為什麼我們需要安全測試？

黑客，似乎離我們很遙遠。

黑客，其實就在你我身邊，只不過我們在明處，他們在暗處。

什麼是黑客？

起初，黑客(Hacker)是一群技術高超、信仰自由的計算機技術高手的自稱。真正的 「黑客們解決問題，建設事物，同時他們信仰自由和無私的雙向幫助」。

然而，任何技術既可用於造福，又可用於做惡。駭客(Cracker)們是利用計算機技術作惡的人群，他們惡意試圖破解某個程序、系統和網路，進而盜竊、損壞或使其癱瘓。「黑客」這個名詞，因為「黑」的字面意思，被文學影視作品和媒體通常用於描述計算機罪犯，現在已然成了污名。駭客沒有道德標準，這群人所作所為污穢了「黑客」這個名詞。

「黑客」應該是個中性詞，所以，大概在2010年業界開始使用帽子顏色來區分黑客類型。

白帽(White hat)黑客以「改善」為目標，破解某個程序做出（往往是好的）修改，而增強（或改變）該程序之用途，或者通過入侵去提醒該系統所有者計算機安全漏洞，甚至主動予以修補。白帽黑客大多是計算機安全公司的僱員，並在完全合法的情況下攻擊某系統。

黑帽(Grey hat)黑客就是駭客的另外一個名稱。

灰帽(Grey hat) 黑客介於黑帽和白帽之間，通過破解、入侵去炫耀自己擁有高超的技術，或者宣揚某種理念。

黑客的名稱不重要，重要的是所做的事情是正是惡。真正的黑客搞建設，駭客搞破壞。

黑客離我們不遠

駭客的危害極其驚人。2017年末，CNN有篇《2017年置我們於危險之中的那些黑客事件》的報道，表明了我們的個人隱私和生活都有可能受到影響。

徵信機構 Equifax 數據泄漏，半數美國人受影響。Equifax 擁有超過 8 億消費者的隱私信息，包括姓名、出生日期、家庭地址、社會安全號 SSN、駕駛執照 ID、信用卡信息。

雅虎 30 億郵箱信息泄漏，影響半個世界！雅虎公司證實，其所有30億個用戶賬號應該都受到了黑客攻擊的影響。被盜信息內容包括用戶名、郵箱地址、電話號碼、生日以及部分用戶部分客戶加密或未加密安全識別的問題和答案。

「WannaCry」勒索病毒大爆發。

美國某教會被病毒勒索，七十多歲的神父為了交比特幣贖金，從一個不知道電腦是什麼的老頭生生被逼成了技術宅；

美國某醫院被病毒鎖機，所有的檢驗單報告單一律恢復手寫模式，病人在醫院排起長龍；

美國某警察局被病毒勒索，懟天懟地懟空氣的全世界最囂張的美國警察都乖乖交了贖金。

黑客攻擊的一般過程

確定目標

信息收集

技術信息- 為了有針對性找出和利用漏洞，黑客會嘗試了解系統類型、操作系統、所提供的服務等全面的資料。

社會信息- 使用社會工程(Social Engineering)方法，收集員工的個人信息和工作信息。

漏洞挖掘- 黑客會使用各種工具，對目標的網路、伺服器和系統進行漏洞掃描，找出安全隱患所在。

攻擊- 黑客通過掃描工具的最終掃描報告，分析出可利用的安全隱患，並利用該安全隱患，取得目標系統的普通許可權。但黑客不會滿足於普通許可權，所以黑客通過本地提升程序，把許可權提升到系統級許可權，以便完全控制目標系統。

留下後門- 黑客為了能夠長時間地控制目標伺服器，會在目標伺服器里安裝一款隱蔽且強大的後門，以方便下次進入。

清除日誌- 黑客在此前的漏洞攻擊過程中，在目標伺服器的日誌里留下了很多痕迹。黑客此時要把這些痕迹清除掉，不被管理員發現。

金融系統是犯罪者最想攻破的堡壘

某年某月某日，幾名蒙面大漢衝進一家銀行，一聲槍聲響起。其中，一名劫匪對銀行櫃員大喊：「把所有錢都交出來！」

銀行工作人員一副生無可戀的表情：「先生，不好意思，所有的錢剛才被黑客轉走了。」

這個場景可以是一個笑話，也可能是個現實。金融系統直接存儲大量的資金賬戶和金額，自然成為犯罪者的首選目標和最想攻破的堡壘。

SWIFT(環球同業銀行金融電訊協會) 為銀行的結算提供了安全、可靠、快捷、標準化、自動化的通訊業務，因而被目前全球大多數國家大多數銀行已使用。

2016年2月，第一個利用SWIFT（環球銀行金融電信協會）系統進行網路金融盜竊的攻擊事件被發現，攻擊者成功從孟加拉國央行盜取8100萬美元。之後，基於SWIFT攻擊事件不時被報道。

2016年5月，厄瓜多的Banco del Austro (BDA) 被竊取1200萬美元.

