董曉露 王小軍 王 玥 王 聰 孫 雯 謝于寧

（杭州電子科技大學，浙江 杭州 310018）

基于 WebGoat 的滲透測試教學平臺開發(fā)與應用

董曉露 王小軍 王 玥 王 聰 孫 雯 謝于寧

（杭州電子科技大學，浙江 杭州 310018）

當前信息安全形勢下，大部分高校開設了網絡安全課程，其中滲透測試技術的學習舉足輕重。文章分析了各類常用的滲透測試工具，并著重對WebGoat這一開源的滲透測試平臺進行研究。從課程改進和關鍵界面漢化這兩部分著手，使WebGoat能更好地應用于實踐教學，讓學生在實踐操作中更高效地學習掌握相關技術。

WebGoat；滲透測試；教學應用

隨著互聯(lián)網的不斷發(fā)展，信息化已成為社會發(fā)展的必然趨勢。而開放的網絡環(huán)境讓人們在享受便利的同時也感受到信息的安全性和保密性所遭受的強烈沖擊。2013年，棱鏡門事件的曝光讓大至國家，小到個人都開始重新審視自身的信息安全現(xiàn)狀。2014年2月，我國首次成立中央網絡安全和信息化領導小組，將信息安全上升到國家戰(zhàn)略高度。因此，國家和社會迫切需要高素質、有實戰(zhàn)能力的信息安全類專業(yè)人才。

滲透測試是網絡安全實踐教學研究的重要內容。滲透測試的目的在于深入目標網絡內部，檢驗一個系統(tǒng)網絡能否接受住黑客的攻擊[1]。由于滲透測試模擬了真實的攻擊者，所以很可能對網絡的正常運行造成損害，那就必須要減小或消除滲透測試本身對網絡運行的消極影響。并且現(xiàn)今的 Web 應用架構出現(xiàn)了新的變化，Web應用不僅可以實現(xiàn)動態(tài)頁面，而且往往跟數(shù)據庫操作系統(tǒng)進行捆綁[2]，使得存在威脅的環(huán)節(jié)增多，即使相關廠家不斷的更新補丁來加固安全，其漏洞仍然大量存在，導致應用開發(fā)人員和漏洞檢測人員對于新漏洞的學習成本不斷增加。WebGoat 應運而生，從根本上解決了這兩大困擾。

1 滲透測試

1.1 滲透測試的概念

心理學上有換位思考的說法，將其應用到計算機安全上就衍生出了滲透測試技術。滲透測試是一種通過模擬惡意黑客的攻擊方法，來評估計算機網絡系統(tǒng)安全性能的方法。[3]這個過程包括對系統(tǒng)的任何弱點、技術缺陷或漏洞的主動分析，這個分析是從一個攻擊者可能存在的位置來進行的，并且從這個位置有條件主動利用安全漏洞。

滲透測試是以入侵者的思維方式，使用黑客入侵所使用的探測和入侵工具，以成功入侵網絡系統(tǒng)為目的，其整個思路、過程和黑客入侵行為一致[4]。但與黑客的攻擊相比，滲透測試選擇不影響業(yè)務系統(tǒng)正常運行的方法進行攻擊，發(fā)現(xiàn)漏洞和系統(tǒng)缺陷，并不對系統(tǒng)本身造成危害，即僅僅通過一些信息搜集手段來探查系統(tǒng)的弱口令、漏洞等脆弱性信息，提出安全解決方案，了解系統(tǒng)和網絡的安全強度。

1.2 常見滲透測試工具

主流商業(yè)掃描器有ISS Internet Scanner、Core Impact、NSFOCUS極光掃描器等，常用端口掃描器有 Nmap、Superscan，溢出工具應用最廣泛的是 Metasploit，WEB 漏掃工具有AppScan、WebInspect、Nikto，此外還有THC Hydra、Cain & Abel等破解工具。

以AppScan為例，它是IBM公司出的一款Web應用安全測試工具，采用黑盒測試方式，掃描常見的web應用安全漏洞。

AppScan功能齊全，支持登錄并且擁有十分強大的報表。并且在掃描結果中，AppScan不僅讓用戶能夠看到掃描的漏洞，還提供了詳盡的漏洞原理、修改建議、手動驗證等功能。但是作為一款商業(yè)軟件，其昂貴的價格讓眾多學習者望而卻步。

