更新時(shí)間:2025-05-14 22:02:13
開(kāi)發(fā)經(jīng)驗(yàn)
505快到十二月中旬了,很多滲透測(cè)試中的客戶(hù)想要知道如何搜集這些漏洞信息和利用方式的檢測(cè),再次我們Sine安全的工程師給大家普及下如何發(fā)現(xiàn)漏洞以及如何去獲取這些有用的信息來(lái)防護(hù)自身的網(wǎng)站項(xiàng)目平臺(tái)安全,把網(wǎng)站安全風(fēng)險(xiǎn)降到最低,使平臺(tái)更加安全穩(wěn)定的運(yùn)行下去。
威脅情報(bào)(Threat Intelligence)一般指從安全數(shù)據(jù)中提煉的,與網(wǎng)絡(luò)空間威脅相關(guān)的信息,包括威脅來(lái)源、攻擊意圖、攻擊手法、攻擊目標(biāo)信息,以及可用于解決威脅或應(yīng)對(duì)危害的知識(shí)。廣義的威脅情報(bào)也包括情報(bào)的加工生產(chǎn)、分析應(yīng)用及協(xié)同共享機(jī)制。相關(guān)的概念有資產(chǎn)、威脅、脆弱性等,具體定義如下。
6.3.2. 相關(guān)概念
資產(chǎn)(Asset):對(duì)組織具有價(jià)值的信息或資源
威脅(Threat): 能夠通過(guò)未授權(quán)訪(fǎng)問(wèn)、毀壞、揭露、數(shù)據(jù)修改和或拒絕服務(wù)對(duì)系統(tǒng)造成潛在危害的起因,威脅可由威脅的主體(威脅源)、能力、資源、動(dòng)機(jī)、途徑、可能性和后果等多種屬性來(lái)刻畫(huà)
脆弱性 / 漏洞(Vulnerability): 可能被威脅如攻擊者利用的資產(chǎn)或若干資產(chǎn)薄弱環(huán)節(jié)
風(fēng)險(xiǎn)(Risk): 威脅利用資產(chǎn)或一組資產(chǎn)的脆弱性對(duì)組織機(jī)構(gòu)造成傷害的潛在可能
安全事件(Event): 威脅利用資產(chǎn)的脆弱性后實(shí)際產(chǎn)生危害的情景
6.3.3. 其他
一般威脅情報(bào)需要包含威脅源、攻擊目的、攻擊對(duì)象、攻擊手法、漏洞、攻擊特征、防御措施等。威脅情報(bào)在事前可以起到預(yù)警的作用,在威脅發(fā)生時(shí)可以協(xié)助進(jìn)行檢測(cè)和響應(yīng),在事后可以用于分析和溯源。
常見(jiàn)的網(wǎng)絡(luò)威脅情報(bào)服務(wù)有黑客或欺詐團(tuán)體分析、社會(huì)媒體和開(kāi)源信息監(jiān)控、定向漏洞研究、定制的人工分析、實(shí)時(shí)事件通知、憑據(jù)恢復(fù)、事故調(diào)查、偽造域名檢測(cè)等。
為了實(shí)現(xiàn)情報(bào)的同步和交換,各組織都制定了相應(yīng)的標(biāo)準(zhǔn)和規(guī)范。主要有國(guó)標(biāo),美國(guó)聯(lián)邦政府標(biāo)準(zhǔn)等。
在威脅情報(bào)方面,比較有代表性的廠(chǎng)商有RSA、IBM、McAfee、賽門(mén)鐵克、FireEye等。
風(fēng)險(xiǎn)控制
6.4.1. 常見(jiàn)風(fēng)險(xiǎn)
會(huì)員
撞庫(kù)盜號(hào)
賬號(hào)分享
批量注冊(cè)
視頻
盜播盜看
廣告屏蔽
刷量作弊
活動(dòng)
薅羊毛
直播
掛站人氣
惡意圖文
電商
惡意下單
訂單欺詐
支付
洗錢(qián)
惡意下單
惡意提現(xiàn)
其他
釣魚(yú)郵件
惡意爆破
短信轟炸
安全加固
6.5.1. 網(wǎng)絡(luò)設(shè)備
及時(shí)檢查系統(tǒng)版本號(hào)
敏感服務(wù)設(shè)置訪(fǎng)問(wèn)IP/MAC白名單
開(kāi)啟權(quán)限分級(jí)控制
關(guān)閉不必要的服務(wù)
打開(kāi)操作日志
配置異常告警
關(guān)閉ICMP回應(yīng)
6.5.2. 操作系統(tǒng)
6.5.2.1. Linux
無(wú)用用戶(hù)/用戶(hù)組檢查
敏感文件權(quán)限配置
/etc/passwd
/etc/shadow
~/.ssh/
/var/log/messages
/var/log/secure
/var/log/maillog
/var/log/cron
/var/log/spooler
/var/log/boot.log
日志是否打開(kāi)
及時(shí)安裝補(bǔ)丁
開(kāi)機(jī)自啟
/etc/init.d
檢查系統(tǒng)時(shí)鐘
6.5.2.2. Windows
異常進(jìn)程監(jiān)控
異常啟動(dòng)項(xiàng)監(jiān)控
異常服務(wù)監(jiān)控
配置系統(tǒng)日志
用戶(hù)賬戶(hù)
設(shè)置口令有效期
設(shè)置口令強(qiáng)度限制
設(shè)置口令重試次數(shù)
安裝EMET
啟用PowerShell日志
限制以下敏感文件的下載和執(zhí)行
ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif
限制會(huì)調(diào)起wscript的后綴
bat, js, jse, vbe, vbs, wsf, wsh
6.5.3. 應(yīng)用
6.5.3.1. FTP
禁止匿名登錄
修改Banner
6.5.3.2. SSH
是否禁用ROOT登錄
是否禁用密碼連接
6.5.3.3. MySQL
文件寫(xiě)權(quán)限設(shè)置
用戶(hù)授權(quán)表管理
日志是否啟用
版本是否最新
6.5.4. Web中間件
6.5.4.1. Apache
版本號(hào)隱藏
版本是否最新
禁用部分HTTP動(dòng)詞
關(guān)閉Trace
禁止 server-status
上傳文件大小限制
目錄權(quán)限設(shè)置
是否允許路由重寫(xiě)
是否允許列目錄
日志配置
配置超時(shí)時(shí)間防DoS
6.5.4.2. Nginx
禁用部分HTTP動(dòng)詞
禁用目錄遍歷
檢查重定向配置
配置超時(shí)時(shí)間防DoS
6.5.4.3. IIS
版本是否最新
日志配置
用戶(hù)口令配置
ASP.NET功能配置
配置超時(shí)時(shí)間防DoS
6.5.4.4. JBoss
jmx console配置
web console配置
6.5.4.5. Tomcat
禁用部分HTTP動(dòng)詞
禁止列目錄
禁止manager功能
用戶(hù)密碼配置
用戶(hù)權(quán)限配置
配置超時(shí)時(shí)間防DoS
蜜罐技術(shù)
6.6.1. 簡(jiǎn)介
蜜罐是對(duì)攻擊者的欺騙技術(shù),用以監(jiān)視、檢測(cè)、分析和溯源攻擊行為,其沒(méi)有業(yè)務(wù)上的用途,所有流入/流出蜜罐的流量都預(yù)示著掃描或者攻擊行為,因此可以比較好的聚焦于攻擊流量。
蜜罐可以實(shí)現(xiàn)對(duì)攻擊者的主動(dòng)誘捕,能夠詳細(xì)地記錄攻擊者攻擊過(guò)程中的許多痕跡,可以收集到大量有價(jià)值的數(shù)據(jù),如病毒或蠕蟲(chóng)的源碼、黑客的操作等,從而便于提供豐富的溯源數(shù)據(jù)。
但是蜜罐存在安全隱患,如果沒(méi)有做好隔離,可能成為新的攻擊源。
6.6.2. 分類(lèi)
按用途分類(lèi),蜜罐可以分為研究型蜜罐和產(chǎn)品型蜜罐。研究型蜜罐一般是用于研究各類(lèi)網(wǎng)絡(luò)威脅,尋找應(yīng)對(duì)的方式,不增加特定組織的安全性。產(chǎn)品型蜜罐主要是用于防護(hù)的商業(yè)產(chǎn)品。
按交互方式分類(lèi),蜜罐可以分為低交互蜜罐和高交互蜜罐。低交互蜜罐模擬網(wǎng)絡(luò)服務(wù)響應(yīng)和攻擊者交互,容易部署和控制攻擊,但是模擬能力會(huì)相對(duì)較弱,對(duì)攻擊的捕獲能力不強(qiáng)。高交互蜜罐
6.6.3. 隱藏技術(shù)
蜜罐主要涉及到的是偽裝技術(shù),主要涉及到進(jìn)程隱藏、服務(wù)偽裝等技術(shù)。
蜜罐之間的隱藏,要求蜜罐之間相互隱蔽。進(jìn)程隱藏,蜜罐需要隱藏監(jiān)控、信息收集等進(jìn)程。偽服務(wù)和命令技術(shù),需要對(duì)部分服務(wù)進(jìn)行偽裝,防止攻擊者獲取敏感信息或者入侵控制內(nèi)核。數(shù)據(jù)文件偽裝,需要生成合理的虛假數(shù)據(jù)的文件。
6.6.4. 識(shí)別技術(shù)
攻擊者也會(huì)嘗試對(duì)蜜罐進(jìn)行識(shí)別。比較容易的識(shí)別的是低交互的蜜罐,嘗試一些比較復(fù)雜且少見(jiàn)的操作能比較容易的識(shí)別低交互的蜜罐。相對(duì)困難的是高交互蜜罐的識(shí)別,因?yàn)楦呓换ッ酃尥ǔR哉鎸?shí)系統(tǒng)為基礎(chǔ)來(lái)構(gòu)建,和真實(shí)系統(tǒng)比較近似。對(duì)這種情況,通常會(huì)基于虛擬文件系統(tǒng)和注冊(cè)表的信息、內(nèi)存分配特征、硬件特征、特殊指令等來(lái)識(shí)別,如果對(duì)滲透測(cè)試有需求的朋友可以去問(wèn)問(wèn)專(zhuān)業(yè)的網(wǎng)站安全維護(hù)公司來(lái)預(yù)防新項(xiàng)目上線(xiàn)所產(chǎn)生的安全問(wèn)題,國(guó)內(nèi)做的比較好的公司推薦Sinesafe,綠盟,啟明星辰等等都是比較不錯(cuò)的。
我們專(zhuān)注高端建站,小程序開(kāi)發(fā)、軟件系統(tǒng)定制開(kāi)發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開(kāi)發(fā)、各類(lèi)API接口對(duì)接開(kāi)發(fā)等。十余年開(kāi)發(fā)經(jīng)驗(yàn),每一個(gè)項(xiàng)目承諾做到滿(mǎn)意為止,多一次對(duì)比,一定讓您多一份收獲!
