安全風(fēng)險(xiǎn)評(píng)估-應(yīng)用系統(tǒng)評(píng)估

安全風(fēng)險(xiǎn)評(píng)估之應(yīng)用系統(tǒng)評(píng)估TIME\@"yyyy年M月"2013年3月目錄1.應(yīng)用系統(tǒng)評(píng)估概述41.1評(píng)估的概念41.2評(píng)估手段42.評(píng)估前的準(zhǔn)備52.1確定用戶(hù)配合人員52.2確定評(píng)估的范圍52.3獲得應(yīng)用系統(tǒng)組件的清單52.4應(yīng)用系統(tǒng)評(píng)估啟動(dòng)會(huì)62.5簽署應(yīng)用系統(tǒng)評(píng)估申請(qǐng)63.具體評(píng)估步驟63.1認(rèn)證和鑒別63.1.1是否啟用了PKI73.1.2是否啟用了組織統(tǒng)一要求的PKI73.1.3認(rèn)證進(jìn)程是否適當(dāng)73.2用戶(hù)賬戶(hù)管理73.2.1用戶(hù)ID唯一性檢查73.2.2不活動(dòng)用戶(hù)是否禁用83.2.3不必要的內(nèi)置用戶(hù)是否禁用83.2.4用戶(hù)ID是否有默認(rèn)的或者弱口令83.3數(shù)據(jù)保護(hù)83.3.1敏感數(shù)據(jù)不適當(dāng)?shù)卮鎯?chǔ)83.3.2敏感數(shù)據(jù)傳輸中沒(méi)有適當(dāng)?shù)谋Ｗo(hù)93.3.3使用未經(jīng)驗(yàn)證的加密算法93.4安全審核93.4.1安全相關(guān)事件記錄93.4.2日志將滿(mǎn)沒(méi)有警告103.4.3日志存在未授權(quán)刪除、修改、泄露等漏洞103.5應(yīng)用操作103.5.1基于角色的訪(fǎng)問(wèn)控制沒(méi)有加強(qiáng)責(zé)任分離103.5.2應(yīng)用在執(zhí)行操作之前沒(méi)有進(jìn)行授權(quán)103.5.3進(jìn)程運(yùn)行的權(quán)限過(guò)高103.5.4應(yīng)用沒(méi)有對(duì)session的限制113.5.5應(yīng)用修改在應(yīng)用的范圍之外的文件113.5.6用戶(hù)繞過(guò)用戶(hù)界面直接修改資源113.6影響控制113.6.1網(wǎng)絡(luò)架構(gòu)不適當(dāng)113.6.2沒(méi)有災(zāi)難恢復(fù)計(jì)劃113.6.3備份或者備份程序不完備123.6.4沒(méi)有確保應(yīng)用日志可以長(zhǎng)時(shí)間保存的流程123.6.5敏感數(shù)據(jù)未經(jīng)修改地直接導(dǎo)入測(cè)試環(huán)境123.7代碼安全123.7.1應(yīng)用的進(jìn)程在終止前沒(méi)有從內(nèi)存或者磁盤(pán)中刪除臨時(shí)對(duì)象123.7.2應(yīng)用沒(méi)有充分驗(yàn)證用戶(hù)輸入123.7.3應(yīng)用直接暴露出錯(cuò)信息133.7.4應(yīng)用失敗能夠?qū)е虏话踩臓顟B(tài)13應(yīng)用系統(tǒng)評(píng)估概述評(píng)估的概念應(yīng)用系統(tǒng)評(píng)估，是風(fēng)險(xiǎn)評(píng)估中必須的一個(gè)子項(xiàng)。它是指將應(yīng)用系統(tǒng)作為一個(gè)單位，對(duì)該應(yīng)用系統(tǒng)所面臨的脆弱性、安全隱患進(jìn)行檢查的過(guò)程。應(yīng)用系統(tǒng)評(píng)估和網(wǎng)絡(luò)架構(gòu)評(píng)估、網(wǎng)絡(luò)訪(fǎng)問(wèn)控制評(píng)估、數(shù)據(jù)流評(píng)估等不同，它關(guān)注的是應(yīng)用系統(tǒng)的自身的安全，主要從“應(yīng)用代碼或程序”層面進(jìn)行評(píng)估。11評(píng)估手段在應(yīng)用系統(tǒng)安全評(píng)估中，應(yīng)盡可能采用以下多種方式，對(duì)應(yīng)用系統(tǒng)進(jìn)行全面的安全檢測(cè)。