当前位置:首页 >  站长 >  建站经验 >  正文

网站渗透测试中的漏洞信息搜集介绍

 2019-12-06 10:32  来源:A5用户投稿  我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

快到十二月中旬了,很多渗透测试中的客户想要知道如何搜集这些漏洞信息和利用方式的检测,再次我们Sine安全的工程师给大家普及下如何发现漏洞以及如何去获取这些有用的信息来防护自身的网站项目平台安全,把网站安全风险降到最低,使平台更加安全稳定的运行下去。

威胁情报(Threat Intelligence)一般指从安全数据中提炼的,与网络空间威胁相关的信息,包括威胁来源、攻击意图、攻击手法、攻击目标信息,以及可用于解决威胁或应对危害的知识。广义的威胁情报也包括情报的加工生产、分析应用及协同共享机制。相关的概念有资产、威胁、脆弱性等,具体定义如下。

6.3.2. 相关概念

资产(Asset):对组织具有价值的信息或资源

威胁(Threat): 能够通过未授权访问、毁坏、揭露、数据修改和或拒绝服务对系统造成潜在危害的起因,威胁可由威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果等多种属性来刻画

脆弱性 / 漏洞(Vulnerability): 可能被威胁如攻击者利用的资产或若干资产薄弱环节

风险(Risk): 威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能

安全事件(Event): 威胁利用资产的脆弱性后实际产生危害的情景

6.3.3. 其他

一般威胁情报需要包含威胁源、攻击目的、攻击对象、攻击手法、漏洞、攻击特征、防御措施等。威胁情报在事前可以起到预警的作用,在威胁发生时可以协助进行检测和响应,在事后可以用于分析和溯源。

常见的网络威胁情报服务有黑客或欺诈团体分析、社会媒体和开源信息监控、定向漏洞研究、定制的人工分析、实时事件通知、凭据恢复、事故调查、伪造域名检测等。

为了实现情报的同步和交换,各组织都制定了相应的标准和规范。主要有国标,美国联邦政府标准等。

在威胁情报方面,比较有代表性的厂商有RSA、IBM、McAfee、赛门铁克、FireEye等。

风险控制

6.4.1. 常见风险

会员

撞库盗号

账号分享

批量注册

视频

盗播盗看

广告屏蔽

刷量作弊

活动

薅羊毛

直播

挂站人气

恶意图文

电商

恶意下单

订单欺诈

支付

洗钱

恶意下单

恶意提现

其他

钓鱼邮件

恶意爆破

短信轰炸

安全加固

6.5.1. 网络设备

及时检查系统版本号

敏感服务设置访问IP/MAC白名单

开启权限分级控制

关闭不必要的服务

打开操作日志

配置异常告警

关闭ICMP回应

6.5.2. 操作系统

6.5.2.1. Linux

无用用户/用户组检查

敏感文件权限配置

/etc/passwd

/etc/shadow

~/.ssh/

/var/log/messages

/var/log/secure

/var/log/maillog

/var/log/cron

/var/log/spooler

/var/log/boot.log

日志是否打开

及时安装补丁

开机自启

/etc/init.d

检查系统时钟

6.5.2.2. Windows

异常进程监控

异常启动项监控

异常服务监控

配置系统日志

用户账户

设置口令有效期

设置口令强度限制

设置口令重试次数

安装EMET

启用PowerShell日志

限制以下敏感文件的下载和执行

ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif

限制会调起wscript的后缀

bat, js, jse, vbe, vbs, wsf, wsh

6.5.3. 应用

6.5.3.1. FTP

禁止匿名登录

修改Banner

6.5.3.2. SSH

是否禁用ROOT登录

是否禁用密码连接

6.5.3.3. MySQL

文件写权限设置

用户授权表管理

日志是否启用

版本是否最新

6.5.4. Web中间件

6.5.4.1. Apache

版本号隐藏

版本是否最新

禁用部分HTTP动词

关闭Trace

禁止 server-status

上传文件大小限制

目录权限设置

是否允许路由重写

是否允许列目录

日志配置

配置超时时间防DoS

6.5.4.2. Nginx

禁用部分HTTP动词

禁用目录遍历

检查重定向配置

配置超时时间防DoS

6.5.4.3. IIS

版本是否最新

日志配置

用户口令配置

ASP.NET功能配置

配置超时时间防DoS

6.5.4.4. JBoss

jmx console配置

web console配置

6.5.4.5. Tomcat

禁用部分HTTP动词

禁止列目录

禁止manager功能

用户密码配置

用户权限配置

配置超时时间防DoS

蜜罐技术

6.6.1. 简介

蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,其没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。

蜜罐可以实现对攻击者的主动诱捕,能够详细地记录攻击者攻击过程中的许多痕迹,可以收集到大量有价值的数据,如病毒或蠕虫的源码、黑客的操作等,从而便于提供丰富的溯源数据。

但是蜜罐存在安全隐患,如果没有做好隔离,可能成为新的攻击源。

6.6.2. 分类

按用途分类,蜜罐可以分为研究型蜜罐和产品型蜜罐。研究型蜜罐一般是用于研究各类网络威胁,寻找应对的方式,不增加特定组织的安全性。产品型蜜罐主要是用于防护的商业产品。

按交互方式分类,蜜罐可以分为低交互蜜罐和高交互蜜罐。低交互蜜罐模拟网络服务响应和攻击者交互,容易部署和控制攻击,但是模拟能力会相对较弱,对攻击的捕获能力不强。高交互蜜罐

