文档章节

网站渗透测试中的漏洞信息搜集

 网站安全
发布于 2019/12/06 09:32
字数 2023
阅读 8
收藏 0

快到十二月中旬了,很多渗透测试中的客户想要知道如何搜集这些漏洞信息和利用方式的检测,再次我们Sine安全的工程师给大家普及下如何发现漏洞以及如何去获取这些有用的信息来防护自身的网站项目平台安全,把网站安全风险降到最低,使平台更加安全稳定的运行下去。

威胁情报(Threat Intelligence)一般指从安全数据中提炼的,与网络空间威胁相关的信息,包括威胁来源、攻击意图、攻击手法、攻击目标信息,以及可用于解决威胁或应对危害的知识。广义的威胁情报也包括情报的加工生产、分析应用及协同共享机制。相关的概念有资产、威胁、脆弱性等,具体定义如下。

6.3.2. 相关概念

  • 资产(Asset):对组织具有价值的信息或资源
  • 威胁(Threat): 能够通过未授权访问、毁坏、揭露、数据修改和或拒绝服务对系统造成潜在危害的起因,威胁可由威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果等多种属性来刻画
  • 脆弱性 / 漏洞(Vulnerability): 可能被威胁如攻击者利用的资产或若干资产薄弱环节
  • 风险(Risk): 威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能
  • 安全事件(Event): 威胁利用资产的脆弱性后实际产生危害的情景

6.3.3. 其他

一般威胁情报需要包含威胁源、攻击目的、攻击对象、攻击手法、漏洞、攻击特征、防御措施等。威胁情报在事前可以起到预警的作用,在威胁发生时可以协助进行检测和响应,在事后可以用于分析和溯源。

常见的网络威胁情报服务有黑客或欺诈团体分析、社会媒体和开源信息监控、定向漏洞研究、定制的人工分析、实时事件通知、凭据恢复、事故调查、伪造域名检测等。

为了实现情报的同步和交换,各组织都制定了相应的标准和规范。主要有国标,美国联邦政府标准等。

在威胁情报方面,比较有代表性的厂商有RSA、IBM、McAfee、赛门铁克、FireEye等。

风险控制

6.4.1. 常见风险

  • 会员
  • 撞库盗号
  • 账号分享
  • 批量注册
  • 视频
  • 盗播盗看
  • 广告屏蔽
  • 刷量作弊
  • 活动
  • 薅羊毛
  • 直播
  • 挂站人气
  • 恶意图文
  • 电商
  • 恶意下单
  • 订单欺诈
  • 支付
  • 洗钱
  • 恶意下单
  • 恶意提现
  • 其他
  • 钓鱼邮件
  • 恶意爆破
  • 短信轰炸

安全加固

6.5.1. 网络设备

  • 及时检查系统版本号
  • 敏感服务设置访问IP/MAC白名单
  • 开启权限分级控制
  • 关闭不必要的服务
  • 打开操作日志
  • 配置异常告警
  • 关闭ICMP回应

6.5.2. 操作系统

6.5.2.1. Linux

  • 无用用户/用户组检查
  • 敏感文件权限配置
  • /etc/passwd
  • /etc/shadow
  • ~/.ssh/
  • /var/log/messages
  • /var/log/secure
  • /var/log/maillog
  • /var/log/cron
  • /var/log/spooler
  • /var/log/boot.log
  • 日志是否打开
  • 及时安装补丁
  • 开机自启
  • /etc/init.d
  • 检查系统时钟

6.5.2.2. Windows

  • 异常进程监控
  • 异常启动项监控
  • 异常服务监控
  • 配置系统日志
  • 用户账户
  • 设置口令有效期
  • 设置口令强度限制
  • 设置口令重试次数
  • 安装EMET
  • 启用PowerShell日志
  • 限制以下敏感文件的下载和执行
  • ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif
  • 限制会调起wscript的后缀
  • bat, js, jse, vbe, vbs, wsf, wsh

6.5.3. 应用

6.5.3.1. FTP

  • 禁止匿名登录
  • 修改Banner

6.5.3.2. SSH

  • 是否禁用ROOT登录
  • 是否禁用密码连接

6.5.3.3. MySQL

  • 文件写权限设置
  • 用户授权表管理
  • 日志是否启用
  • 版本是否最新

6.5.4. Web中间件

6.5.4.1. Apache

  • 版本号隐藏
  • 版本是否最新
  • 禁用部分HTTP动词
  • 关闭Trace
  • 禁止 server-status
  • 上传文件大小限制
  • 目录权限设置
  • 是否允许路由重写
  • 是否允许列目录
  • 日志配置
  • 配置超时时间防DoS

6.5.4.2. Nginx

  • 禁用部分HTTP动词
  • 禁用目录遍历
  • 检查重定向配置
  • 配置超时时间防DoS

6.5.4.3. IIS

  • 版本是否最新
  • 日志配置
  • 用户口令配置
  • ASP.NET功能配置
  • 配置超时时间防DoS

6.5.4.4. JBoss

  • jmx console配置
  • web console配置

6.5.4.5. Tomcat

  • 禁用部分HTTP动词
  • 禁止列目录
  • 禁止manager功能
  • 用户密码配置
  • 用户权限配置
  • 配置超时时间防DoS

蜜罐技术

6.6.1. 简介

蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,其没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。

蜜罐可以实现对攻击者的主动诱捕,能够详细地记录攻击者攻击过程中的许多痕迹,可以收集到大量有价值的数据,如病毒或蠕虫的源码、黑客的操作等,从而便于提供丰富的溯源数据。

