基于 WebGoat 的滲透測試教學(xué)平臺開發(fā)與應(yīng)用

董曉露 王小軍 王 玥 王 聰 孫 雯 謝于寧

（杭州電子科技大學(xué)，浙江 杭州 310018）

基于 WebGoat 的滲透測試教學(xué)平臺開發(fā)與應(yīng)用

董曉露 王小軍 王 玥 王 聰 孫 雯 謝于寧

（杭州電子科技大學(xué)，浙江 杭州 310018）

當(dāng)前信息安全形勢下，大部分高校開設(shè)了網(wǎng)絡(luò)安全課程，其中滲透測試技術(shù)的學(xué)習(xí)舉足輕重。文章分析了各類常用的滲透測試工具，并著重對WebGoat這一開源的滲透測試平臺進(jìn)行研究。從課程改進(jìn)和關(guān)鍵界面漢化這兩部分著手，使WebGoat能更好地應(yīng)用于實踐教學(xué)，讓學(xué)生在實踐操作中更高效地學(xué)習(xí)掌握相關(guān)技術(shù)。

WebGoat；滲透測試；教學(xué)應(yīng)用

隨著互聯(lián)網(wǎng)的不斷發(fā)展，信息化已成為社會發(fā)展的必然趨勢。而開放的網(wǎng)絡(luò)環(huán)境讓人們在享受便利的同時也感受到信息的安全性和保密性所遭受的強(qiáng)烈沖擊。2013年，棱鏡門事件的曝光讓大至國家，小到個人都開始重新審視自身的信息安全現(xiàn)狀。2014年2月，我國首次成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，將信息安全上升到國家戰(zhàn)略高度。因此，國家和社會迫切需要高素質(zhì)、有實戰(zhàn)能力的信息安全類專業(yè)人才。

滲透測試是網(wǎng)絡(luò)安全實踐教學(xué)研究的重要內(nèi)容。滲透測試的目的在于深入目標(biāo)網(wǎng)絡(luò)內(nèi)部，檢驗一個系統(tǒng)網(wǎng)絡(luò)能否接受住黑客的攻擊[1]。由于滲透測試模擬了真實的攻擊者，所以很可能對網(wǎng)絡(luò)的正常運(yùn)行造成損害，那就必須要減小或消除滲透測試本身對網(wǎng)絡(luò)運(yùn)行的消極影響。并且現(xiàn)今的 Web 應(yīng)用架構(gòu)出現(xiàn)了新的變化，Web應(yīng)用不僅可以實現(xiàn)動態(tài)頁面，而且往往跟數(shù)據(jù)庫操作系統(tǒng)進(jìn)行捆綁[2]，使得存在威脅的環(huán)節(jié)增多，即使相關(guān)廠家不斷的更新補(bǔ)丁來加固安全，其漏洞仍然大量存在，導(dǎo)致應(yīng)用開發(fā)人員和漏洞檢測人員對于新漏洞的學(xué)習(xí)成本不斷增加。WebGoat 應(yīng)運(yùn)而生，從根本上解決了這兩大困擾。

1 滲透測試

1.1 滲透測試的概念

心理學(xué)上有換位思考的說法，將其應(yīng)用到計算機(jī)安全上就衍生出了滲透測試技術(shù)。滲透測試是一種通過模擬惡意黑客的攻擊方法，來評估計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全性能的方法。[3]這個過程包括對系統(tǒng)的任何弱點、技術(shù)缺陷或漏洞的主動分析，這個分析是從一個攻擊者可能存在的位置來進(jìn)行的，并且從這個位置有條件主動利用安全漏洞。