6.6.3. 隐藏技术

蜜罐主要涉及到的是伪装技术,主要涉及到进程隐藏、服务伪装等技术。

蜜罐之间的隐藏,要求蜜罐之间相互隐蔽。进程隐藏,蜜罐需要隐藏监控、信息收集等进程。伪服务和命令技术,需要对部分服务进行伪装,防止攻击者获取敏感信息或者入侵控制内核。数据文件伪装,需要生成合理的虚假数据的文件。

6.6.4. 识别技术

攻击者也会尝试对蜜罐进行识别。比较容易的识别的是低交互的蜜罐,尝试一些比较复杂且少见的操作能比较容易的识别低交互的蜜罐。相对困难的是高交互蜜罐的识别,因为高交互蜜罐通常以真实系统为基础来构建,和真实系统比较近似。对这种情况,通常会基于虚拟文件系统和注册表的信息、内存分配特征、硬件特征、特殊指令等来识别,如果对渗透测试有需求的朋友可以去问问专业的网站安全维护公司来预防新项目上线所产生的安全问题,国内做的比较好的公司推荐Sinesafe,绿盟,启明星辰等等都是比较不错的。

作者: websafe    /    文章:93篇

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • 网站渗透测试安全团队组建重点介绍

    越来越多的网站和app的上线,导致安全问题日益增加,漏洞问题也非常多,大公司急需组建专业的渗透测试团队来保障新项目的安全稳定,防止被入侵被黑,对此我们Sinesafe给大家讲解下组建安全团队的重要几点,来达到各个项目的安全渗透工作的分工执行能力。

  • 网站安全渗透测试基础知识点大全

    天气变冷了,但对于渗透测试行业的热度高于天气的温度,说明全国互联网针对网站安全问题的重视性越来越高,对此我们专业的网站安全公司Sine安全对渗透测试的知识必知点详情的给大家讲解一下,对今后网站或APP的安全性提高有着特别大的作用,只有这样才能使网站和app走的更加长远稳定发展。

  • APP渗透测试 对文件上传功能的安全检测与webshell分析

    前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项目,在进行安全测试之前,我们对客户的网站大体的了解了一下,整个平台网站。

  • 渗透测试对Java架构网站漏洞检测方法

    近期对平台安全渗透测试中遇到有JAVA+mysql架构的网站,针对此架构我们Sine安全渗透工程师整理了下具体的漏洞检测方法和防护修复方法,很多像执行框架漏洞获取到系统权限,以及跨权限写入木马后门等等操作,希望大家在渗透测试的道路中发现更多的知识和经验。

  • APP漏洞检测报告 安全漏洞测试项目

    2019年第三季度以来,我们SINE安全,APP漏洞检测中心发现许多APP被检测出含有高危漏洞,包括目前漏洞比较严重的SIM卡漏洞以及安卓端、IOS端漏洞,根据上半年的安全检测以及漏洞测试分析发现,目前移动APP软件漏洞的发展速度上涨百分之30,大部分的APP漏洞都已被商业利用以及窃取用户隐私信息,

  • 卡片式设计很好,但这些误区需要避免

    随着移动互联网的不断发展以及移动用户的增加,卡片式的网页设计得到了越来越多人的欢迎和喜爱。卡片式设计可以较为轻松的容纳很多种不同类型的元素,可以将各种元素整齐划一的表现出来,为用户提供很好的视觉体验。在另一方面,卡片式设计也可以随意更改高度和宽度,非常适合在移动端进行调整,来适应各种不同尺寸的屏幕。

    标签:
    网站设计
  • 聚合支付被攻击 订单劫持 数据库被篡改的网站安全防护方案

    临近春节,某聚合支付平台被攻击篡改,导致客户提现银行卡信息被修改,支付订单被恶意回调,回调API接口的数据也被篡改,用户管理后台被任意登入,商户以及码商的订单被自动确认导致金额损失超过几十万,平台被攻击的彻底没办法了。

    标签:
    数据库设计
  • 做好哪些事情可以提升网站的用户体验?

    在互联网时代,很多企业都在寻求拥有一个自身的网站。但无论网站的内容是什么,需要进行产品的销售还是单纯的宣传,都必须要做好用户体验。那么,什么方法能够有效的提高用户体验呢?

  • 网站建设时,文字应该如何设计?

    一个网站中最重要的部分无疑是由文字组成的内容,所以在字体的选择方面也有很多要求。采用合理的字体可以让用户在浏览的过程中得到更好的体验,所以怎样合理的使用字体是在网站的建设中需要重点去研究的问题。下面,我们就来为大家分析一下,在不同的网站中选择什么样的字体。

  • 在进行网站设计时,优化视觉效果的几个细节

    每一家网站,都会希望用户能够对自己多一点欣赏,换言之就是站长都会希望自己网站的留存率高一点。用户在页面停留的时间越长,就表示网站越受到用户的欢迎。

    标签:
    网站设计
  • 不容忽视网站设计转化力 你注意到了吗

    单纯依靠精美的网页设计,杀伤力还是不够强劲的,突出的折扣信息,似乎更有效果,因为网络购物便宜,已经在用户心中形成了既定印象,那么,不断的更新最新的打折信息,虽然实惠并不是很多,还是满足了用户的“沾便宜”的心理.

    标签:
    电商网站设计
榜单

热门排行

信息推荐

扫一扫关注最新创业资讯