在对客户网站以及APP进行渗透测试服务前,很重要的前期工作就是对网站,APP的信息进行全面的收集,知彼知己,才能更好的去渗透,前段时间我们SINE安全公司收到某金融客户的委托,对其旗下的网站,以及APP进行安全渗透,整个前期的信息收集过程,我们将通过文章的形式分享给大家.
不管是安全工程师还是白猫,在渗透测试过程中都很清楚,信息收集的重要性,我们SINE安全将以我们的角度去收集,去渗透,首先我们要搞明白为什么第一步必须要去做信息收集的工作,因为只有真正的了解了客户,才能做到知彼知己百战不殆,攻与防就是一个你我较量的过程,道高一尺魔高一丈,越了解彼此才能更好的融入到渗透测试中。
客户提出要求要找到目前网站,APP存在的漏洞,那么我们就得对客户的网站开发语言,以及数据库类型,服务器IP,等各个方面进行全面的信息收集,掌握到的信息越多,漏洞点也会越多,找到他最薄弱的环节,将其打通,就会找到其他的漏洞。对于搜集来的信息,我们可以划分3大类,第一个就是直接可以用的信息,第二个就是间接可以用的信息,第三个就是将来可以用的信息,那这3个类如何理解?将来可以用的信息简单来讲就是新版网站开发上线前,在官方网站进行了公布,说某某平台下个月将启用新版,那么我们可以获取到的信息是,有可能该网站的新版没有进行渗透测试,就上线了,安全风险系数很高,漏洞存在率也很高。直接可以用的信息,通俗的说就是网站存在漏洞,比如SQL注入漏洞,远程代码执行漏洞,逻辑越权漏洞,短信验证码盗刷漏洞等等。间接可以用的信息,就是我们经常遇到的,网站的后台地址,以及文件上传的地址,或者是主域名下的二级域名存在网站,我们SINE安全统称为间接可以用的信息。
那我们SINE安全在实际的渗透测试服务中,针对金融客户的信息收集主要是从下面一些方面进行:
网址域名的信息搜集,查看域名的注册信息,以及域名的注册邮箱,联系人信息,再一个通过SSL证书查看域名的信息,查看网站的JS文件是否包含其他的二级域名信息,以及网站的后台地址信息,对APK文件进行反编译查看源代码是否含有其他域名的接口信息,子域名的搜集利用搜索引擎查看收录的情况,是否含有子域名,使用域名的暴力猜解工具进行扫描。
网站服务器的信息搜集,查看网站是否隐藏真实IP,启用CDN,如果隐藏了真实IP,通过注册会员,邮箱发送这里查看真实IP,以及如果有二级域名,可以PING下二级域名的服务器IP地址,使用PING工具,国内推荐ping.chinaz.com可以在全国各个节点进行查询网站的所属IP。 也可以通过nslookup进行国外的DNS查询,因为国内CDN只针对国外的IP进行解析。
服务器使用的是windows系统还是linux系统搜集,系统版本号也可以通过工具扫描出来,kali系统,对服务器的端口开放情况进行全面的安全检测,服务器是否存在漏洞,包括redis未经授权访问漏洞等等,通过端口开放情况,来查看服务器运行了那些服务,以及安装的软件。
网站代码的搜集,查看网站的JS文件是否存在开源系统的痕迹,也可以通过人工搜索特征码来确定使用的CMS系统,网站开发语言,数据库类型,再检测一下网站是否存在网站防火墙,网站后台地址搜集。
以上就是我们SINE安全在前期渗透测试中需要搜集的一些信息,这项工作真的很重要,搜集的信息越多,我们越有把握找到网站存在的漏洞,所以很多客户在网站,APP上线之前一定要做全面的安全测试,以及漏洞的扫描,有些客户觉得没什么,等网站,APP用户上规模后,出现一次漏洞导致的经济损失就特别严重,发展受阻,因为体积大了,要改很麻烦。