但是蜜罐存在安全隐患,如果没有做好隔离,可能成为新的攻击源。

6.6.2. 分类

按用途分类,蜜罐可以分为研究型蜜罐和产品型蜜罐。研究型蜜罐一般是用于研究各类网络威胁,寻找应对的方式,不增加特定组织的安全性。产品型蜜罐主要是用于防护的商业产品。

按交互方式分类,蜜罐可以分为低交互蜜罐和高交互蜜罐。低交互蜜罐模拟网络服务响应和攻击者交互,容易部署和控制攻击,但是模拟能力会相对较弱,对攻击的捕获能力不强。高交互蜜罐

6.6.3. 隐藏技术

蜜罐主要涉及到的是伪装技术,主要涉及到进程隐藏、服务伪装等技术。

蜜罐之间的隐藏,要求蜜罐之间相互隐蔽。进程隐藏,蜜罐需要隐藏监控、信息收集等进程。伪服务和命令技术,需要对部分服务进行伪装,防止攻击者获取敏感信息或者入侵控制内核。数据文件伪装,需要生成合理的虚假数据的文件。

6.6.4. 识别技术

攻击者也会尝试对蜜罐进行识别。比较容易的识别的是低交互的蜜罐,尝试一些比较复杂且少见的操作能比较容易的识别低交互的蜜罐。相对困难的是高交互蜜罐的识别,因为高交互蜜罐通常以真实系统为基础来构建,和真实系统比较近似。对这种情况,通常会基于虚拟文件系统和注册表的信息、内存分配特征、硬件特征、特殊指令等来识别,如果对渗透测试有需求的朋友可以去问问专业的网站安全维护公司来预防新项目上线所产生的安全问题,国内做的比较好的公司推荐Sinesafe,绿盟,启明星辰等等都是比较不错的。

© 著作权归作者所有

网站安全

粉丝 7
博文 204
码字总数 296065
作品 0
青岛
私信 提问
加载中

评论(0)

网站安全渗透测试 之squid代理漏洞挖掘与修复

在对网站进行渗透测试的时候,发现很多网站都在使用squid反向代理系统,该系统存在可以执行远程代码的漏洞,很多客户找我们SINE安全做渗透测试服务的同时,我们会先对客户的网站进行信息搜集...

网站安全
2019/09/02
0
0
小型网站渗透常规思路之抛砖引玉

首先,我们知道 。当我们得到一个目标后,当然目标只是针对小型网站的一个思路,大型网站又是另外一个思路了。 信息收集 首先要做的就是信息收集,正所谓磨刀不误砍柴功。 以下引用owasp 渗透...

首席安全砖家
2015/04/13
2.5K
6
什么是网站系统安全的渗透检测?

建设网站系统需要做的工作很多,比如架构,模板的确认,还有各个安全问题的考虑,比如漏洞,木马等问题的渗透测试。而对于渗透这个词很多人都没怎么接触过。相信最近追热播亲爱的,热爱的这部...

墨者安全
2019/07/22
0
0
Web-安全-学习资料(很全)​

看原文 看原文 看原文 Web-安全-学习资料(很全) Web-Security-Learning 在学习web安全的过程中整合的一些资料。 该repo会不断更新,最近更新日期为:2017/9/19。 9月19日更新: 新收录文章...

Ho0oH
2017/09/26
0
0
移动端APP漏洞渗透测试安全检测实施方案

许多客户在网站,以及APP上线的同时,都会提前的对网站进行全面的渗透测试以及安全检测,提前检测出存在的网站漏洞,以免后期网站发展过程中出现重大的经济损失,前段时间有客户找到我们做渗...

网站安全
2019/10/17
0
0

没有更多内容

加载失败,请刷新页面

加载更多

SpringBoot图文教程5—SpringBoot 中使用Aop

有天上飞的概念,就要有落地的实现 概念+代码实现是本文的特点,教程将涵盖完整的图文教程,代码案例 文章结尾配套自测面试题,学完技术自我测试更扎实 概念十遍不如代码一遍,朋友,希望你把...

鹿老师的Java笔记
23分钟前
70
0
JavaScript在新窗口中打开,而不是选项卡

我有一个选择框,当选择一个项目时,它会调用window.open(url) 。 Firefox默认会在新标签页中打开页面。 但是,我希望页面在新窗口中打开,而不是在新标签页中打开。 我该怎么做? #1楼 关键...

javail
24分钟前
58
0
关闭iPhone / Safari输入元素四舍五入

我的网站在iPhone / Safari浏览器上呈现得很好,但有一个例外:我的文本输入字段有一个奇怪的圆形样式,对我网站的其他部分来说看起来并不好看。 有没有办法指示Safari(通过CSS或元数据)不...

技术盛宴
40分钟前
39
0
Spring Boot日志之Logback(二)

上一篇中讲解了如何配置Logback,接下来讲解一些其它细节方面的东西。 Logback日志输出格式 先看下最简单的Logback的配置文件: <configuration> <appender name="STDOUT" class="ch.qo......

_廿_
59分钟前
27
0
从centos服务器上导出项目,记录一次做憨批的工作记录

遇到一个客户,说要从他的centos上导出网站和数据库,以前操作centos都是直接putty上shell,装宝塔,然后面板操作就完事儿了.然后遇到这种dos操作linux,还是第一次. 首先xshell,登录上去后,安装一...

老bia同学
今天
57
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部