網站漏洞檢測 滲透測試檢測手法

網站安全發表於2019-12-11
網站

由於時間比較緊,年底業務比較多在此很多朋友想要了解我們Sine安全對於滲透測試安全檢測以及應急響應的具體操作實踐過程,對於漏洞發生問題的根源和即時的處理解決修補網站漏洞的響應時間進行全面的瞭解和預防,使公司組建一個更加專業的安全部門來阻擋駭客的攻擊和入侵!

網站漏洞檢測 滲透測試檢測手法

6.7.1. 常見入侵點

  • Web入侵
  • 高危服務入侵

6.7.2. 常見實現

6.7.2.1. 客戶端監控

  • 監控敏感配置檔案
  • 常用命令ELF檔案完整性監控
  • ps
  • lsof
  • rootkit監控
  • 資源使用報警
  • 記憶體使用率
  • CPU使用率
  • IO使用率
  • 網路使用率
  • 新出現程式監控
  • 基於inotify的檔案監控

6.7.2.2. 網路檢測

基於網路層面的攻擊向量做檢測,如Snort等。

6.7.2.3. 日誌分析

將主機系統安全日誌/操作日誌、網路裝置流量日誌、Web應用訪問日誌、SQL應用訪問日誌等日誌集中到一個統一的後臺,在後臺中對各類日誌進行綜合的分析。

應急響應

6.8.1. 響應流程

6.8.1.1. 事件發生

運維監控人員、客服稽核人員等發現問題,向上通報

6.8.1.2. 事件確認

判斷事件的嚴重性,評估出問題的嚴重等級,是否向上進行彙報等

6.8.1.3. 事件響應

各部門通力合作,處理安全問題,具體解決階段

6.8.1.4. 事件關閉

處理完事件之後,需要關閉事件,並寫出安全應急處理分析報告,完成整個應急過程。

6.8.2. 事件分類

  • 病毒、木馬、蠕蟲事件
  • Web伺服器入侵事件
  • 第三方服務入侵事件
  • 系統入侵事件
  • 利用Windows漏洞攻擊作業系統
  • 網路攻擊事件
  • DDoS / ARP欺騙 / DNS劫持等

6.8.3. 分析方向

網站漏洞檢測 滲透測試檢測手法

6.8.3.1. 檔案分析

  • 基於變化的分析
  • 日期
  • 檔案增改
  • 最近使用檔案
  • 原始碼分析
  • 檢查原始碼改動
  • 查殺WebShell等後門
  • 系統日誌分析
  • 應用日誌分析
  • 分析User-Agent,e.g. awvs / burpsuite / w3af / nessus / openvas
  • 對每種攻擊進行關鍵字匹配,e.g. select/alert/eval
  • 異常請求,連續的404或者500
  • md5sum 檢查常用命令二進位制檔案的雜湊,檢查是否被植入rootkit

6.8.3.2. 程式分析

  • 符合以下特徵的程式
  • CPU或記憶體資源佔用長時間過高
  • 沒有簽名驗證資訊
  • 沒有描述資訊的程式
  • 程式的路徑不合法
  • dump系統記憶體進行分析

6.8.3.3. 網路分析

  • 防火牆配置
  • DNS配置
  • 路由配置

6.8.3.4. 配置分析

  • 檢視Linux SE等配置
  • 檢視環境變數
  • 檢視配套的登錄檔資訊檢索,SAM檔案
  • 核心模組

6.8.4. Linux應急響應

6.8.4.1. 檔案分析

  • 最近使用檔案
  • find / -ctime -2
  • C:\Documents and Settings\Administrator\Recent
  • C:\Documents and Settings\Default User\Recent
  • %UserProfile%\Recent
  • 系統日誌分析
  • /var/log/
  • 重點分析位置
  • /var/log/wtmp 登入進入,退出,資料交換、關機和重啟紀錄
  • /var/run/utmp 有關當前登入使用者的資訊記錄
  • /var/log/lastlog 檔案記錄使用者最後登入的資訊,可用 lastlog 命令來檢視。
  • /var/log/secure 記錄登入系統存取資料的檔案,例如 pop3/ssh/telnet/ftp 等都會被記錄。
  • /var/log/cron 與定時任務相關的日誌資訊
  • /var/log/message 系統啟動後的資訊和錯誤日誌
  • /var/log/apache2/access.log
  • apache access log
  • /etc/passwd 使用者列表
  • /etc/init.d/ 開機啟動項
  • /etc/cron* 定時任務
  • /tmp 臨時目錄
  • ~/.ssh

6.8.4.2. 使用者分析

  • /etc/shadow 密碼登陸相關資訊
  • uptime 檢視使用者登陸時間
  • /etc/sudoers sudo使用者列表

6.8.4.3. 程式分析

  • netstat -ano 檢視是否開啟了可疑埠
  • w 命令,檢視使用者及其程式
  • 分析開機自啟程式/指令碼
  • /etc/init.d
  • ~/.bashrc
  • 檢視計劃或定時任務
  • crontab -l
  • netstat -an / lsof 檢視程式埠占用

6.8.5. Windows應急響應

網站漏洞檢測 滲透測試檢測手法

6.8.5.1. 檔案分析

  • 最近使用檔案
  • C:\Documents and Settings\Administrator\Recent
  • C:\Documents and Settings\Default User\Recent
  • %UserProfile%\Recent
  • 系統日誌分析
  • 事件檢視器 eventvwr.msc

6.8.5.2. 使用者分析

  • 檢視是否有新增使用者
  • 檢視伺服器是否有弱口令
  • 檢視管理員對應鍵值
  • lusrmgr.msc 檢視賬戶變化
  • net user 列出當前登入賬戶
  • wmic UserAccount get 列出當前系統所有賬戶
  • 本節重點講解了滲透測試中的檢測入侵手段以及應急響應的處理解決方案,如果有想要更深入的瞭解專案上線前的滲透測試服務可以去看看專業的網站安全公司來處理解決,國內做的比較專業的如Sinesafe,啟明星辰,綠盟等等都是比較不錯的網路安全維護公司。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2668039/,如需轉載,請註明出處,否則將追究法律責任。

相關文章