服務(wù)人工
漏洞檢測(cè)項(xiàng)目所有
優(yōu)勢(shì)服務(wù)好
APP漏洞檢測(cè)支持
服務(wù)地區(qū)全國(guó)
SINE安全對(duì)網(wǎng)站漏洞檢測(cè)具有的安全技術(shù)人員,而且完全不依靠軟件去掃描,所有漏洞檢測(cè)服務(wù)都是由我們?nèi)斯とz測(cè),比如對(duì)代碼進(jìn)行審計(jì),以及都每個(gè)網(wǎng)站或APP的功能進(jìn)行單的詳細(xì)測(cè)試,如跨權(quán)限漏洞,支付漏洞繞過(guò),訂單價(jià)格被篡改,或訂單支付狀態(tài)之類的,或會(huì)員找回密碼這里被強(qiáng)制找回等,還有一些邏輯漏洞,上傳漏洞,垂直權(quán)限漏洞等等。
其實(shí)從開發(fā)的角度,如果要保證代碼至少在邏輯方面沒(méi)有明顯的漏洞,還是有些繁瑣的。舉個(gè)簡(jiǎn)單的例子,如網(wǎng)站的數(shù)據(jù)檢驗(yàn)功能,不允許前端提交不符合當(dāng)前要求規(guī)范的數(shù)據(jù)(比如年齡文本框部分不能提交字母)。那么為了實(shí)現(xiàn)這個(gè)功能,首先開發(fā)者肯定要在前端實(shí)現(xiàn)該功能,直接在前端阻止用戶提交不符規(guī)范的數(shù)據(jù),否則用戶體驗(yàn)會(huì)很差,且占用服務(wù)器端的資源。
但是沒(méi)有安全意識(shí)或覺(jué)得麻煩的開發(fā)者就會(huì)僅僅在前端用Js進(jìn)行校驗(yàn),后端沒(méi)有重復(fù)進(jìn)行校驗(yàn)。這樣就很容易給惡意用戶機(jī)會(huì):比如不通過(guò)前端頁(yè)面,直接向后端接口發(fā)送數(shù)據(jù):或者,前端代碼編寫不規(guī)范,用戶可以直接在瀏覽器控制臺(tái)中用自己寫的Js代碼覆蓋原有的Js代碼;或者,用戶還可以直接在瀏覽器中禁用Js;等等。總之,前端的傳過(guò)來(lái)的數(shù)據(jù)可信度基本上可以認(rèn)為比較低,太容易被利用了。
而我的思路都是很簡(jiǎn)單的,就是關(guān)注比較重要的幾個(gè)節(jié)點(diǎn),看看有沒(méi)有可乘之機(jī)。如登錄、權(quán)限判定、數(shù)據(jù)加載等前后,對(duì)方是怎么做的,用了什么樣的技術(shù),有沒(méi)有留下很明顯的漏洞可以讓我利用。像這兩個(gè)網(wǎng)站,加載的Js文檔都沒(méi)有進(jìn)行混淆,注釋也都留著,還寫得很詳細(xì)。比較湊巧的是,這兩個(gè)網(wǎng)站都用到了比較多的前端的技術(shù),也都用到了sessionStorage。
在安全運(yùn)營(yíng)工作當(dāng)中,經(jīng)常需要系統(tǒng)日志、設(shè)備威脅事件日志、告警日志等,各種日志進(jìn)行收集匯聚,具體分析,通過(guò)日志來(lái)分析威脅事件發(fā)生源頭、相關(guān)聯(lián)的人和資產(chǎn)關(guān)系,以日志數(shù)據(jù)的角度,來(lái)追究溯源威脅事件發(fā)生的過(guò)程和基本概括原貌。評(píng)估威脅事件產(chǎn)生危害的影響范圍,關(guān)聯(lián)到人與資產(chǎn),采取順藤摸瓜,將各種信息進(jìn)行關(guān)聯(lián),無(wú)論是二維關(guān)系數(shù)據(jù)聯(lián)系關(guān)聯(lián),還是大數(shù)據(jù)分析建模,數(shù)據(jù)的分類采集都是基礎(chǔ)工作。
企業(yè)安全相關(guān)的各種日志數(shù)據(jù),存放的位置、形式、大小、業(yè)務(wù)、使用人群都不同,如何根據(jù)不同業(yè)務(wù)規(guī)模的日志數(shù)據(jù),采取相得益彰的技術(shù)形式進(jìn)行合理的日志、聚合、分析、展示,就成為了一個(gè)課題,接下來(lái),我們主要圍繞這些相關(guān)的主題進(jìn)行討論分享,通過(guò)具體的日志聚合分析實(shí)踐,讓數(shù)據(jù)有效的關(guān)聯(lián),使其在威脅事件分析、應(yīng)急事件分析響應(yīng)過(guò)程中讓數(shù)據(jù)起到方向性指引作用、起到探測(cè)器的作用,通過(guò)以上技術(shù)實(shí)踐,讓更多日志數(shù)據(jù),有效的為企業(yè)安全運(yùn)營(yíng)提供更好的服務(wù)。
