本期特邀資深信息安全、團隊管理專家翟勝軍老師,針對***性測試服務的問題給予解答,歡迎網友積極提問,與專家一起討論!
專家博客:http://zhaisj.blog.51cto.com
查看本期門診精彩實錄:http://doctor.51cto.com/develop-266.html
參與最新技術門診:暢談WCF的擴展之“道”
精選本期網友提問與專家解答,以供網友學習參考。
Q:您好:
***性測試服務既然作爲服務,那麼客戶的認可度自然就非常重要,但由於國內的安全意識還比較薄弱,有些客戶往往很難認同一些測試結果,比如:
1、有的客戶就會認爲XSS漏洞不是直接影響到服務器自身而不以爲然。
2、緩衝區溢出漏洞又無法向用戶進行***重放,客戶會感覺說服力不夠。
3、目錄遍歷漏洞不能單獨利用而易被客戶忽視。
4、DDOS又是對任何服務器都有可能面臨的情況。
。。。。。。
向以上等這些問題您又是如何去說服客戶認可你們的呢?謝謝!
A:你提的問題很真實,確實是實際的問題。但更能證明我們推廣***服務的必要性。
之所以推廣***服務,就是系統地展示漏洞被利用可能產生的危害。每個漏洞可能都是***過程的一個步驟而已,如同你說的目錄遍歷,它只是提供了一些系統信息,是後續***動作的基礎。所以它所能產生的危害,需要與後續的手段結合起來纔可以展現。但若沒有他提供的信息,後續的***也許就無法進行。
這就是其他的評估服務、諮詢服務不能讓用戶理解那麼長的漏洞列表意味着什麼,***服務可以展示威脅的嚴重性,***服務可以讓用戶看到,一個小小的目錄遍歷的危害究竟有多大,當然,這需要其他方面的支持,這也正是***服務的困難所在。
再如緩衝區溢出時提權最爲常用的方式,但沒有入門的漏洞利用,實施緩衝區溢出也不容易,客戶是否重視這個漏洞,關鍵是看它有沒有可能被人利用。
XSS就更典型了,很多用戶認爲它是對用戶有威脅,對自己沒有危害,但用戶也是爲他的用戶服務的,當他的用戶知道他們不顧及自己的安全時,還有誰願意訪問他們的網站呢?沒有了用戶,他就不是安全的問題了,也許是關門問題了,你說他還不關心嗎?
DDOS***好像是沒有辦法,尤其是針對帶寬的***的,但也要看用戶的業務是幹什麼的,如是網絡遊戲,耽誤了用戶玩遊戲,老闆損失多少money,誰不着急一定立即開了他...
你看吧,具體的問題,要針對用戶具體的實際安全需求去分析,不是技術本身的問題,而是拿它用在哪裏。
乞丐是不必擔心小偷的,所以,推廣信息安全要看用戶的實際需求,實用價值纔是用戶需要的...
Q:***測試是否有***服務技術規範?***服務技術規範主要包含的內容是什麼?把***服務技術規範做好了就做好了***測試嗎?
謝謝!
A:***服務目前還沒有國際、國內的技術規範,也許這是一門很專業的、特殊的行業,技術規範的確不容易制定。雖然我定義***服務不是******過程的再現,但***服務的宗旨是爲了發現有價值的漏洞,阻止***的實際***,所以***服務的意圖還是從***真是***的角度看待被***的目標,使用***實際***中的技術與手段。所以,***服務也與******一樣屬於逆向思維,發現漏洞,利用漏洞...這就像軍隊的戰備,你有槍,我要有炮,你有炮,我要有原子彈...我的技術要能剋制你,才能夠從戰略上壓倒你,震懾你。我強大,你就不可能敢來***我,即使***也只能是螞蟻撼樹而已。***服務沒有技術規範,但安全維護管理有規範,因爲規範的安全管理,可以抵禦***與***。但是***服務不同於真實的******,因爲***服務是提前通知客戶的,技術上的難度可以想象,用戶的心裏也很正常。做好***服務的的工程師,應該說,就像一個教練與一個員動員對比賽的理解,運動員只是爲了勝利,而教練不僅要理解比賽,制定有效的策略,還要說服運動員按照自己的想法與思路,最後取得勝利。技術有成敗,追求無止境。
Q: 我是一個IDC機房的運維技術,機房中有很多的肉雞,在不停的掃描內網,請問有什麼好的***測試工具,可以及早的發現服務器系統漏洞和應用程序漏洞,避免服務器被******,利用
Q:你好
我是一名linux系統管理員,就目前來說,***大致分爲兩種,一種是純技術的,另一種是通過社會工程學的,那以後的***技術會向哪個方向發展呢?