2016年11 月，俄羅斯中央銀行發表聲明確認該行遭到重大網路攻擊，黑客已竊取了 20 億盧布(超過 3100 萬美元)。

2017年10月,中國台灣遠東國際銀行處被竊取約6000萬美元。

SWIFT已經算是銀行「內網」了，以安全著稱的SWIFT突然變得不安全了呢？

被發現的這種攻擊事件遵循相同的模式，黑客攻破了銀行的內部網路，並搜索SWIFT系統相關信息和銀行職員的操作憑證，然後試圖將錢從銀行的賬戶進行轉移。當一家金融機構有幾萬個員工，有幾千、幾萬、甚至幾十萬台主機，有很多上下游的服務商或供應商的時候，這樣的「內網」已經不算內網了，攻擊者有很多方式可以潛入。

針對孟加拉國央行的詳細攻擊流程如圖所示:

公司興亡，員工有責，測試員工更責無旁貸！

人們對於金融系統的安全性的信任度很高，甚至有些「盲目」信任。當內網不「內」的時候，內部使用的金融系統不能再依賴內外網隔絕的簡單思想來防護，金融系統安全如何來保證呢？誰來保證呢？

國家興亡，匹夫有責。同樣，金融系統安全事關公司興亡，員工有責，測試員工更責無旁貸！

金融行業的員工經常做安全培訓，安全通識相對較強，但是在如何加強金融系統安全性方面，知之甚少。開發人員經常會花大量的時間學習最新技術，深入探究系統設計和架構，解決性能問題，但是很少主動去考慮系統安全性。測試人員會做一些基礎的安全測試。開發和測試的技術人員，都缺乏對安全的系統性了解。

原因有二：

員工和組織不夠重視，組織缺乏明確要求，員工缺乏主動。

安全給人感覺是一塊遙遠的領域，讓人無從下手。

安全測試也可以很簡單

正如黑客離我們並不遙遠，安全測試離我們也非遙不可及。甚至，我們自己的有些行為也近於黑客行為。

黑客需要採集各種信息，譬如什麼操作系統、什麼WEB伺服器。我們經常在某個網站不可用的時候，看到網頁里顯示一堆冗長繁瑣的異常報錯信息。稍微對編程有所了解的人，就可以從中得到很多信息。Asp.net和Java Web App的異常報錯信息都是特徵顯著的。如果是asp.net，那麼操作系統基本上是Windows。如果是Java，異常報錯信息經常可以看出是否是tomcat, webSphere。知道操作系統和WEB伺服器，就可以嘗試使用工具去進一步發現漏洞。

竊取數據是黑客攻擊的一個主要目的。一個網站顯示屬於你的圖片的網址是http://www.example.com/showImage?id=0001，當我們看到0001這個編號，自然而然地想嘗試輸入0002。如果這個網站安全沒有做好，那麼你有可能未經授權就能看到別人的圖片。

想盡辦法去獲取賬號密碼，是黑客幹壞事的前提之一。黑客經常會猜，譬如嘗試世界上最常用的密碼，「123456」，「password」，「66666」，又譬如根據目標人物的生日去猜，又譬如嘗試某些系統總所周知的默認密碼，如admin賬號和admin密碼。其實，我們也經常有這種行為，只不過沒有黑客專業。

業界共識是，駭客人員水平參差不一，成金字塔分布。如下圖所示，近90%的駭客都是腳本小子。

腳本小子通常只是對計算機系統有基礎了解與愛好，因而研究和開發能力不夠，只會使用別人開發的程序並利用現成的漏洞來惡意破壞他人系統。

腳本小子都能成為「黑客」，那專業的測試人員就做不了安全測試？

千里之行，始於足下

金融系統所受攻擊愈演愈烈，安全測試可以促使大家研發出更安全的金融系統，正所謂任重而道遠。但，千里之行，始於足下。金融系統的安全，就從你我勇敢地邁出一小步開始。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！