如果某些情況下，有些方式不能采用或無(wú)法實(shí)現(xiàn)，比如源代碼審核、配置文件檢查等，可考慮通過(guò)其他方式來(lái)進(jìn)行驗(yàn)證其現(xiàn)狀，比如滲透測(cè)試。應(yīng)用系統(tǒng)文檔檢查檢查應(yīng)用系統(tǒng)的開(kāi)發(fā)和維護(hù)文檔，特別注意其中的和安全相關(guān)的部分。評(píng)估訪(fǎng)談和應(yīng)用系統(tǒng)的開(kāi)發(fā)人員、系統(tǒng)管理員、普通用戶(hù)（抽查）進(jìn)行訪(fǎng)談，了解系統(tǒng)的在開(kāi)發(fā)和使用過(guò)程中的詳細(xì)信息。如果回答否，則結(jié)果為否；若回答是，則應(yīng)盡可能實(shí)際上機(jī)驗(yàn)證。訪(fǎng)談前，評(píng)估人員需根據(jù)系統(tǒng)的情況，準(zhǔn)備對(duì)應(yīng)的訪(fǎng)談表。Checklist檢查根據(jù)應(yīng)用系統(tǒng)的操作系統(tǒng)，對(duì)應(yīng)相應(yīng)的checklist檢查項(xiàng)，對(duì)應(yīng)用系統(tǒng)進(jìn)行安全檢查。檢查時(shí)，可以手工逐項(xiàng)檢查，也可以過(guò)腳本的方式快速檢查。滲透測(cè)試對(duì)于某些應(yīng)用系統(tǒng)，在授權(quán)的情況下可以適當(dāng)采用的滲透測(cè)試，來(lái)檢驗(yàn)系統(tǒng)的安全性。比如針對(duì)Web網(wǎng)站，可以進(jìn)行SQL注入、XSS、數(shù)據(jù)庫(kù)、暴力破解等滲透測(cè)試攻擊手段。系統(tǒng)配置狀況檢查登陸系統(tǒng)，對(duì)系統(tǒng)配置進(jìn)行安全檢查。評(píng)估前的準(zhǔn)備為保證在用戶(hù)現(xiàn)場(chǎng)的工作效率，評(píng)估前應(yīng)作好以下準(zhǔn)備工作。確定用戶(hù)配合人員和用戶(hù)確定能夠配合評(píng)估工作的人員，需要具有以下能力：了解應(yīng)用系統(tǒng)，能夠有效回答評(píng)估者的詢(xún)問(wèn)；能夠提供對(duì)源代碼的訪(fǎng)問(wèn)，并協(xié)助分析源代碼；能夠提供應(yīng)用系統(tǒng)相關(guān)的開(kāi)發(fā)、維護(hù)文檔；能夠提供超級(jí)用戶(hù)權(quán)限的訪(fǎng)問(wèn)界面；能夠提供普通用戶(hù)權(quán)限的訪(fǎng)問(wèn)界面；最終確定的配合人員，一般包括：系統(tǒng)開(kāi)發(fā)人員、系統(tǒng)管理員、普通用戶(hù)。確定評(píng)估的范圍和用戶(hù)確定本次應(yīng)用系統(tǒng)評(píng)估的范圍，需落實(shí)到具體的服務(wù)器、應(yīng)用、軟件等。獲得應(yīng)用系統(tǒng)組件的清單獲得應(yīng)用系統(tǒng)架構(gòu)范圍內(nèi)的所有組件清單，包括網(wǎng)絡(luò)拓?fù)鋱D、IP地址、OS版本、數(shù)據(jù)庫(kù)、APP版本、第三方中間件版本、庫(kù)文件或者其他組件等。應(yīng)用系統(tǒng)評(píng)估啟動(dòng)會(huì)可以考慮召開(kāi)應(yīng)用系統(tǒng)評(píng)估的啟動(dòng)會(huì)，會(huì)上由系統(tǒng)開(kāi)發(fā)人員、系統(tǒng)管理員介紹應(yīng)用系統(tǒng)的基本情況，包括應(yīng)用系統(tǒng)的基本功能、組件架構(gòu)、部署情況、使用對(duì)象、安全設(shè)計(jì)思想、業(yè)務(wù)流程等。同時(shí)，通過(guò)啟動(dòng)會(huì)，也可能獲得更多與該應(yīng)用系統(tǒng)相關(guān)的各種技術(shù)文檔。