今天我們將專注於網路安全基礎知識的練習,包括資訊收集和弱口令密碼破解。在資訊收集方面,我們將重點介紹目錄資訊的收集方法。例如,我們會討論如何解析類似於"https://域名/path"這樣的路徑資訊,特別是當這些路徑資訊是我們之前未曾瞭解的情況下。而在密碼破解方面,我們將主要探討透過簡單的弱口令破解方法來實現。最後,我也會在講解的過程中順帶介紹一些如何有效防範這種滲透的方法。
在進行攻防演示時,我遇到了各種挑戰,EdgeOne也不例外,但幸運的是,騰訊雲客服給予了我極大的支援和幫助,他們耐心解決了我的問題。正因如此,我在上一篇文章中主要測試了利用無域名方式的 IP 的邊緣函式的快取功能。由於各種問題導致我還沒有涉及域名對接並展示 web 防護功能,但這篇文章對於那些剛開始接觸邊緣函式的人來說也是一個很好的參考資料:
實踐指南:EdgeOne與HAI的夢幻聯動
攻防測試
今天我要談論的主題主要涉及兩種常見的方案。首先是資訊收集,也就是使用掃描器收集我域名下的目錄。在這個階段,你必須先了解你要攻擊的目標,因為沒有目標,你又怎麼可能進行暴力破解呢?其次,我們會探討使用Burp Suite進行密碼暴力破解的方法。Burp Suite作為一款常見的破解工具,使用廣泛。透過這兩種方式,我將向你展示如何設定基本的防護功能,並解釋EdgeOne是如何進行攔截的。
資訊打點
首先,我們必須明確一點,我們不能使用他人的域名進行攻擊,這是違法行為。因此,我們只能攻擊我們自己的網站。在準備好伺服器之後,我在網站上安裝了一個名為“海洋網站”的CMS,主要用於瀏覽影片。你可以在下圖中看到網站的外觀。
首先,我得明白海洋這類網站通常都會有一個管理後臺。不過,這個管理後臺通常由一串包含六位隨機字元的類似於寶塔的URL組成。因此,我需要使用一個工具來對這些URL進行搜尋。這時候,我會選擇使用DirBuster。如果你對此感興趣,可以自行搜尋並下載這個工具。下載完成後,我需要進行一系列的配置,確保工具能夠正常執行。
當我配置了10個執行緒時,這裡的設定是針對特定的需求。然而,你也可以選擇增加更多執行緒。由於我的域名已經配置了Edgeone,因此在啟用之前,我們需要先將Edgeone的防禦規則轉換為全域性觀察狀態。否則,我們將無法充分了解其安全防護效果。
讓我們首先對防護策略進行調整。如果您沒有設定按鈕,可能會進入的不是全域性策略。在這種情況下,您需要點選一下,具體操作如下圖所示:
當我們進入這個階段時,我們可以開始設定規則了。我們將託管機制轉變為全域性觀察,暫時不進行攔截。
在啟用此選項後,我們將執行一系列暴力搜尋演算法。
由於我們採用掃描器進行掃描,已確認EdgeOne已探測到該問題。為此,我們將進一步關閉全域性觀察模式,使EdgeOne能夠啟用主動攔截和防護功能。這一舉措將有助於加強系統的安全性,提高對潛在威脅的應對能力。
很容易就能夠攔截下來這一問題。若我的網站未經EdgeOne防護,恐怕使用者很容易便能夠突破安全措施,進而篡改管理後臺介面,從而對網站進行不當操作。這種情況下,網站的安全性將受到嚴重威脅,使用者的敏感資訊可能遭受洩露,甚至引發嚴重的後果。
除了收集目錄外,使用者還可能收集各種頁面,如JSP等。因此,我實施了速率限制措施以防止這種情況發生。必須要進行適當的增加,否則我們的網站安全將受到嚴重威脅,可能導致嚴重的資料洩露或系統遭受攻擊,影響業務穩定性和使用者信任度。
在這裡,我想順便介紹另一個簡單但有效的工具——御劍。如果你不對其進行限制,即使是最簡單的御劍工具也能夠輕易搜尋到大量頁面。因此,我們有必要簡單配置一下速率問題,以防止遭受暴力收集行為的影響。
在Web防護頁籤中,您可以找到速率限制選項進行相應設定。
接下來,我們需要對字尾進行匹配,並進行相應設定,以實施訪問頻率限制。最終,在選擇策略時,應根據個人需求考慮是否採取攔截措施。
在評估防護效果時,可以明顯看到其表現相當出色。
如果網站當前沒有配置EdgeOne的安全防護,那麼藉助暴力搜尋的方法,我幾乎可以肯定地說我將能夠成功獲取到管理後臺的入口介面。
在這個階段,情況已經相當危險了。儘管目錄已經被轉換成了六位隨機值,類似於寶塔皮膚的方式,但如果系統沒有配備有效的安全防護措施,那麼現在幾乎就差使用者的賬號密碼被暴露了。
暴力破解密碼
在這種情況下,我們正處於一種極端狀態,即暴力破解使用者名稱和密碼的階段。在這種情況下,驗證碼的實施實際上已經不再是主要問題,因為可以透過安裝一個適用於burp_suite的外掛來應對。然而,這並非我們此時的重點。我們要做的是啟動burp_suite,然後仔細觀察EdgeOne的防護功能。首先,由於我並不知道正確的使用者名稱和密碼,所以我需要使用burp_suite來捕獲資料包,並嘗試透過暴力破解來獲取憑證。讓我們來詳細瞭解一下:
首先,我們先簡單地填入一個數值,然後透過詳細的解釋,逐步展示如何進行密碼的暴力破解攻擊。在此過程中,我們將重點關注 EdgeOne 的防護機制,並深入探討其功能及其有效性。
在一切準備就緒之後,展開對網站的攻擊。
在成功突破之後,我們面臨了一種相當危險的情況,因此我們需要仔細審查問題區域,並採取措施來解決其中的問題。
EdgeOne流量分析
這種情況不太可能被系統的託管機制所捕捉到,因此我們需要自己來解決。首先,我們需要檢視當前排名前5或前10的流量情況,以便追蹤任何可疑的活動線索。畢竟,暴力破解需要耗費相當的時間,如果僅使用單執行緒進行攻擊,速度會非常緩慢,因此攻擊者通常會選擇高併發區進行攻擊。這時候,分析流量就顯得至關重要了。以下是我對當前流量情況的分析。
在觀察中發現,後臺登入地址的訪問頻率遠遠超過了首頁的訪問量。考慮到這是一個影片網站,除了管理員之外,一般使用者不會頻繁訪問後臺登入頁面。因此,有必要限制後臺登入頁面的訪問速度,以確保系統安全性。
後臺登入速率限制
接下來,我們需要針對後臺登入進行單獨配置,以加強防護,避免遭受暴力破解攻擊。在此過程中需要特別留意請求方式,因為之前的做法是直接封禁了整個登入頁面,這可能會影響到正常使用者的訪問。我們實際上只需要針對登入按鈕進行封禁,而不是整個頁面。這樣可以確保我們防護措施的精確性,避免不必要的影響。
再來看一下我們所做的調整對安全防護效果的影響:
國外地區全封禁
我通常會採取一種更加嚴謹的安全策略,因為對於自己的伺服器總是遭受外國攻擊這種情況,我總是顯得有些戰戰兢兢。我的常規做法是直接將國外的訪問全面封禁,只允許國內的訪問。舉例來說,像寶塔皮膚提供了這樣的功能,但需要逐個國家進行單獨的配置,而 EdgeOne 則提供了一種更為便捷的方法,可以直接選中除了中國大陸以外的所有IP地址。在進行完IP地址的切換後,訪問一次,以確保安全防護效果得到了有效的實施。
我注意到,我已經傳送了一次請求,但是有大量來自國外地址的訪問。國外真可怕~
常見問題處理
當我遭遇到各種問題時,我不僅將其詳細列舉出來,而且積極與客服進行溝通,以便解決。我希望這些經驗可以為其他人提供幫助和指導。
域名無法新增
在進行這一步之前,將我的域名解析切換到了EdgeOne,但是仍然面臨無法新增域名的問題,具體情況如下所示:
解決這個問題的方法是需要與客服進行溝通,最好是在非節假日的時間進行,因為在清明節期間並未得到處理。儘管如此,我並不急於解決這個問題,因此也沒有太在意。主要的原因是存在一些髒資料需要清理,待後臺人員完成處理後,即可正常新增。
安全防護全是觀察
我已經親自攻擊了我的網站,並且也被系統檢測到了,但仍未受到任何攔截。一直在觀察。
在解決這個問題時,我首先與客服進行了溝通。在交流後,我發現自己之前並沒有關閉全域性觀察功能。我已經忘記了是否是我自己開啟了這個功能。客服告訴我預設情況下是關閉的,好吧。
以策略ID為主
當我們遇到問題時,通常會更傾向於使用文字而不是ID進行查詢,因為文字更容易記憶。然而,存在一種情況,即某些策略可能具有相同的文字描述,但其對應的ID卻不同。
解決方法:我們建議以ID為主來進行處理,確保不會誤攔截請求。以下是官方提供的解釋:
- 對於ID 4401214204:我們進行檢測以防OpenVAS、WhatWeb、阿里雲、天融信等掃描器的存在。
- 對於ID 4345943414:我們進行檢測以防sqlmap、nessus、arachni、sql power injector、AWVS、appscan等掃描器的存在。
- 對於ID 4401215204:我們進行檢測以防nmap、wikto、gobuster、network-services-auditor等掃描器的存在。
頻率攔截不住
在這一步,請務必注意,在完成配置後,耐心等待大約5分鐘以便進行配置的重新整理。在調整速率設定時,建議將攔截時間延長,最好設定得更長一些,這樣可以獲得更好的效果。
總結
今天的學習重點是網路安全基礎知識,包括資訊收集和弱口令密碼破解。在資訊收集方面,我們學習了目錄資訊的收集方法,特別是如何解析路徑資訊。在密碼破解方面,我們討論了使用簡單的弱口令破解方法。同時,我也介紹了一些有效的防範滲透的方法。
攻擊方面,我們討論了資訊收集和密碼破解的常見方案,並使用DirBuster和Burp Suite等工具進行實踐。我們還介紹了EdgeOne的防護功能,包括目錄收集的防護和密碼暴力破解的防護。
總的來說,今天的學習讓我對網路安全基礎知識有了更深入的瞭解,並學到了一些實踐經驗和問題處理技巧。我相信這些知識和經驗對於提高網路安全意識和應對潛在威脅非常有幫助。