渗透测试报告中的“次要”发现:为何它们至关重要

本文探讨了渗透测试报告中常被客户质疑的“次要”安全发现的价值,包括自动完成功能、安全标头缺失、详细错误信息等低危漏洞的实际风险,以及如何根据组织安全文化调整报告内容。

为何这份发现会出现在我的渗透测试报告中?

理解客户常质疑的发现价值

在某些报告解读会上,客户可能会看着Web应用报告问:“你们为什么要报告这个?”本文探讨了为何我们会包含某些从客户视角看似不严重甚至不相关的发现,但从安全和咨询角度仍具有价值。

从顾问视角看,当我们进行Web应用评估且未发现关键或高危漏洞时,我们仍会报告最佳实践或低严重性问题。这并非填充内容,而是为了提供价值——即使在没有明显威胁的情况下。没有顾问想提交一份仅仅写着“我们什么都没找到”的报告。大多数情况下,我们都能识别出一些值得注意的最佳实践差距或轻微漏洞。

如果我们确实发现多个高危问题,这些自然会成为报告焦点。但根据评估范围和时长,我们仍会在适当时包含其他较低严重性的发现。

为何某些发现保留在报告中

客户质疑某些发现的一个原因是我们通常无法完全了解其组织的安全文化或威胁模型。作为顾问,我们的默认立场是保守的;我们假设您雇佣我们是为了在评估范围内发现并报告尽可能多的有效问题。

向具有更宽松或风险承受能力较强的组织呈现保守发现是很常见的。如果这些发现让您感到不合适或过度,我们绝对可以在事后调整,或理想情况下在评估规划阶段调整。

但它在开发/预发布环境中…

另一个常见反对意见:“那只是在开发或QA环境中。”虽然开发系统通常具有不同的威胁特征,但这些环境中的发现可能仍然相关,尤其是当系统面向互联网时。如果您的预发布或QA实例可公开访问,攻击者也能到达。

一旦攻击者获得立足点,他们通常可以在内部横向移动。从我们的角度看,任何互联网暴露的系统都是合理目标,应适当加固。

常遭质疑的发现示例

解读会上最常见的质疑时刻是客户看到他们认为不重要的发现。例如,敏感字段启用自动完成功能常被忽视为次要问题,但实际上可能导致凭据泄漏——尤其是在共享机器或受入侵的浏览器上。想象一下有人在酒店大堂终端登录应用并不小心保存了凭据;下一位用户可能直接进入该账户。

另一个是缺失安全标头,如X-Content-Type-Options、Strict-Transport-Security、X-Frame-Options或Content-Security-Policy。客户会说:“我们不是银行,真的需要这个吗?”但这些标头防护非常真实的攻击,如MIME类型混淆、点击劫持和XSS。这无关是否为高价值目标,而是关于基本卫生和深度防御。

详细错误消息和暴露的堆栈跟踪也很常见。有时它们甚至出现在生产环境中,并常揭示服务器软件或版本号,如Nginx、Apache或ASP.NET。这些信息为攻击者提供了更清晰的堆栈画像,使他们更容易查找这些版本可能存在的漏洞。

在一次评估中,顾问曾从详细错误消息中获取加密密钥。使用该密钥,顾问随后解密了应用响应,揭示了IDOR漏洞并获取了敏感信息。

过时的JavaScript库也常遭质疑。您可能使用了10或15个这样的库,虽然看似都不关键,但现实是其中一些库存在已知漏洞,如XSS或更严重的问题。随着供应链风险的存在,依赖未修补的第三方代码不容忽视。是的,我们理解更新可能破坏功能或耗时,但至少应有计划或补偿控制措施。

账户锁定和速率限制是另一个例子。一些客户认为无限登录尝试没那么严重,尤其是在低威胁环境中。但没有这些控制,您完全开放给暴力攻击。添加锁定逻辑或实施MFA显著降低该威胁,且通常成本较低。

开放目录列表也常被忽视。表面看来无害。但我们反复在这些目录中发现敏感文件,如配置备份、数据库导出或包含用户名和密码的旧文本文件。很少只是空文件夹。

接下来是会话cookie配置。缺失Secure或HttpOnly标志可能看似检查项,但它们存在是有原因的。没有这些标志,会话令牌更容易通过XSS或MitM攻击窃取。这些标志易于实现并提供有意义的保护。

最后但同样重要的是TLS/SSL漏洞。这些是渗透测试中相当常见的发现,客户常质疑为何包含在报告中。但现实是,如果您的服务器仍支持过时协议如TLS 1.0或1.1,或弱密码如RC4和过时的CBC套件,那是真实的安全关切,因为攻击者可能拦截和解密客户端与服务器之间的流量。

棘手部分

修复所有这些的棘手之处在于兼容性。如果您的组织有庞大或多样化的客户群,尤其是使用旧版浏览器的用户,禁用这些旧协议和密码可能中断部分用户的访问。我们在银行、保险和金融等行业常见此情况,客户可能仍在使用旧版Internet Explorer或类似旧平台。这使得难以一夜之间切换修复问题。

另一个挑战是当客户依赖云服务或基础设施限制其控制TLS/SSL协议或密码套件的能力时。有时WAF或负载均衡器决定可用选项,您的选择受限。在这些情况下,您的手脚有些被束缚。

是的,这些可能看似小事,但在现实世界中,攻击者不需要一打关键缺陷就能成功。有时,一个弱链接就足够了。这就是为什么我们将这些包含在报告中。而且,作为精英网络安全咨询公司,如果我们不包含这些有帮助——尽管有时次要——的发现,那就是失职。

希望排除发现?让我们谈谈

自定义报告发现的最佳时间是在评估启动电话会议上。如果您已意识到某些问题并不想包含它们,或希望移至附录或标记为信息性,请告知我们。我们经常根据此类反馈为客户定制报告。

另一方面,如果有您更关心的特定漏洞,请告诉我们!我们将更深入地关注这些并花更多时间挖掘您优先关注的领域。您的问题就是我们的定制。

最终,这是关于平衡。帮助您的顾问理解组织的安全文化——无论是更保守还是更威胁容忍——使评估对每个人都更顺畅。我们越了解您的期望,最终报告就越可操作、相关和有价值。

如果您对我们的渗透测试或Web应用服务感兴趣,请联系我们的团队。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次