這些常用的滲透測試工具中，一些是專業(yè)領域用戶使用，一些為商業(yè)軟件，有些可能并不適用于一般的學生。

2 WebGoat滲透測試平臺的概述

2.1 WebGoat簡介

WebGoat是OWASP（Open Web Application SecurityProject）組織研制出的一個基于J2EE架構，用于演示Web應用程序中典型安全漏洞的應用平臺，是 OWASP旗下的開源項目中比較著名的一個元老級計劃之一。WebGoat旨在應用程序安全審計的上下文中系統(tǒng)條理地講解如何測試和利用這些安全漏洞。WebGoat本身是一系列教程，其中設計了大量的Web缺陷，這些漏洞并非程序中的 bug，而是設計用來講授Web應用程序的安全課程，指導用戶如何去利用這些漏洞進行攻擊，同時也指出如何在程序設計和編碼時避免這些漏洞。當前提供30多項訓練課程，其中包括：跨站點腳本攻擊（XSS）、訪問控制、線程安全、操作隱藏字段、操縱參數(shù)、弱會話cookie、SQL盲注、數(shù)字型SQL注入、字符串型SQL注入、Web服務等。

2.2 WebGoat的教學方式

WebGoat本身獨特的教學方式為人稱道。學習者首先需要具備相應漏洞的基礎知識。雖然WebGoat應用程序本身提供了有關的簡介，但是很可能需要查找更多的資料才能了解該漏洞的原理、特征和攻擊方法，甚至要自己去找攻擊輔助工具，所以，它對于激發(fā)安全測試人員和開發(fā)人員來的學習興趣和提高安全知識的理解及動手能力方面，都非常有幫助。

3 WebGoat滲透測試平臺的開發(fā)

WebGoat在漏洞的整理分類歸納方面顯示了一定的局限性，30多個課程并不能完全滿足廣大用戶對于滲透檢測學習的需求。因此本文著重介紹添加的“HTTP參數(shù)污染”和“Flash XSS”兩項教學內容。其余課程用戶可以結合用戶手冊學習操作。

3.1 HTTP參數(shù)污染實驗

3.1.1 技術主題

該實驗的主要目的在于介紹如何進行HTTP參數(shù)污染攻擊測試。

3.1.2 技術原理

HPP是HTTP Parameter Pollution的縮寫。這個漏洞由S.diPaola與L. Caret Toni在2009年的OWASP上首次公布。這也是一種注入型的漏洞，攻擊者通過在HTTP請求中插入特定的參數(shù)來發(fā)起攻擊。如果Web應用中存在這樣的漏洞，可以被攻擊者利用來進行客戶端或者服務器端的攻擊。

3.1.3 總體目標

能夠通過修改 http 參數(shù)來對提交的結果進行一定的干涉修改。

3.1.4 操作方法

借助工具Firefox的插件TamperData.在頁面圖1所示點擊survey按鈕。

圖1 HTTP頭部操作界面

然后Tamper Data截獲請求查看如圖2所示。

圖2 Tamper Data操作界面

在這里可以看到其提交請求的URL里面，course_id這個參數(shù)正好是第一步提交的course_id的參數(shù)。所以可以考慮對這個參數(shù)進行注入。利用Tamper Data攔截在第一步選擇課程時提交的參數(shù)，course_id的值改為1%26survey_result%3Dgood，如圖3所示。

圖3 修改course_id字段

提交后就可以看到課程已經識別到了我們已經成功注入了這個參數(shù)，這時候，不管選擇的評價是好還是壞，最后的結果都會是好。

圖4 提交成功界面

3.2 Flash XSS跨站漏洞實驗

3.2.1 技術主題

該實驗的主要目的在于介紹 flash 中與 JavaScript交互部分使用不當造成的 XSS 攻擊測試。

3.2.2 技術原理

Flash中的編程語言為AS，但是AS代碼之中如果借助JS與頁面進行通信，而且沒有對傳入的參數(shù)進行過濾的話就容易導致XSS;例如：ExternalInterface.call()可以調用外部的JS函數(shù)，但是比如在ExternalInterface.call (param1,param2)中param1或者2是由外部傳入而且沒有做過濾就會導致 XSS。