簽署應(yīng)用系統(tǒng)評(píng)估申請(qǐng)?jiān)趹?yīng)用系統(tǒng)評(píng)估實(shí)施之前，應(yīng)向用戶(hù)提交并簽署應(yīng)用系統(tǒng)安全評(píng)估申請(qǐng)，以確保用戶(hù)認(rèn)可以下問(wèn)題：接受評(píng)估過(guò)程中可能帶來(lái)的操作風(fēng)險(xiǎn)；對(duì)物理、邏輯訪(fǎng)問(wèn)用戶(hù)應(yīng)用系統(tǒng)的授權(quán)。具體評(píng)估步驟通常情況下，對(duì)應(yīng)用系統(tǒng)的評(píng)估，應(yīng)從以下7個(gè)方面進(jìn)行。認(rèn)證和鑒別用戶(hù)賬戶(hù)管理數(shù)據(jù)保護(hù)安全審核應(yīng)用操作影響控制代碼安全認(rèn)證和鑒別這部分主要測(cè)試用戶(hù)或者進(jìn)程如何進(jìn)行身份認(rèn)證。首先應(yīng)該識(shí)別出應(yīng)用系統(tǒng)中所有涉及認(rèn)證和鑒別的行為，然后對(duì)它們逐個(gè)進(jìn)行測(cè)試。本文主要介紹基于PKI的認(rèn)證和鑒別測(cè)試，如果應(yīng)用系統(tǒng)使用其他的認(rèn)證和鑒別方式，可以比照?qǐng)?zhí)行。是否啟用了PKI檢查應(yīng)用系統(tǒng)是否啟用了PKI，如果沒(méi)有啟用，則紀(jì)錄之。如果說(shuō)啟用，那么對(duì)使用了PKI的組件進(jìn)行實(shí)際驗(yàn)證。是否啟用了組織統(tǒng)一要求的PKI如果配合人員說(shuō)“是”，那么進(jìn)行實(shí)際驗(yàn)證。認(rèn)證進(jìn)程是否適當(dāng)列出應(yīng)用系統(tǒng)中所有客戶(hù)認(rèn)證進(jìn)程的清單，包括ApplicationServer與數(shù)據(jù)庫(kù)服務(wù)器也構(gòu)成client/sever關(guān)系。認(rèn)證方式一般有：操作系統(tǒng)、數(shù)據(jù)庫(kù)、目錄服務(wù)、認(rèn)證設(shè)備等。通過(guò)查看配置文件、手工測(cè)試等方式來(lái)驗(yàn)證在認(rèn)證過(guò)程中，是否存在以下問(wèn)題：只使用用戶(hù)名，不需要口令；是否有口令復(fù)雜性的策略要求；是否有帳戶(hù)鎖定的策略；用戶(hù)口令不能更改；用戶(hù)賬戶(hù)管理這部分主要檢查保存的用戶(hù)賬戶(hù)可能存在的安全弱點(diǎn)。首先識(shí)別應(yīng)用系統(tǒng)中用戶(hù)ID保存在哪里。有些應(yīng)用系統(tǒng)的用戶(hù)ID可能保存在多個(gè)地方。如果應(yīng)用系統(tǒng)使用操作系統(tǒng)、數(shù)據(jù)庫(kù)的內(nèi)置賬戶(hù)，那么這部分應(yīng)該在主機(jī)或者數(shù)據(jù)庫(kù)安全性評(píng)估中已經(jīng)進(jìn)行，這里可以標(biāo)記為NA。用戶(hù)ID唯一性檢查把用戶(hù)按ID排序，檢查是否存在ID重復(fù)的情況。把用戶(hù)按姓名排序，檢查是否存在一個(gè)姓名多ID的情況。不活動(dòng)用戶(hù)是否禁用超過(guò)90天沒(méi)有登陸的用戶(hù)，是否禁用？不必要的內(nèi)置用戶(hù)是否禁用如果commoncommercialoff-the-shelf(COTS)的軟件，使用的內(nèi)置用戶(hù)，在其他評(píng)估中，已經(jīng)進(jìn)行了評(píng)估，那么這部分可以忽略。需要注意這些不必要的內(nèi)置用戶(hù)是否必要？尤其當(dāng)它們是超級(jí)用戶(hù)的時(shí)候。用戶(hù)ID是否有默認(rèn)的或者弱口令應(yīng)該嘗試應(yīng)用系統(tǒng)廣為人知的默認(rèn)口令?；蛘呤褂胋ruteforce進(jìn)行弱口令暴力破解。數(shù)據(jù)保護(hù)本部分主要檢查數(shù)據(jù)在存儲(chǔ)、傳輸過(guò)程中的安全性、加密算法的問(wèn)題。敏感數(shù)據(jù)不適當(dāng)?shù)卮鎯?chǔ)敏感數(shù)據(jù)需要有適當(dāng)?shù)臋?quán)限保護(hù)，只有管理員、應(yīng)用或者操作系統(tǒng)進(jìn)程有權(quán)限進(jìn)行讀寫(xiě)。