在實(shí)際工作當(dāng)中,日志聚合分析工具種類繁多:ELK、Graylog、rk、Clickhouse、Superset等工具。我們以常用的日志數(shù)據(jù)使用場(chǎng)景為例子,結(jié)合這些工具的使用,向大家展示在實(shí)際數(shù)據(jù)工作中數(shù)據(jù)運(yùn)營(yíng)的情況,如何進(jìn)行數(shù)據(jù)聚合分析,以提供實(shí)際的操作案例,能能直觀的了解數(shù)據(jù)管理的工作流程,之后可以重復(fù)實(shí)踐,不繞道走遠(yuǎn)路,著重給出日志分析工具使用的要點(diǎn),快速上手掌握相關(guān)工具的使用,掌握日常日志數(shù)據(jù)實(shí)操及相關(guān)方法。
為了方便實(shí)踐,盡量避免商業(yè)系統(tǒng)和設(shè)備在案例中的出現(xiàn),以可以方便取材的開源項(xiàng)目為基礎(chǔ),展開案例的講解,大家可以容易的在網(wǎng)上取材這些軟件系統(tǒng),在本地完成實(shí)踐練習(xí)過(guò)程。本篇介紹入侵檢測(cè)系統(tǒng)Suricata及威脅日志事件管理系統(tǒng)Graylog,通過(guò)對(duì)入侵檢測(cè)系統(tǒng)的日志進(jìn)行收集,來(lái)展現(xiàn)日志收集處理的典型過(guò)程。
開源IDS系統(tǒng)Suricata與威脅事件日志管理平臺(tái)Graylog結(jié)合,對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行截取與日志收集分析統(tǒng)計(jì),通過(guò)Suricata捕獲輸出的日志,經(jīng)過(guò)Nxlog日志收集工具,將相關(guān)事件日志、告警日志、HTTP日志,通過(guò)Graylog進(jìn)行日志聚合,對(duì)日志進(jìn)行統(tǒng)計(jì)分析,分析網(wǎng)絡(luò)環(huán)境中存在各種威脅事件類型,通過(guò)自定義Suricata的檢測(cè)規(guī)則,控制入侵檢測(cè)的策略,以及入侵檢查系統(tǒng)的輸出結(jié)果。
修改后臺(tái)初始密碼
每個(gè)都有一個(gè)后臺(tái)賬戶,用于日常的維護(hù)更新,而很多后臺(tái)初始密碼都過(guò)于簡(jiǎn)單,在拿到后臺(tái)管理賬號(hào)密碼時(shí),要先把初始密碼修改掉,帳號(hào)密碼要有一定的復(fù)雜度,不要使用域名、年份、姓名、純數(shù)字等元素,要知道密碼越好記也就意味著越容易被攻破。
早上,我突然被客戶告知,他部署在云平臺(tái)的服務(wù)器被檢測(cè)到webshell,已經(jīng)查殺了,而且云平臺(tái)檢測(cè)到這個(gè)ip是屬于我公司的,以為是我們公司做了測(cè)試導(dǎo)致的,問(wèn)我這個(gè)怎么上傳的webshell,我當(dāng)時(shí)也是一臉懵逼,我記得很清楚這是我的項(xiàng)目,是我親自測(cè)試的,上傳點(diǎn)不會(huì)有遺漏的,然后開始了我的排查隱患工作。
巡檢查殺首先,我明白自己要做的不是找到這個(gè)上傳的位置是哪里出現(xiàn)的,我應(yīng)該登上服務(wù)器進(jìn)行webshel查殺,進(jìn)行巡檢,找找看是否被別人入侵了,是否存在后門等等情況。雖然報(bào)的是我們公司的ip,萬(wàn)一漏掉了幾個(gè)webshell,被別人上傳成功了沒(méi)檢測(cè)出來(lái),那服務(wù)器被入侵了如何能行。所以我上去巡檢了服務(wù)器,上傳這個(gè)webshell查殺工具進(jìn)行查殺,使用netstat-anpt和iptables-L判斷是否存在后門建立,查看是否有程序占用CPU,等等,此處不詳細(xì)展開了。萬(wàn)幸的是服務(wù)器沒(méi)有被入侵,然后我開始著手思考這個(gè)上傳點(diǎn)是怎么回事。
文檔上傳漏洞回顧首先,我向這個(gè)和我對(duì)接的研發(fā)人員咨詢這個(gè)服務(wù)器對(duì)外開放的,要了之后打開發(fā)現(xiàn),眼熟的不就是前不久自己測(cè)試的嗎?此時(shí),我感覺(jué)有點(diǎn)懵逼,和開發(fā)人員對(duì)質(zhì)起這個(gè)整改信息,上次測(cè)試完發(fā)現(xiàn)這個(gè)上傳的地方是使用了白名單限制,只允許上傳jpeg、png等圖片格式了。當(dāng)時(shí)我還發(fā)現(xiàn),這個(gè)雖然上傳是做了白名單限制,也對(duì)上傳的文檔名做了隨機(jī)數(shù),還匹配了時(shí)間規(guī)則,但是我還是在返回包發(fā)現(xiàn)了這個(gè)上傳路徑和文檔名,這個(gè)和他提議要進(jìn)行整改,不然這個(gè)會(huì)造成這個(gè)文檔包含漏洞,他和我反饋這個(gè)確實(shí)進(jìn)行整改了,沒(méi)有返回這個(gè)路徑了。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞,對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.66bta.com
