脆弱性 网络安全风险评估之脆弱性识别

一.脆弱性概述

漏洞，也称为弱点或漏洞，是资产或资产组中的薄弱环节，可能会被威胁使用并造成损害。一旦漏洞受到威胁并被成功利用，它可能会对资产造成损害。漏洞可能存在于物理环境、组织、流程、人员、管理、配置、硬件、软件和信息中。

脆弱性与资产密切相关，这是其固有属性。客观存在是绝对的，但漏洞的存在不一定导致安全事件。如果它没有被相应的威胁利用，简单的漏洞本身不会损害资产。从这个角度来说，脆弱性是相对的。与“脆弱”相对的概念是“坚固”，在一定条件下会相互转化。因此，一方面，脆弱性是资产的固有属性，但另一方面，它的主导性会随着资产的变化而变化。如果资产足够强大，严重威胁不会导致安全事件和损失。网络和信息系统的维护者总是与攻击者竞争，试图在受到使用威胁之前弥补他们的漏洞。

脆弱性可以从技术和管理两个方面来理解。技术层面的漏洞主要与资产本身的属性有关，最典型的是操作系统和应用软件的漏洞；管理层面的漏洞包括安全管理体系不完善和管理体系执行不力。

模拟实验案例描述

根据扫描结果，生产系统中的Web数据发布应用服务器App Web存在“Linux Bash远程可执行文件”漏洞。服务器的操作系统是Cent OS 6.5，操作系统中的GNUbash版本低于4.3。本实验针对Linux Bash远程可执行文件的漏洞，搭建仿真平台，进行仿真渗透测试，验证漏洞被利用后对系统的影响。

仿真实验平台描述

用一台带有Cent OS 6.5操作系统的PC模拟易受攻击的服务器，该服务器配置在与带有Linux操作系统的攻击机相同的子网内。被攻击飞机的IP地址设为192.168.90.27，被攻击飞机的IP地址设为192.168.90.26。仿真实验平台的网络环境如下图所示。

“Apache Struts多远程命令执行”漏洞仿真实验测试平台

模拟实验预期结果的描述

成功利用Linux Bash远程可执行漏洞后，攻击飞机可以使用http向被攻击飞机写入任意文件。

模拟实验步骤

在被攻击的机器上安装Apache Tomcat，构建http服务器，使用默认配置。

在攻击机上打开一个命令窗口，测试它是否与被攻击飞机通信，如下图所示。

攻击飞机与被攻击飞机网络连接

检查被攻击飞机的“/tmp”文件夹中是否有3个文件，如下图所示。

被攻击的飞机"/tmp "文件夹

在攻击飞机中，利用CVE-2014-6271漏洞，使用metasploit工具发起http请求，在http请求头中构造特殊语句触发漏洞，在被攻击飞机的“/tmp”中写入文件“aa”，如下图所示。

构造一个特殊的http请求语句，并向被攻击的飞机写入文件

看着被攻击飞机的文件夹“/tmp”，文件“aa”已经写成功，如下图所示。

文件已成功写入

上述攻击利用目标系统的CVE-2014-6271漏洞，通过http请求构造特殊语句触发漏洞，并将文件上传到被攻击主机。

仿真实验表明，攻击者可以利用CVE-2014-6271漏洞执行任意代码，并将任意文件上传到目标主机。因为具有此漏洞的服务器是生产系统的重要服务器，一旦受到攻击，服务器的完整性就会被破坏，甚至攻击者可能通过植入恶意程序窃取数据或攻击系统的其他服务器，威胁整个系统的安全。

漏洞识别输出报告

四.结论

摘要:给出了漏洞和漏洞识别的概念，阐述了漏洞的相关要素，介绍了漏洞的发现、分类、验证和分配方法，分析了某公司业务系统的漏洞识别案例。在实际的漏洞识别工作中，需要根据业务系统的资产状况，结合评估人员的经验、相关统计数据和外部参考数据进行综合判断，从而明确资产的各种漏洞和严重程度。