網站安全公司 滲透測試中的漏洞資訊蒐集

快到十二月中旬了,很多滲透測試中的客戶想要知道如何蒐集這些漏洞資訊和利用方式的檢測,再次我們Sine安全的工程師給大家普及下如何發現漏洞以及如何去獲取這些有用的資訊來防護自身的網站專案平臺安全，把網站安全風險降到最低,使平臺更加安全穩定的執行下去。

威脅情報(Threat Intelligence)一般指從安全資料中提煉的，與網路空間威脅相關的資訊，包括威脅來源、攻擊意圖、攻擊手法、攻擊目標資訊，以及可用於解決威脅或應對危害的知識。廣義的威脅情報也包括情報的加工生產、分析應用及協同共享機制。相關的概念有資產、威脅、脆弱性等，具體定義如下。

6.3.2. 相關概念

• 資產(Asset):對組織具有價值的資訊或資源
• 威脅(Threat): 能夠透過未授權訪問、毀壞、揭露、資料修改和或拒絕服務對系統造成潛在危害的起因，威脅可由威脅的主體（威脅源）、能力、資源、動機、途徑、可能性和後果等多種屬性來刻畫
• 脆弱性 / 漏洞(Vulnerability): 可能被威脅如攻擊者利用的資產或若干資產薄弱環節
• 風險(Risk): 威脅利用資產或一組資產的脆弱性對組織機構造成傷害的潛在可能
• 安全事件(Event): 威脅利用資產的脆弱性後實際產生危害的情景

6.3.3. 其他

一般威脅情報需要包含威脅源、攻擊目的、攻擊物件、攻擊手法、漏洞、攻擊特徵、防禦措施等。威脅情報在事前可以起到預警的作用，在威脅發生時可以協助進行檢測和響應，在事後可以用於分析和溯源。

常見的網路威脅情報服務有駭客或欺詐團體分析、社會媒體和開源資訊監控、定向漏洞研究、定製的人工分析、實時事件通知、憑據恢復、事故調查、偽造域名檢測等。

為了實現情報的同步和交換，各組織都制定了相應的標準和規範。主要有國標，美國聯邦政府標準等。

在威脅情報方面，比較有代表性的廠商有RSA、IBM、McAfee、賽門鐵克、FireEye等。

風險控制

6.4.1. 常見風險

• 會員
• 撞庫盜號
• 賬號分享
• 批次註冊
• 影片
• 盜播盜看
• 廣告遮蔽
• 刷量作弊
• 活動
• 薅羊毛
• 直播
• 掛站人氣
• 惡意圖文
• 電商
• 惡意下單
• 訂單欺詐
• 支付
• 洗錢
• 惡意下單
• 惡意提現
• 其他
• 釣魚郵件
• 惡意 baopo
• 簡訊轟炸

安全加固

6.5.1. 網路裝置

• 及時檢查系統版本號
• 敏感服務設定訪問IP/MAC白名單
• 開啟許可權分級控制
• 關閉不必要的服務
• 開啟操作日誌
• 配置異常告警
• 關閉ICMP回應

6.5.2. 作業系統

6.5.2.1. Linux

• 無用使用者/使用者組檢查
• 敏感檔案許可權配置
• /etc/passwd
• /etc/shadow
• ~/.ssh/
• /var/log/messages
• /var/log/secure
• /var/log/maillog
• /var/log/cron
• /var/log/spooler
• /var/log/boot.log
• 日誌是否開啟
• 及時安裝補丁
• 開機自啟
• /etc/init.d
• 檢查系統時鐘

6.5.2.2. Windows

• 異常程式監控
• 異常啟動項監控
• 異常服務監控
• 配置系統日誌
• 使用者賬戶
• 設定口令有效期
• 設定口令強度限制
• 設定口令重試次數
• 安裝EMET
• 啟用PowerShell日誌
• 限制以下敏感檔案的下載和執行
• ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif
• 限制會調起wscript的字尾
• bat, js, jse, vbe, vbs, wsf, wsh