滲透測試是以入侵者的思維方式，使用黑客入侵所使用的探測和入侵工具，以成功入侵網(wǎng)絡(luò)系統(tǒng)為目的，其整個思路、過程和黑客入侵行為一致[4]。但與黑客的攻擊相比，滲透測試選擇不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的方法進(jìn)行攻擊，發(fā)現(xiàn)漏洞和系統(tǒng)缺陷，并不對系統(tǒng)本身造成危害，即僅僅通過一些信息搜集手段來探查系統(tǒng)的弱口令、漏洞等脆弱性信息，提出安全解決方案，了解系統(tǒng)和網(wǎng)絡(luò)的安全強(qiáng)度。

1.2 常見滲透測試工具

主流商業(yè)掃描器有ISS Internet Scanner、Core Impact、NSFOCUS極光掃描器等，常用端口掃描器有 Nmap、Superscan，溢出工具應(yīng)用最廣泛的是 Metasploit，WEB 漏掃工具有AppScan、WebInspect、Nikto，此外還有THC Hydra、Cain & Abel等破解工具。

以AppScan為例，它是IBM公司出的一款Web應(yīng)用安全測試工具，采用黑盒測試方式，掃描常見的web應(yīng)用安全漏洞。

AppScan功能齊全，支持登錄并且擁有十分強(qiáng)大的報表。并且在掃描結(jié)果中，AppScan不僅讓用戶能夠看到掃描的漏洞，還提供了詳盡的漏洞原理、修改建議、手動驗證等功能。但是作為一款商業(yè)軟件，其昂貴的價格讓眾多學(xué)習(xí)者望而卻步。

這些常用的滲透測試工具中，一些是專業(yè)領(lǐng)域用戶使用，一些為商業(yè)軟件，有些可能并不適用于一般的學(xué)生。

2 WebGoat滲透測試平臺的概述

2.1 WebGoat簡介

WebGoat是OWASP（Open Web Application SecurityProject）組織研制出的一個基于J2EE架構(gòu)，用于演示W(wǎng)eb應(yīng)用程序中典型安全漏洞的應(yīng)用平臺，是 OWASP旗下的開源項目中比較著名的一個元老級計劃之一。WebGoat旨在應(yīng)用程序安全審計的上下文中系統(tǒng)條理地講解如何測試和利用這些安全漏洞。WebGoat本身是一系列教程，其中設(shè)計了大量的Web缺陷，這些漏洞并非程序中的 bug，而是設(shè)計用來講授Web應(yīng)用程序的安全課程，指導(dǎo)用戶如何去利用這些漏洞進(jìn)行攻擊，同時也指出如何在程序設(shè)計和編碼時避免這些漏洞。當(dāng)前提供30多項訓(xùn)練課程，其中包括：跨站點腳本攻擊（XSS）、訪問控制、線程安全、操作隱藏字段、操縱參數(shù)、弱會話cookie、SQL盲注、數(shù)字型SQL注入、字符串型SQL注入、Web服務(wù)等。

2.2 WebGoat的教學(xué)方式

WebGoat本身獨特的教學(xué)方式為人稱道。學(xué)習(xí)者首先需要具備相應(yīng)漏洞的基礎(chǔ)知識。雖然WebGoat應(yīng)用程序本身提供了有關(guān)的簡介，但是很可能需要查找更多的資料才能了解該漏洞的原理、特征和攻擊方法，甚至要自己去找攻擊輔助工具，所以，它對于激發(fā)安全測試人員和開發(fā)人員來的學(xué)習(xí)興趣和提高安全知識的理解及動手能力方面，都非常有幫助。

3 WebGoat滲透測試平臺的開發(fā)

WebGoat在漏洞的整理分類歸納方面顯示了一定的局限性，30多個課程并不能完全滿足廣大用戶對于滲透檢測學(xué)習(xí)的需求。因此本文著重介紹添加的“HTTP參數(shù)污染”和“Flash XSS”兩項教學(xué)內(nèi)容。其余課程用戶可以結(jié)合用戶手冊學(xué)習(xí)操作。

