網站安全維護公司解決防護方案

越來越多的網站和app的上線,導致安全問題日益增加,漏洞問題也非常多,大公司急需組建專業的滲透測試團隊來保障新專案的安全穩定，防止被入侵被黑，對此我們Sinesafe給大家講解下組建安全團隊的重要幾點，來達到各個專案的安全滲透工作的分工執行能力。

滲透測試安全團隊建設

紅藍軍簡介

在隊伍的對抗演習中，藍軍通常是指在部隊模擬對抗演習專門扮演假想敵的部隊，與紅軍（代表我方正面部隊）進行鍼對性的訓練。

網路安全紅藍對抗的概念就源自於此。紅軍作為企業防守方，通過安全加固、攻擊監測、應急處置等手段來保障企業安全。而藍軍作為攻擊方，以發現安全漏洞，獲取業務許可權或資料為目標，利用各種攻擊手段，試圖繞過紅軍層層防護，達成既定目標。可能會造成混淆的是，在歐美一般採用紅隊代表攻擊方，藍隊代表防守方，顏色代表正好相反。

企業網路藍軍工作內容主要包括滲透測試和紅藍對抗（Red Teaming），這兩種方式所使用的技術基本相同，但是側重點不同。

滲透測試側重用較短的時間去挖掘更多的安全漏洞，一般不太關注攻擊行為是否被監測發現，目的是幫助業務系統暴露和收斂更多風險。

紅藍對抗更接近真實場景，側重繞過防禦體系，毫無聲息達成獲取業務許可權或資料的目標，不求發現全部風險點，因為攻擊動作越多被發現的概率越大，一旦被發現，紅軍就會把藍軍踢出戰場。紅藍對抗的目的是檢驗在真實攻擊中縱深防禦能力、告警運營質量、應急處置能力。

人員分工

• 部門負責人
• 負責組織整體的資訊保安規劃
• 負責向高層溝通申請資源
• 負責與組織其他部門的協調溝通
• 共同推進資訊保安工作
• 負責資訊保安團隊建設
• 負責安全事件應急工作處置
• 負責推動組織安全規劃的落實
• 合規管理員
• 負責安全相關管理制度、管理流程的制定，監督實施情況，修改和改進相關的制度和流程
• 負責合規性迎檢準備工作，包括聯絡、迎檢工作推動，迎檢結果彙報等所有相關工作
• 負責與外部安全相關單位聯絡
• 負責安全意識培訓、宣傳和推廣
• 安全技術負責人
• 業務安全防護整體技術規劃和計劃
• 瞭解組織安全技術缺陷，並能找到方法進行防禦
• 安全裝置運維
• 伺服器與網路基礎裝置的安全加固推進工作
• 安全事件排查與分析，配合定期編寫安全分析報告
• 關注注業內安全事件， 跟蹤最新漏洞資訊，進行業務產品的安全檢查
• 負責漏洞修復工作推進，跟蹤解決情況，問題收集
• 瞭解最新安全技術趨勢
• 滲透/程式碼審計人員
• 對組織業務網站、業務系統進行安全評估測試
• 對漏洞結果提供解決方案和修復建議
• 安全裝置運維人員
• 負責裝置配置和策略的修改
• 負責協助其他部門的變更導致的安全策略修改的實現
• 安全開發
• 根據組織安全的需要開發安全輔助工具或平臺
• 參與安全系統的需求分析、設計、編碼等開發工作
• 維護公司現有的安全程式與系統

5.5. 內網滲透補充操作

5.5.1. 埠轉發

• windows
• lcx
• netsh
• linux
• portmap
• iptables
• socket代理
• Win: xsocks
• Linux: proxychains
• 基於http的轉發與socket代理(低許可權下的滲透)
• 埠轉發: tunna
• socks代理: reGeorg
• ssh通道
• 埠轉發
• socks

5.5.2. 獲取shell

• 常規shell反彈
• 突破防火牆的imcp_shell反彈
• 正向shell
• nc -e /bin/sh -lp 1234
• nc.exe -e cmd.exe -lp 1234

5.5.3. 內網檔案傳輸

• windows下檔案傳輸
• powershell
• vbs指令碼檔案
• bitsadmin
• 檔案共享
• 使用telnet接收資料
• hta
• linux下檔案傳輸
• python
• wget
• tar + ssh
• 利用dns傳輸資料
• 檔案編譯
• powershell將exe轉為txt，再txt轉為exe