對(duì)于賬戶(hù)數(shù)據(jù)庫(kù)的本地備份，也應(yīng)該檢查其權(quán)限設(shè)置。其他用戶(hù)對(duì)敏感數(shù)據(jù)、尤其是用戶(hù)賬戶(hù)數(shù)據(jù)文件的讀或者寫(xiě)，都是危險(xiǎn)的?？梢詤⒖紁asswd~shadow的權(quán)限設(shè)置?？诹钚枰患用?，可以查看配置文件是否啟用了加密功能。如果認(rèn)證數(shù)據(jù)是可讀的，看看它是否明文，或者脆弱的加密方式。也可以審核源代碼，檢查對(duì)加密函數(shù)的過(guò)程調(diào)用，啟用了什么樣的加密功能。如果應(yīng)用系統(tǒng)中使用key進(jìn)行認(rèn)證，列出server中key的清單，并抽樣檢查。注意key文件的權(quán)限，一般用戶(hù)或者進(jìn)程不應(yīng)該有寫(xiě)的權(quán)限。識(shí)別是否有不必要的用戶(hù)或者應(yīng)用進(jìn)程（它在用戶(hù)的背后讀）對(duì)keys有讀的權(quán)限。對(duì)于非公開(kāi)的用戶(hù)數(shù)據(jù)，詢(xún)問(wèn)配合人員它們存儲(chǔ)在何處，及如何保護(hù)。用戶(hù)的權(quán)限不應(yīng)該超過(guò)最小授權(quán)的原則。注意全局權(quán)限，或者非管理員的組權(quán)限。敏感數(shù)據(jù)傳輸中沒(méi)有適當(dāng)?shù)谋Ｗo(hù)數(shù)據(jù)可以分成可以分成I&A和非I&A數(shù)據(jù)。所有的I&A數(shù)據(jù)在存儲(chǔ)、傳輸過(guò)程中必須進(jìn)行加密。檢查系統(tǒng)是否使用telnet、ftp、basichttp等協(xié)議進(jìn)行明文驗(yàn)證。如果是，那么是否在低層次的協(xié)議中進(jìn)行了加密？比如IPSEC、L2TP、PPTP或者鏈路層加密。如果應(yīng)用和數(shù)據(jù)庫(kù)在同一臺(tái)機(jī)器上，那么傳輸過(guò)程中無(wú)需加密。對(duì)于非I&A數(shù)據(jù)，也應(yīng)該根據(jù)重要性、是在內(nèi)網(wǎng)還是internet傳輸，來(lái)考慮其安全性。使用未經(jīng)驗(yàn)證的加密算法列出應(yīng)用系統(tǒng)中所有使用加密組件的清單，比如文件加密、VPN、SSH等。檢查是否使用了未經(jīng)驗(yàn)證的加密算法。這樣的加密算法，安全性無(wú)法保證。安全審核安全相關(guān)事件記錄對(duì)于以下安全相關(guān)的事件，應(yīng)該有詳細(xì)的紀(jì)錄：?jiǎn)?dòng)和關(guān)閉；認(rèn)證事件；授權(quán)用戶(hù)對(duì)數(shù)據(jù)的受控訪(fǎng)問(wèn)；不成功的訪(fǎng)問(wèn)企圖；刪除數(shù)據(jù)；應(yīng)用配置更改；日志將滿(mǎn)沒(méi)有警告檢查應(yīng)用文檔或者詢(xún)問(wèn)用戶(hù)是否有此功能？通過(guò)配置文件確認(rèn)之。日志存在未授權(quán)刪除、修改、泄露等漏洞檢查日志文件的權(quán)限，是否存在以上問(wèn)題。應(yīng)用操作基于角色的訪(fǎng)問(wèn)控制沒(méi)有加強(qiáng)責(zé)任分離應(yīng)該考慮以下分離：日志管理者~其他管理者；設(shè)置訪(fǎng)問(wèn)控制規(guī)則的人員~訪(fǎng)問(wèn)數(shù)據(jù)、編寫(xiě)程序的人員；如果應(yīng)用中實(shí)施了分開(kāi)，則可能使用的安全配置界面不同，或者使用不同的賬號(hào)登陸。應(yīng)用在執(zhí)行操作之前沒(méi)有進(jìn)行授權(quán)授權(quán)機(jī)制可能包括文件權(quán)限、數(shù)據(jù)庫(kù)、應(yīng)用代碼等。如果是在應(yīng)用代碼中，讓開(kāi)發(fā)者locateto相關(guān)代碼，細(xì)細(xì)檢查。