梁 捷,梁广明,黄水莲
(1.中国南方电网广西电网有限责任公司,广西 南宁 530023;2.南宁百会药业集团有限公司,广西 南宁 530003)
随着Web技术的普及和电力企业“互联网+”模式的建设和发展,南方电网公司通过建设和完善计量自动化系统、电子商务平台、协同办公系统等信息系统,不断地为日常业务提供信息化支持。该系统包含大量的发电厂、变电站、线路、工商业用户、公变台区、低压居民用户等档案信息,以及现场安装的电表、采集器、计量终端等计量设备的重要采集数据。这些数据一旦被网络攻击者非法截获、篡改或伪造,将可能损害电网和电力客户的利益,导致破坏电网安全运行等严重问题。
南方电网各省的省级计量自动化系统虽然根据企业建设标准采用了系统安全分区、横向隔离、纵向认证等安全管理措施,提高了系统的安全性,但主要是依赖于网络架构和网络安全设备本身的安全机制,面对攻击者采用的用户端、服务器、通信信道等全方位多样化攻击手段依然防不胜防。
以广西计量自动化系统近年的渗透测试情况为例,分析其在测试过程中发现的各种常见漏洞,结合案例说明网络漏洞形成原因和触发机制,并给出防范措施。
网络安全漏洞通常指互联网中为攻击者非法入侵、未经授权访问或信息拦截等恶意操作提供条件的网络单元的软硬件、通信规约的具体部署、系统安全策略上存在的缺陷。
根据网络安全漏洞可能造成的危害,可将其分为跨站脚本执行漏洞、越权访问漏洞、代码执行漏洞、敏感信息泄露漏洞、远程登录漏洞、审计漏洞、拒绝服务漏洞等类别。
广西计量自动化系统主站近年来的渗透测试案例中,最常见的是XSS跨站脚本执行漏洞、SQL注入攻击和敏感信息泄露3种安全漏洞。
XSS跨站脚本执行漏洞指的是网络攻击者将恶意HTML代码植入Web页面中,当用户打开该页面时,将触发其中的HTML代码,从而实现攻击者的恶意目的。
Web页面通常能在某个地方为用户提供信息输入并支持回显,但一般仅在预先指定的某个区域中输入的纯文本才能回显。而HTML除了纯文本,还支持多种客户机端的脚本代码完成多种操作,如验证表单数据或提供动态的用户交互元素等。当用户在Web页面提交数据与系统后台进行交互时,就有可能触发跨站脚本攻击,主要包括非持久型和持久型两种形式。
1.1.1 非持久型XSS
非持久型XSS就是将恶意脚本植入URL地址的href,sta等操作参数中,然后攻击者可以通过引诱用户点击脚本植入的链接到达目标网站而实施攻击。由于恶意脚本是在用户点击被篡改过的链接、页面载入过程中执行的,故该类攻击无需将恶意脚本保存在被攻击的站点中。
该漏洞的存在使得攻击者可以通过修改alert函数的参数来执行任意代码,从而导致主站能够被挂马利用而引发XSS攻击。当用户访问被加入恶意代码的页面时,就可能会自动访问被转向的地址或者下载木马病毒等。
如若将URL中的网址改写成一些恶意网站或木马,然后将其在BBS、电子邮件等载体上恶意传播,诱使他人点击访问,则可进行跨站脚本攻击。此外,其他类型的HTML标签也容易被非持久型XSS脚本攻击,例如、、
、