已经快12月中旬了,很多渗透测试的客户都想知道如何收集这些漏洞信息,检测利用模式。我们的Sine安全工程师将再次普及如何发现漏洞,如何获取这些有用的信息,以保护自己网站项目平台的安全,最大限度地降低网站安全风险,使平台运行更加安全稳定。
威胁情报一般是指从安全数据中提取的与网络空间威胁相关的信息,包括威胁来源、攻击意图、攻击战术、攻击目标信息以及可用于解决威胁或应对危害的知识。广义威胁情报还包括情报处理与制作、分析与应用、协同共享机制。相关概念包括资产、威胁和漏洞,定义如下。
6.3.2.相关概念
资产):是对组织有价值的信息或资源
威胁):可通过未经授权的访问、破坏、泄露、数据修改和/或拒绝服务对系统造成潜在危害。威胁可以用威胁的主体(威胁来源)、能力、资源、动机、方式、可能性和后果等各种属性来表征。
漏洞):可能受到威胁,例如被攻击者利用的资产或几个资产的薄弱环节
风险):威胁利用一项资产或一组资产的漏洞对组织造成伤害
安全事件):威胁利用资产的漏洞,并实际造成损害
6.3.3.其他人
一般威胁情报需要包括威胁来源、攻击目的、攻击对象、攻击战术、漏洞、攻击特点、防御措施等。威胁情报可以提前发挥预警作用,在威胁发生时协助检测和应对,事后可用于分析和追溯。
常见的网络威胁情报服务包括黑客或诈骗团伙分析、社交媒体和开源信息监测、针对性漏洞研究、定制化人工分析、实时事件通知、凭据恢复、事故调查、伪造域名检测等。
为了实现情报的同步和交换,各个组织都制定了相应的标准和规范。主要有国家标准、美国联邦政府标准等。
在威胁情报方面,代表性的厂商有RSA、IBM、迈克菲、赛门铁克,火眼等。
风险控制
6.4.1.常见风险
成员
与图书馆的碰撞和黑客攻击
帐户共享
批量注册
录像
海盗和海盗。看
广告屏蔽
刷牙作弊
活动
薅羊毛
直播
挂上人气
恶意图形
电子商务
恶意订单
订单欺诈
支付
洗钱
恶意订单
恶意提现
其他的
网络钓鱼邮件
恶意爆破
短信轰炸
安全加固
6.5.1.网络设备
及时检查系统版本号
敏感服务设置访问Ip/MAC白名单
启用权限的分级控制
关闭不必要的服务
打开操作日志
配置异常警报
关闭ICMp回应
6.5.2.操作系统
6.5.2.1.Linux
无用的用户/用户组检查
敏感文件权限配置
/etc/passwd
/等/影
~/.ssh/
/var/日志/消息
/var/log/secure
/var/log/maillog
/var/log/cron
/var/log/spooler
/var/log/boot.log
日志打开了吗
及时安装补丁
引导自启动
/etc/init.d
检查系统时钟
窗口
异常过程监控
异常启动项目监控
异常服务监控
配置系统日志
用户帐户
设置密码有效期
设置密码强度限制
设置密码重试次数
安装EMET
启用powerShell日志记录
限制以下敏感文件的下载和执行
ade、adp、ani、bas、bat、chm、cmd、com、cpl、crt、hlp、ht、hta、inf、ins、isp、job、js、jse、lnk、mda、mdb、mde、mdz、msc、msi、msp、mst、pcd、pif、reg、scr、sct、shs、url、vb、vbe、vbs、wsc、wsf、wsh、exe、pif
限制会提高wscript的后缀
bat、js、jse、vbe、vbs、wsf、wsh
6.5.3.应用
6.5.3.1.FTp
禁止匿名登录
修改横幅
6.5.3.2.SSH
禁用ROOT登录
禁用密码连接
6.5.3.3.MySQL
文件写入权限设置
用户授权表管理
日志记录是否已启用
版本是最新的吗
6.5.4 .网络中间件
6.5.4.1.Apache
隐藏版本号
版本是最新的吗
禁用一些HTTp动词
关闭跟踪
服务器状态已禁用
上传文件大小限制
目录权限设置
是否允许路由重写
是否允许列目录
日志配置
配置超时以防止DoS
6.5.4.2.Nginx
禁用一些HTTp动词
禁用目录遍历
检查重定向配置
配置超时以防止DoS
6.5.4.3.IIS
版本是最新的吗
日志配置
用户密码配置
ASp的功能配置。网
配置超时以防止DoS
6.5.4.4.JBoss
Jmxconsole配置
web控制台配置
6.5.4.5.Tomcat
禁用一些HTTp动词
禁止列目录
禁用管理器功能
用户密码配置
用户权限配置
配置超时以防止DoS
蜜罐技术
6.6.1.介绍
蜜罐是一种针对攻击者的欺骗技术,用于监控、检测、分析和跟踪攻击行为。它没有商业用途。所有流入/流出蜜罐的流量都表示扫描或攻击行为,因此可以更好地聚焦攻击流量。
蜜罐可以主动诱捕攻击者,详细记录攻击者的许多踪迹,收集大量有价值的数据,如病毒或蠕虫的源代码、黑客的操作等。从而提供丰富的溯源数据。
但是,蜜罐存在安全隐患,如果隔离不当,可能成为新的攻击源。
6.6.2.分类
根据用途,蜜罐可分为研究蜜罐和产品蜜罐。研究蜜罐通常用于研究各种网络威胁,并在不增加特定组织安全性的情况下找到应对方法。产品蜜罐主要是用于保护的商业产品。
蜜罐按照交互方式可以分为低交互蜜罐和高交互蜜罐。低交互蜜罐模拟网络服务响应与攻击者之间的交互,易于部署和控制攻击,但模拟能力相对较弱,捕获攻击的能力不强。高互动蜜罐
6.6.3.隐藏技术
蜜罐主要涉及伪装技术,包括进程隐藏、服务伪装等技术。
蜜罐之间的隐藏要求蜜罐之间相互隐藏。进程是隐藏的,蜜罐需要隐藏监控和信息收集等进程。伪服务和命令技术需要伪装一些服务,以防止攻击者获取敏感信息或入侵控制内核。数据文件伪装,需要生成合理的虚假数据文件。
6.6.4.识别技术
攻击者还会试图识别蜜罐。识别低交互的蜜罐比较容易,尝试一些复杂稀有的操作也比较容易识别低交互的蜜罐。识别高度交互的蜜罐相对比较困难,因为高度交互的蜜罐通常建立在真实系统的基础上,类似于真实系统。在这种情况下,通常根据虚拟文件系统和注册表的信息、内存分配特征、硬件特征、特殊指令等来识别。如果需要渗透测试的朋友可以去问问专业的网站安全维护公司,防止新项目上线带来的安全问题,国内做的比较好的公司推荐Sinesafe、绿盟, 启明星辰,等。