3.2.3 總體目標

學生實際構造XSS，使自己的JS語句能夠被反射執(zhí)行。

3.2.4 操作方法

如圖5所示，筆者在反編譯本頁面的falsh源碼之后，發(fā)現(xiàn)并沒有對傳入的參數(shù)進行過濾，存在函數(shù)ExternalInterface.call(root.loaderInfo.parameters.js,”helloworld”);發(fā)現(xiàn)參數(shù)1處并沒有被有被過濾直接調用。

圖5 課程實例界面

如圖6所示輸入alert之后可以直接覆蓋原來的函數(shù)執(zhí)行alert函數(shù)。

圖6 輸入 alert 函數(shù)被執(zhí)行

改變輸入的內容就可以靈活的去執(zhí)行指定的JS語句了。

3.3 關鍵模塊和界面的漢化

對于中國用戶而言，WebGoat最大的不足便是全英文的版本讓多數(shù)人無從下手。如圖7為關鍵頁面漢化的效果。

圖7 WebGoat關鍵頁面漢化效果圖

4 WebGoat應用于教學研究的價值

2001年，我國第一個信息安全本科專業(yè)于武漢大學建立，目前80多所大學設立相關專業(yè)，并在個別院校開設其專業(yè)的碩士博士研究生點。但總體來說我國在信息安全技術方面的起點還較低，技術人才匱乏。為了培養(yǎng)應用型工程人才，國內各大高校近年來大幅度提升實驗實踐項目要求，以鍛煉學生理論聯(lián)系實際的能力、實際動手能力和創(chuàng)新能力。作為信息安全專業(yè)的本科學生，筆者對此現(xiàn)象就有很切身的感受和體會。

眾所周知，網絡領域知識更新?lián)Q代速度極快，與國外教材相比，目前我們的課本使用周期長，再版時間久，時效性不強，可能導致課程學習和實際需要的脫節(jié)。網絡滲透技術作為一門專業(yè)限選課，同學們普遍反映課堂上大多時間都是老師講授理論知識，學習興致不高。授課教師也認為課本理論知識與實際應用聯(lián)系不夠緊密，缺乏合適的訓練課程和模擬教學的應用平臺。 WebGoat滲透測試教學平臺能在較大程度上緩解此教學困境。作為一款開源并且對操作環(huán)境要求不高的軟件，WebGoat易于安裝使用，關鍵界面漢化更能適用于國內學生的實踐學習。此外老師也可結合教學目標，布置對WebGoat相關課程實踐的課外任務，提高學生實際操作能力的同時培養(yǎng)學生的自學意識，調高教學質量。學生可通過有針對性的案例實踐操作，更高效地掌握相關理論基礎知識和創(chuàng)新實踐能力。

5 總結

當前，滲透測試自身的破壞性使實驗教學的開展受到很大局限，而實踐又是檢驗理論掌握技術的必經之路，這就導致了網絡安全實踐教學面臨各種困境。WebGoat滲透測試教學平臺通過在虛擬網絡環(huán)境下設置各類訓練課程讓學生理解了滲透測試的流程和手段。文中兩項新添加的實驗能讓學生更好地掌握HTTP參數(shù)污染和XSS跨站漏洞的知識，同時關鍵界面的漢化也為學生實踐提供了便利。

[1] Frank Lam,樸輝.滲透測試技術在計算機網絡安全中的應用[J].安防科技,2003,(3):58-59.

[2] 鄭炯.WEB應用安全漏洞挖掘的研究與實現(xiàn)[D].成都:電子科技大學,2011.

[3] 常艷,王冠.網絡安全滲透測試研究[J].信息網絡安全, 2008,(11):3-4.

[4] 王曉聰,張冉,黃赪東.滲透測試技術淺析[J].計算機科學, 2012,(39):86-88.

The development of penetration testing teaching platform and application based on WebGoat

In the current information security fields, network security is a necessary curriculum in most universities and the learning of penetration test technology play a decisive role. Analysis of commonly used penetration testing tools and focus on WebGoat which is an open-source penetration testing platform, were presented in this paper. Begin with the improvement of curriculum and Chinesization of key interface part, so that WebGoat can be better applied in practical teaching. Therefore, college students can be more efficient learning and mastering the relevant technologies.

WebGoat;Penetration testing;Application of teaching

TP393

A

1008-1151(2015)03-0131-03

2015-02-11

董曉露（1993－），女，杭州電子科技大學通信工程學院信息安全專業(yè)本科生。