安全工具体系

1、应该使用最新版本的开源软件nmap来进行端口扫描。 2、需要按照以下命令行格式，对业务接口和协议接口，进行下面三种类型的扫描： uTCP Scan: nmap -sS -A -v --reason -p- -n -Pn -oA tcp uUDP Scan: nmap -sU -A -v --reason -p- -n -Pn --max-scan-delay 10 -oA udp uProtocol Scan（协议扫描）: nmap -sO -A -v --reason -n -oA proto     u 参数含义：      -sS = 进行TCP SYN方式端口扫描      -sU = 进行UDP端口扫描            -sO = 进行网络协议扫描      -Pn = 扫描之前不Ping主机，假定主机是存活的      -A = 使能脚本、版本和traceroute扫描      -p- = 扫描从1到65535的所有端口       -v = 输出详细信息       --reason =显示某个端口处于特殊状态的原因      --max-scan-delay = 设定探测报文间的最大时间间隔       -n = 扫描时不进行域名解析   -oA = 用所有的格式输出扫描结果 l操作系统漏洞扫描原理  p根据“指纹”识别主机类别 p根据端口信息识别当前运行的服务 p根据主机类别和服务，验证主机和服务是否存在“已知”漏洞 p常用工具：Nessus                  lWeb漏洞扫描原理 p确定网站结构 p对网页源码进行审计 p针对各个页面进行XSS，注入攻击测试 p常用工具：AppScan l数据库漏洞扫描 p常用工具：Nessus p常用工具：NGS SQuirreL，是一套功能强大的数据库漏洞检测及风险评估工具。NGS Software是世界领先的数据库安全厂商，支持各种主流的数据库。 网络攻击测试 l 流量式拒绝服务攻击（Denial of Service，DoS） Ø 直接Flood类攻击（SYN Flood，UDP Flood，ICMP Flood） Ø 间接Flood类攻击（Smurf、Fraggle……） l 畸形报文拒绝服务攻击 Ø TearDrop攻击 Ø Winnuke攻击 Ø 死亡之ping（Ping of Death） Ø Land攻击 泛洪： 泛洪（flood）攻击是一种历史悠久、原理简单、便于操作、却又很难防御的攻击方式。其主要特点是，攻击者自身或操纵其他终端、主机或设备，向攻击对象持续大流量的发送某些种类的报文，使得攻击对象忙于接收和处理这些报文，而没有足够的剩余资源来接收和处理正常报文，从而丧失为正常用户提供及时服务的能力（即导致DoS——拒绝服务，或DDoS——分布式拒绝服务）。 泛洪的攻击效果一般通过对于安全对象资源的过度消耗来体现。这里的资源一般大致可以分为三类：处理器、存储器和带宽。其中的处理器包括通用（CPU）和专用处理器，后者可以包括NP、ASIC等；存储器体现在有关表项、队列、定时器、堆栈等内存以及外存的空间上；带宽则包括外部接口和内部接口的带宽，内部接口可以包括各种通道、队列和内部链路等。 泛洪可从速度和容量两方面构成威胁，速度主要针对处理器，容量主要针对存储器，而带宽（吞吐量）与速度和容量均相关。例如对于交换机产品，以太层用户平面，泛洪攻击至少有两种情况需要考虑，针对MAC地址学习的MAC变化速度和MAC数量攻击，前者可能导致交换机CPU使用率高企，后者可能导致交换机MAC表溢出。 在某些非故意的情况下（例如设备发生故障），泛洪攻击也有可能发生。这一点也适用于以下几种攻击方式。 畸形报文： 攻击者向攻击对象发送非法的、或错误的、或不合理的、或自相矛盾的异常报文，当攻击对象对这些报文的接收处理不够健壮时，可能导致出现各种故障，影响其正常业务的提供，甚至导致攻击对象的运行崩溃。在IP领域，畸形报文又有一类特定的畸形方式——IP分片畸形。 