如果使用文件權(quán)限、數(shù)據(jù)庫(kù)的方式，注意Everyone、world、public、guest等用戶(hù)或者組。進(jìn)程運(yùn)行的權(quán)限過(guò)高識(shí)別應(yīng)用運(yùn)行使用的賬戶(hù)。Windows中可以在“服務(wù)”中查看；Unix在ps–ef；n-tier結(jié)構(gòu)，可能看連接數(shù)據(jù)庫(kù)所使用的賬戶(hù)。如果使用administrator、uid=0、sa或者system等權(quán)限，都是安全隱患。搜索文件系統(tǒng)，看看有沒(méi)有以運(yùn)行進(jìn)程所使用的用戶(hù)為所有者的文件或者目錄。若有，則它能改寫(xiě)這些文件了。應(yīng)用沒(méi)有對(duì)session的限制詢(xún)問(wèn)配合人員每個(gè)用戶(hù)或者進(jìn)程ID會(huì)話(huà)數(shù)目的限制；以及會(huì)話(huà)空閑的最大時(shí)間?？梢詸z查配置文件、源代碼進(jìn)行驗(yàn)證。許多時(shí)候，配置文件、源代碼可能都看不到。這些和DoS攻擊有關(guān)。有時(shí)候測(cè)試會(huì)比較困難，比如idlelimits太長(zhǎng)；這也可以作為一個(gè)結(jié)果記錄下來(lái)。應(yīng)用修改在應(yīng)用的范圍之外的文件搜索最近一周、一天內(nèi)修改過(guò)的文件。看看有沒(méi)有在應(yīng)用的范圍之外的文件。用戶(hù)繞過(guò)用戶(hù)界面直接修改資源檢查系統(tǒng)開(kāi)放的服務(wù)、防火墻或者路由器的訪(fǎng)問(wèn)控制措施，從而確定“威脅界面”的大小。如果是Web應(yīng)用，可以嘗試是否存在授權(quán)機(jī)制繞過(guò)的問(wèn)題?？梢栽?xún)問(wèn)管理員是否存在直接修改數(shù)據(jù)庫(kù)的問(wèn)題。影響控制網(wǎng)絡(luò)架構(gòu)不適當(dāng)應(yīng)該通過(guò)DMZ、內(nèi)部訪(fǎng)問(wèn)控制等措施，減小應(yīng)用中一臺(tái)服務(wù)器被攻擊對(duì)其他系統(tǒng)的影響。沒(méi)有災(zāi)難恢復(fù)計(jì)劃如果該應(yīng)用是整個(gè)災(zāi)難恢復(fù)計(jì)劃中的一部分，確保計(jì)劃中包含詳細(xì)的指導(dǎo)。備份或者備份程序不完備確保對(duì)應(yīng)用數(shù)據(jù)、底層OS和應(yīng)用組件都進(jìn)行了備份。沒(méi)有確保應(yīng)用日志可以長(zhǎng)時(shí)間保存的流程建議保存至少半年以上。敏感數(shù)據(jù)未經(jīng)修改地直接導(dǎo)入測(cè)試環(huán)境敏感數(shù)據(jù)，必須修改后，才能在測(cè)試環(huán)境中運(yùn)行。代碼安全這部分檢查都需要審視應(yīng)用代碼，并且最好在測(cè)試系統(tǒng)上進(jìn)行驗(yàn)證。應(yīng)用的進(jìn)程在終止前沒(méi)有從內(nèi)存或者磁盤(pán)中刪除臨時(shí)對(duì)象應(yīng)該從內(nèi)存中釋放臨時(shí)對(duì)象，也應(yīng)該保證數(shù)據(jù)庫(kù)的連接被關(guān)閉。可以進(jìn)入程序進(jìn)行選定的動(dòng)作，然后退出，搜索最新創(chuàng)建的文件。在windows下，可以使用搜索。在unix下：#touch-t200301211020/tmp/testdatefile#find/-newer/tmp/testdatefile應(yīng)用沒(méi)有充分驗(yàn)證用戶(hù)輸入詢(xún)問(wèn)配合人員應(yīng)用的測(cè)試計(jì)劃。檢查測(cè)試計(jì)劃中包含對(duì)無(wú)效輸入的檢查，包括腳本標(biāo)簽、查詢(xún)字串、SQL命令、無(wú)效的數(shù)據(jù)類(lèi)型和大小等?？梢赃M(jìn)行查詢(xún)字串偽造、腳本嵌入、SQLinjection、無(wú)效的輸入大小或者類(lèi)型等等攻擊。劃中是否包含了對(duì)緩沖區(qū)溢出的測(cè)試