3.1 HTTP參數(shù)污染實驗

3.1.1 技術(shù)主題

該實驗的主要目的在于介紹如何進(jìn)行HTTP參數(shù)污染攻擊測試。

3.1.2 技術(shù)原理

HPP是HTTP Parameter Pollution的縮寫。這個漏洞由S.diPaola與L. Caret Toni在2009年的OWASP上首次公布。這也是一種注入型的漏洞，攻擊者通過在HTTP請求中插入特定的參數(shù)來發(fā)起攻擊。如果Web應(yīng)用中存在這樣的漏洞，可以被攻擊者利用來進(jìn)行客戶端或者服務(wù)器端的攻擊。

3.1.3 總體目標(biāo)

能夠通過修改 http 參數(shù)來對提交的結(jié)果進(jìn)行一定的干涉修改。

3.1.4 操作方法

借助工具Firefox的插件TamperData.在頁面圖1所示點擊survey按鈕。

圖1 HTTP頭部操作界面

然后Tamper Data截獲請求查看如圖2所示。

圖2 Tamper Data操作界面

在這里可以看到其提交請求的URL里面，course_id這個參數(shù)正好是第一步提交的course_id的參數(shù)。所以可以考慮對這個參數(shù)進(jìn)行注入。利用Tamper Data攔截在第一步選擇課程時提交的參數(shù)，course_id的值改為1%26survey_result%3Dgood，如圖3所示。

圖3 修改course_id字段

提交后就可以看到課程已經(jīng)識別到了我們已經(jīng)成功注入了這個參數(shù)，這時候，不管選擇的評價是好還是壞，最后的結(jié)果都會是好。

圖4 提交成功界面

3.2 Flash XSS跨站漏洞實驗

3.2.1 技術(shù)主題

該實驗的主要目的在于介紹 flash 中與 JavaScript交互部分使用不當(dāng)造成的 XSS 攻擊測試。

3.2.2 技術(shù)原理

Flash中的編程語言為AS，但是AS代碼之中如果借助JS與頁面進(jìn)行通信，而且沒有對傳入的參數(shù)進(jìn)行過濾的話就容易導(dǎo)致XSS;例如：ExternalInterface.call()可以調(diào)用外部的JS函數(shù)，但是比如在ExternalInterface.call (param1,param2)中param1或者2是由外部傳入而且沒有做過濾就會導(dǎo)致 XSS。

3.2.3 總體目標(biāo)

學(xué)生實際構(gòu)造XSS，使自己的JS語句能夠被反射執(zhí)行。

3.2.4 操作方法

如圖5所示，筆者在反編譯本頁面的falsh源碼之后，發(fā)現(xiàn)并沒有對傳入的參數(shù)進(jìn)行過濾，存在函數(shù)ExternalInterface.call(root.loaderInfo.parameters.js,”helloworld”);發(fā)現(xiàn)參數(shù)1處并沒有被有被過濾直接調(diào)用。

圖5 課程實例界面

如圖6所示輸入alert之后可以直接覆蓋原來的函數(shù)執(zhí)行alert函數(shù)。

圖6 輸入 alert 函數(shù)被執(zhí)行

改變輸入的內(nèi)容就可以靈活的去執(zhí)行指定的JS語句了。

3.3 關(guān)鍵模塊和界面的漢化

對于中國用戶而言，WebGoat最大的不足便是全英文的版本讓多數(shù)人無從下手。如圖7為關(guān)鍵頁面漢化的效果。

圖7 WebGoat關(guān)鍵頁面漢化效果圖

4 WebGoat應(yīng)用于教學(xué)研究的價值

2001年，我國第一個信息安全本科專業(yè)于武漢大學(xué)建立，目前80多所大學(xué)設(shè)立相關(guān)專業(yè)，并在個別院校開設(shè)其專業(yè)的碩士博士研究生點。但總體來說我國在信息安全技術(shù)方面的起點還較低，技術(shù)人才匱乏。為了培養(yǎng)應(yīng)用型工程人才，國內(nèi)各大高校近年來大幅度提升實驗實踐項目要求，以鍛煉學(xué)生理論聯(lián)系實際的能力、實際動手能力和創(chuàng)新能力。作為信息安全專業(yè)的本科學(xué)生，筆者對此現(xiàn)象就有很切身的感受和體會。