畸形报文的各种畸形方式，通常可以按等价类（黑盒视角）的思想，划分为数量相对较少的一些类型。但是，这与特定的协议报文的结构设计密切相关，不同的协议可能有很大的差异，例如二进制格式的协议和文本格式的协议就有着极为显著的不同。另外，对于特定的产品协议实现（白盒视角），可能会存在特定有效的特定畸形方式（比如一些著名的IP分片畸形报文攻击方式）。 对于二进制格式的协议，对于定长的报文（报文长度完全固定），常见的畸形类型有长度异常（报文实际长度超长、超短）、字段值异常（非法、不合理、互相矛盾等）。 对于不定长的报文，一般都具有指示报文总长度的报文长度指示字段，当报文中含不定长的字段时，一般都具有指示相应字段长度的字段长度指示字段（或可起到类似作用的其他方式的指示字段，如指示相应字段起止位置的字段位置指示字段）。所以其“字段值异常”畸形类型中就新增了这些字段长度或位置指示字段的取值异常的特有类型——其中的一种可以单独提及的类型就是IP分片异常，即用于指示分片的“字段值”异常。其具体方式包括这些指示字段所指示的长度异常（超长、超短，与实际字段长度不一致）、不同指示字段之间互相矛盾（如报文总长度与字段长度的指示不一致）、字段重复（某个字段在一条报文中重复出现）或缺失（某个必备字段在报文中没有出现）——这种情况一般是3个字段（常谓之“TLV”结构：字段类型、字段长度、字段取值）组合作为一个字段。 对于文本格式的协议，则情况更为复杂，需要结合特定协议的字符级的特定语法定义进行分析。 畸形报文的持续大流量发送又可构成泛洪攻击，这种形式的攻击可以将安全对象在处理畸形报文时可能存在的处理器过多占用、内存泄漏等问题暴露或加速暴露出来。这一点对于下述其他攻击方式也是适用的。流量式攻击方法原理：Flood经常被称作泛洪/洪水，这是一种简单的破坏性攻击，攻击者利用TCP/IP协议栈中的某个弱点，使用大量的数据包堵塞目标对外提供服务的端口，使目标无法对合法的用户提供正常的服务。直接flood攻击者直接从单机或分布式地控制多台主机直接向攻击目标发送flood报文使其被淹没；间接flood最终攻击目标接收到的报文并不是由攻击者直接发出的，而是通过对方网络的放大、激励、反射。畸形报文攻击方法l畸形报文类攻击方法，指的是利用操作系统或协议栈的缺陷，发送一些状态位、标志位、报文内容或大小不正常的数据包，可能会造成对方系统崩溃。 l攻击者往往会用一些“不应存在”的非法数据包来达到目的，因为在操作系统被设计得不够健壮，没有预计到TCP/IP协议栈可能会遇到这种数据包，所以相应的响应可能就是无法预料的。 l比起Flood攻击来，畸形报文攻击不需要攻击者发送大量报文进行资源比拼，具有“四两拨千斤”的攻击效果。协议安全测试方法 l超长字符 l格式化字符串 l特殊字符 l异常整数 l字段取值异常 l协议残缺 l字段重复 l字段矛盾 l状态机异常转换 l资源耗尽。常见应用安全测试 l常见WEB攻击测试方法介绍： Ø认证攻击 Ø授权攻击 Ø会话状态管理攻击 Ø输入验证攻击 ØWeb数据存储攻击 ØWeb应用程序攻击 ØWeb客户端攻击 Web安全测试工具。数据库安全机制简介 l访问与控制机制       在对象级别赋予用户访问权限 l鉴别与认证控制       保证只有授权用户可以访问数据库对象 l角色分离       基于系统和用户任务级别的分离 l基于网络安全       提供远程认证保护，使用加密方式传输数据，并进行完整性校验 l审计            记录系统相关安全事件 总结：如何做好安全性测试 l提升测试人员安全意识，真正理解客户对安全的诉求，深刻领会公司安全红线要求，特别是A类要求； l加强逆向思维，测试人员能质疑产品的当前实现，发现安全风险； l按照IPD安全流程要求，参与或主导各阶段安全活动，做好安全需求/设计的评审（静态测试）+ 安全性测试工作（动态测试）。 l完善安全测试基线（需求、用例），丰富测试方法，充分利用测试工具； l寻求周边安全组织（产品线安全测试团队、安全工程部）的支持，共同应对来自安全领域的挑战。