6.5.3. 應用

6.5.3.1. FTP

• 禁止匿名登入
• 修改Banner

6.5.3.2. SSH

• 是否禁用ROOT登入
• 是否禁用密碼連線

6.5.3.3. MySQL

• 檔案寫許可權設定
• 使用者授權表管理
• 日誌是否啟用
• 版本是否最新

6.5.4. Web中介軟體

6.5.4.1. Apache

• 版本號隱藏
• 版本是否最新
• 禁用部分HTTP動詞
• 關閉Trace
• 禁止 server-status
• 上傳檔案大小限制
• 目錄許可權設定
• 是否允許路由重寫
• 是否允許列目錄
• 日誌配置
• 配置超時時間防DoS

6.5.4.2. Nginx

• 禁用部分HTTP動詞
• 禁用目錄遍歷
• 檢查重定向配置
• 配置超時時間防DoS

6.5.4.3. IIS

• 版本是否最新
• 日誌配置
• 使用者口令配置
• ASP.NET功能配置
• 配置超時時間防DoS

6.5.4.4. JBoss

• jmx console配置
• web console配置

6.5.4.5. Tomcat

• 禁用部分HTTP動詞
• 禁止列目錄
• 禁止manager功能
• 使用者密碼配置
• 使用者許可權配置
• 配置超時時間防DoS

蜜罐技術

6.6.1. 簡介

蜜罐是對攻擊者的欺騙技術，用以監視、檢測、分析和溯源攻擊行為，其沒有業務上的用途，所有流入/流出蜜罐的流量都預示著掃描或者攻擊行為，因此可以比較好的聚焦於攻擊流量。

蜜罐可以實現對攻擊者的主動誘捕，能夠詳細地記錄攻擊者攻擊過程中的許多痕跡，可以收集到大量有價值的資料，如病毒或蠕蟲的原始碼、駭客的操作等，從而便於提供豐富的溯源資料。

但是蜜罐存在安全隱患，如果沒有做好隔離，可能成為新的攻擊源。

6.6.2. 分類

按用途分類，蜜罐可以分為研究型蜜罐和產品型蜜罐。研究型蜜罐一般是用於研究各類網路威脅，尋找應對的方式，不增加特定組織的安全性。產品型蜜罐主要是用於防護的商業產品。

按互動方式分類，蜜罐可以分為低互動蜜罐和高互動蜜罐。低互動蜜罐模擬網路服務響應和攻擊者互動，容易部署和控制攻擊，但是模擬能力會相對較弱，對攻擊的捕獲能力不強。高互動蜜罐

6.6.3. 隱藏技術

蜜罐主要涉及到的是偽裝技術，主要涉及到程式隱藏、服務偽裝等技術。

蜜罐之間的隱藏，要求蜜罐之間相互隱蔽。程式隱藏，蜜罐需要隱藏監控、資訊收集等程式。偽服務和命令技術，需要對部分服務進行偽裝，防止攻擊者獲取敏感資訊或者入侵控制核心。資料檔案偽裝，需要生成合理的虛假資料的檔案。

6.6.4. 識別技術

攻擊者也會嘗試對蜜罐進行識別。比較容易的識別的是低互動的蜜罐，嘗試一些比較複雜且少見的操作能比較容易的識別低互動的蜜罐。相對困難的是高互動蜜罐的識別，因為高互動蜜罐通常以真實系統為基礎來構建，和真實系統比較近似。對這種情況，通常會基於虛擬檔案系統和登錄檔的資訊、記憶體分配特徵、硬體特徵、特殊指令等來識別,如果對滲透測試有需求的朋友可以去問問專業的網站安全維護公司來預防新專案上線所產生的安全問題，國內做的比較好的公司推薦Sinesafe,綠盟,啟明星辰等等都是比較不錯的。