最近给朋友帮忙,测试某省政府网络(资产规模非常庞大)的安全性。他们去年已经做过安全项目,拉了国内2家著名的安全厂家,进行了一年时间的安全整改,前期也做了多次渗透测试,没有较大问题了。
虽然我的专长在于安全防护,保护系统和网络,保护方面还有一手,但在攻击方面,这么大年纪了,好长时间没做了,还真有些发怵。
但一做下来,发现问题太多了,系统和网络上,表面上看只开了邮件和web服务,只有几个jsp页面,而且每个jsp页面单独放在一台服务器上面运行(有钱就是好啊),做了大量的sql注入过滤,而且上了支持sql注入防护的防火墙和ids,在向内的网络使用了多台网闸,整个系统看上去固若金汤。朋友用了十几种扫描工具,包括web应用扫描的那几款著名工具,都没有发现任何问题,牛吧,政府网吧能做到这份上真是不多,因为是特别重要的部门,加上过去曾经出过事,领导非常重视,从预算中拿出一部分费用来做安全防护(对我们穷人来说也非常可观了),现在的系统,安全评估、加固一类已经做好很多次了。想想看,有哪个客户会花很多钱,买上国内国外好几套的扫描工具?几十台千兆防火墙?还有IDS。。。真是要命啊。
任务看上去非常有压力,但既然工具扫不出东西来,咱就按着入侵者的思路分析下去吧。结果不做不知道,一做吓一跳,居然发现三大类安全风险,都对系统有非常严重的威胁。最后,按照这些威胁,做了多个方面的入侵,拿到内网的多个服务器的操作权限,账户资源出写报告了。
做测试过程中了解到,有很多省市用了其中的某个系统,而且没有象他们这样专门再定制再加固。
后来另一个在安全界打滚多年的老朋友就说呢,哪有你这么实在的,渗透测试嘛,一般只要通过一个漏洞进入系统,就算完成任务了,很少会全面地找问题,再针对这些问题,每一个方面都进行完全地入侵,最后再给出详细的整改方案,靠呀,一个项目把所有活都干完了,其它人吃什么呀?好吧,我觉的应该不单算成是渗透攻击测试,而应该算是完全的远程安全评估,哈哈,从效果上看,应该是这样的。
工作告一段落,三天时间内只能晚上干活,还要写报告,累坏我了,以后不打算做渗透测试了,或者Zero知识的黑盒,远程风险评估了,还是发挥自己的长处,为大家提供安全风险评估、系统防御一类的东西吧。
没有评论:
发表评论