A:打贏一場戰爭,要的是結果,成王敗寇,沒有人會去問他用得方法是道德的,還是殘酷的。
信息安全是一種對抗性技術,無論黑貓白貓,能抓耗子就是好貓。所以***技術,技術的也好,社會工程的也好,只要能***成功,就是方向。
你說的很對,社會工程學正在成爲***的主要手段之一,但並不意味着技術手段就退後了。安全常常是從你不注意的“短木板”進入的,如果最近新的***技術出現了,如SQL注入出現的時候,應用***就盛行了;緩衝區溢出被發現的時候,溢出***就流行了;若安全管理鬆懈了,也許利用社會工程學***的案例又大幅增多;
我認爲這兩個方向是個此消彼長的,當然還有其他的***方式,如內部人員信息泄漏、打入對方內部的“間諜”......手段還很多。
***的手段從來就不是可以總結完全的,若真那樣,世界就真的和平了。
Q: 老師你好,我想問下要把信息安全學好最基礎的應該先去學些什麼呢?彙編還是高級語言呢?我覺得我現在就只是會用工具,想學點真正用得着的。
A: 信息安全的基礎課程應該是計算機原理、操作系統、數據庫、彙編語言、網絡通信等,所以彙編語言應該是基礎。高級語言有很多,但大多理念你相同,只是使用習慣與支撐環境的差異。
只會使用工具,纔是入門級別,起碼應該瞭解漏洞的原理,這樣纔可以隨機應變。如果說學些實用的話,建議你學習 C編程,學習操作系統的基礎,如Windows的驅動編程,Linux的驅動編程等等;還可以學習TCP/IP協議,掌握網絡通信的基礎。這些對你將來從事網絡維護、系統管理、應用軟件的開發都會有幫助。
Q: 老師,
您好,我想問個相對具體點的問題。***服務測試是個系統工程,其中從技術角度來看,個人認爲可以歸結爲漏洞挖掘能力和漏洞利用能力。這兩個應該也是最核心的東西,我想請問下老師如何評價或者說評估團隊中的這兩個能力,能不能給些具體的、可量化、可執行的評價標準。謝謝老師。
A:首先,這方面業界還沒有統一的定論,我只是從我的理解,大家一起討論吧。
漏洞挖掘能力是一種科學的研究,有源代碼分析,有逆向分析,還有靈感突現...目前一般用公佈的漏洞數量與漏洞價值來比較。但是由於漏洞公佈一直是業界“特別”的事情,買賣漏洞的黑市交易越來越多,不公佈的漏洞可能蘊含量巨大,所以這個方式評價一個團隊的能力,好像只是廣告宣傳效果。
我們目前採用的方式,就是你團隊的開發能力,參照軟件開發成熟度模型,有良好組織能力的團隊,應該在漏洞挖掘能力上要優秀一些。
漏洞利用能力分爲漏洞利用工具的使用能力,以及漏洞利用工具的開發能力。我個人更加重視後一種,用人家的工具,當然應該落後於人家。同樣的原因,公佈的漏洞利用工具,大多是教學使用,真正***時使用自己的專用工具很多。鑑於這種原因,我也是利用軟件開發成熟度模型,認爲有良好的開發能力,自然能在漏洞利用上有更好表現。
綜合起來,評價漏洞挖掘與漏洞利用,主要是評價團隊的規模、專業性、管理、案例、知名度等相關因素,也只是主觀的打分,量化目前還很有難度。