眾所周知，網(wǎng)絡(luò)領(lǐng)域知識更新?lián)Q代速度極快，與國外教材相比，目前我們的課本使用周期長，再版時間久，時效性不強(qiáng)，可能導(dǎo)致課程學(xué)習(xí)和實際需要的脫節(jié)。網(wǎng)絡(luò)滲透技術(shù)作為一門專業(yè)限選課，同學(xué)們普遍反映課堂上大多時間都是老師講授理論知識，學(xué)習(xí)興致不高。授課教師也認(rèn)為課本理論知識與實際應(yīng)用聯(lián)系不夠緊密，缺乏合適的訓(xùn)練課程和模擬教學(xué)的應(yīng)用平臺。 WebGoat滲透測試教學(xué)平臺能在較大程度上緩解此教學(xué)困境。作為一款開源并且對操作環(huán)境要求不高的軟件，WebGoat易于安裝使用，關(guān)鍵界面漢化更能適用于國內(nèi)學(xué)生的實踐學(xué)習(xí)。此外老師也可結(jié)合教學(xué)目標(biāo)，布置對WebGoat相關(guān)課程實踐的課外任務(wù)，提高學(xué)生實際操作能力的同時培養(yǎng)學(xué)生的自學(xué)意識，調(diào)高教學(xué)質(zhì)量。學(xué)生可通過有針對性的案例實踐操作，更高效地掌握相關(guān)理論基礎(chǔ)知識和創(chuàng)新實踐能力。

5 總結(jié)

當(dāng)前，滲透測試自身的破壞性使實驗教學(xué)的開展受到很大局限，而實踐又是檢驗理論掌握技術(shù)的必經(jīng)之路，這就導(dǎo)致了網(wǎng)絡(luò)安全實踐教學(xué)面臨各種困境。WebGoat滲透測試教學(xué)平臺通過在虛擬網(wǎng)絡(luò)環(huán)境下設(shè)置各類訓(xùn)練課程讓學(xué)生理解了滲透測試的流程和手段。文中兩項新添加的實驗?zāi)茏寣W(xué)生更好地掌握HTTP參數(shù)污染和XSS跨站漏洞的知識，同時關(guān)鍵界面的漢化也為學(xué)生實踐提供了便利。

[1] Frank Lam,樸輝.滲透測試技術(shù)在計算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].安防科技,2003,(3):58-59.

[2] 鄭炯.WEB應(yīng)用安全漏洞挖掘的研究與實現(xiàn)[D].成都:電子科技大學(xué),2011.

[3] 常艷,王冠.網(wǎng)絡(luò)安全滲透測試研究[J].信息網(wǎng)絡(luò)安全, 2008,(11):3-4.

[4] 王曉聰,張冉,黃赪東.滲透測試技術(shù)淺析[J].計算機(jī)科學(xué), 2012,(39):86-88.

The development of penetration testing teaching platform and application based on WebGoat

In the current information security fields, network security is a necessary curriculum in most universities and the learning of penetration test technology play a decisive role. Analysis of commonly used penetration testing tools and focus on WebGoat which is an open-source penetration testing platform, were presented in this paper. Begin with the improvement of curriculum and Chinesization of key interface part, so that WebGoat can be better applied in practical teaching. Therefore, college students can be more efficient learning and mastering the relevant technologies.

WebGoat;Penetration testing;Application of teaching

TP393

A

1008-1151(2015)03-0131-03

2015-02-11

董曉露（1993－），女，杭州電子科技大學(xué)通信工程學(xué)院信息安全專業(yè)本科生。