种非法操作。

  • 应用代码类漏洞。由于开发人员编写代码不规范或缺少必要的校验措施.导致应用系统存在安全漏洞,包括SQL注入、跨站脚本、任意上传文件等漏洞;攻击者可利用这些漏洞,对应用系统发起攻击,从而获得数据库中的敏感信息,更为严重的,可以导致服务器被控制。
  • 权限旁路类漏洞。由于对数据访问、功能模块访问控制规则不严或存在缺失,导致攻击者可非授权访问这些数据及功能模块。权限旁路类漏洞通常可分为越权访问及平行权限,越权访问是指低权限用户非授权访问高权限用户的功能模块或数据信息;平行权限是指攻击者利用自身权限的功能模块,非授权访问或操作他人的数据信息。
  • 配置不当类漏洞。由于未对配置文件进行安全加固,仅使用默认配置或配置不合理,所导致的安全风险。如中间件配置支持put方法,可能导致攻击者利用put方法上传木马文件,从而获得服务器控制权。
  • 信息泄露类漏洞。由于系统未对重要数据及信息进行必要的保护,导致攻击者可从泄露的内容中获得有用的信息,从而为进- -步攻击提供线索。如源代码泄露、默认错误信息中含有服务器信息/SQL语句等均属于信息泄露类漏洞。
  • 业 务逻辑缺陷类漏洞。由于程序逻辑不严或逻辑太复杂,导致- -些逻辑分支不能够正常处理或处理错误。如果出现这种情况,则用户可以根据业务功能的不同进行任意密码修改、越权访问、非正常金额交易等攻击。
  • 充分考虑等级保护对象面临的安全风险,选择并模拟内部(等级保护对象所在的内部网络)攻击或外部(从互联网、第三方机构等外部网络)攻击。
  • 评估者应制定详细的渗透测试方案,内容包括渗透测试对象、渗透测试风险及规避措施等内容。

2.远程访问测试

远程访问测试的主要功能是评估远程访问方法中的漏洞,发现未授权的接入方式。进行远程访问

测试时,可考虑以下评估要素和评估原则:

  • 发现除VPN,SSH、远程桌面应用之外是否存在其他的非授权的接人方式。
  • 发 现未授权的远程访问服务。通过端口扫描定位经常用于进行远程访问的公开的端口,通过查看运行的进程和安装的应用来手工检测远程访问服务。
  • 检测规则集来 查找非法的远程访问路径。评估者应检测远程访问规则集,如VPN网关的规.则集,查看其是否存在漏洞或错误的配置.从而导致非授权的访问。
  • 测试远 程访问认证机制。可尝试默认的账户和密码或暴力攻击(使用社会工程学的方法重设密码来进行访问),或尝试通过密码找回功能机制来重设密码从而获得访问权限。
  • 监视远程访问通信。可以通过网络嗅探器监视远程访问通信。如果通信未被保护,则可利用这些数据作为远程访问的认证信息,或者将这些数据作为远程访问用户发送或接收的数据。

如果你想了解一下信息系统等级保护的具体步骤和时间,欢迎找我领取我整理的《等级保护实战指南》,为您解决等级保护中90%的难题;