5.5.4. 遠端連線 && 執行程式

• at&schtasks
• psexec
• wmic
• wmiexec.vbs
• smbexec
• powershell remoting
• SC建立服務執行
• schtasks
• SMB+MOF || DLL Hijacks
• PTH + compmgmt.msc

Windows系統持久化

6.1. 總體思路

5.2. 持久化 – Windows

Web應用需要限制使用者對應用程式的資料和功能的訪問，以防止使用者未經授權訪問。訪問控制的過程可以分為驗證、會話管理和訪問控制三個地方。

6.1.1.1. 驗證機制

驗證機制在一個應用程式的使用者訪問處理中是一個最基本的部分，驗證就是確定該使用者的有效性。大多數的web應用都採用使用的驗證模型，即使用者提交一個使用者名稱和密碼，應用檢查它的有效性。在銀行等安全性很重要的應用程式中，基本的驗證模型通常需要增加額外的證照和多級登入過程，比如客戶端證照、硬體等。

6.1.1.2. 會話管理

為了實施有效的訪問控制，應用程式需要一個方法來識別和處理這一系列來自每個不同使用者的請求。大部分程式會為每個會話建立一個唯一性的token來識別。

對攻擊者來說，會話管理機制高度地依賴於token的安全性。在部分情況下，一個攻擊者可以偽裝成受害的授權使用者來使用Web應用程式。這種情況可能有幾種原因，其一是token生成的演算法的缺陷，使得攻擊者能夠猜測到其他使用者的token；其二是token後續處理的方法的缺陷，使得攻擊者能夠獲得其他使用者的token。

6.1.1.3. 訪問控制

處理使用者訪問的最後一步是正確決定對於每個獨立的請求是允許還是拒絕。如果前面的機制都工作正常，那麼應用程式就知道每個被接受到的請求所來自的使用者的id，並據此決定使用者對所請求要執行的動作或要訪問的資料是否得到了授權。

由於訪問控制本身的複雜性，這使得它成為攻擊者的常用目標。開發者經常對使用者會如何與應用程式互動作出有缺陷的假設，也經常省略了對某些應用程式功能的訪問控制檢查。

6.1.2. 輸入處理

很多對Web應用的攻擊都涉及到提交未預期的輸入，它導致了該應用程式設計者沒有料到的行為。因此，對於應用程式安全性防護的一個關鍵的要求是它必須以一個安全的方式處理使用者的輸入。

基於輸入的漏洞可能出現在一個應用程式的功能的任何地方，並與其使用的技術型別相關。對於這種攻擊，輸入驗證是 常用的必要防護。不存在通用的單一的防護機制。常用的防護機制有如下幾種：

6.1.2.1. 黑名單

黑名單包含已知的被用在攻擊方面的一套字面上的字串或模式，驗證機制阻擋任何匹配黑名單的資料。

一般來說,這種方式是被認為是輸入效果較差的一種方式。主要有兩個原因，其一Web應用中的一個典型的漏洞可以使用很多種不同的輸入來被利用，輸入可以是被加密的或以各種不同的方法表示。

其二，漏洞利用的技術是在不斷地改進的，有關利用已存在的漏洞型別的新的方法不可能被當前黑名單阻擋。

6.1.2.2. 白名單

白名單包含一系列的字串、模式或一套標準來匹配符合要求的輸入。這種檢查機制允許匹配白名單的資料,阻止之外的任何資料。這種方式相對比較有效，但需要比較好的設計。

6.1.2.3. 過濾

過濾會刪除潛在的惡意字元並留下安全的字元，基於資料過濾的方式通常是有效的，並且在許多情形中，可作為處理惡意輸入的通用解決方案。

6.1.2.4. 安全地處理資料

非常多的web應用程式漏洞的出現是因為使用者提供的資料是以不安全的方法被處理的。在一些情況下，存在安全的程式設計方法能夠避免通常的問題。例如，SQL隱碼攻擊能夠通過預編譯的方式組織，XSS在大部分情況下能夠被轉義所防禦,如果對以上滲透測試團隊建設或新專案有安全測試的需求想要了解更詳細的話可以諮詢專業的網站安全公司來測試並處理解決,過內做的比較全面的網站安全維護公司推薦Sine安全,啟明星辰,綠盟等等都是比較不錯的。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/31542418/viewspace-2667017/，如需轉載，請註明出處，否則將追究法律責任。