網站滲透測試中的漏洞信息蒐集

快到十二月中旬了,不少滲透測試中的客戶想要知道如何蒐集這些漏洞信息和利用方式的檢測,再次咱們Sine安全的工程師給你們普及下如何發現漏洞以及如何去獲取這些有用的信息來防禦自身的網站項目平臺安全，把網站安全風險降到最低,使平臺更加安全穩定的運行下去。

威脅情報(Threat Intelligence)通常指從安全數據中提煉的，與網絡空間威脅相關的信息，包括威脅來源、攻擊意圖、攻擊手法、攻擊目標信息，以及可用於解決威脅或應對危害的知識。廣義的威脅情報也包括情報的加工生產、分析應用及協同共享機制。相關的概念有資產、威脅、脆弱性等，具體定義以下。

6.3.2. 相關概念

• 資產(Asset):對組織具備價值的信息或資源
• 威脅(Threat): 可以經過未受權訪問、毀壞、揭露、數據修改和或拒絕服務對系統形成潛在危害的原由，威脅可由威脅的主體（威脅源）、能力、資源、動機、途徑、可能性和後果等多種屬性來刻畫
• 脆弱性 / 漏洞(Vulnerability): 可能被威脅如攻擊者利用的資產或若干資產薄弱環節
• 風險(Risk): 威脅利用資產或一組資產的脆弱性對組織機構形成傷害的潛在可能
• 安全事件(Event): 威脅利用資產的脆弱性後實際產生危害的情景

6.3.3. 其餘

通常威脅情報須要包含威脅源、攻擊目的、攻擊對象、攻擊手法、漏洞、攻擊特徵、防護措施等。威脅情報在事前能夠起到預警的做用，在威脅發生時能夠協助進行檢測和響應，在過後能夠用於分析和溯源。

常見的網絡威脅情報服務有黑客或欺詐團體分析、社會媒體和開源信息監控、定向漏洞研究、定製的人工分析、實時事件通知、憑據恢復、事故調查、僞造域名檢測等。

爲了實現情報的同步和交換，各組織都制定了相應的標準和規範。主要有國標，美國聯邦政府標準等。

在威脅情報方面，比較有表明性的廠商有RSA、IBM、McAfee、賽門鐵克、FireEye等。

風險控制

6.4.1. 常見風險

• 會員
• 撞庫盜號
• 帳號分享
• 批量註冊
• 視頻
• 盜播盜看
• 廣告屏蔽
• 刷量做弊
• 活動
• 薅羊毛
• 直播
• 掛站人氣
• 惡意圖文
• 電商
• 惡意下單
• 訂單欺詐
• 支付
• 洗錢
• 惡意下單
• 惡意提現
• 其餘
• 釣魚郵件
• 惡意爆破
• 短信轟炸

安全加固

6.5.1. 網絡設備

• 及時檢查系統版本號
• 敏感服務設置訪問IP/MAC白名單
• 開啓權限分級控制
• 關閉沒必要要的服務
• 打開操做日誌
• 配置異常告警
• 關閉ICMP迴應

6.5.2. 操做系統

6.5.2.1. Linux

• 無用用戶/用戶組檢查
• 敏感文件權限配置
• /etc/passwd
• /etc/shadow
• ~/.ssh/
• /var/log/messages
• /var/log/secure
• /var/log/maillog
• /var/log/cron
• /var/log/spooler
• /var/log/boot.log
• 日誌是否打開
• 及時安裝補丁
• 開機自啓
• /etc/init.d
• 檢查系統時鐘

6.5.2.2. Windows

• 異常進程監控
• 異常啓動項監控
• 異常服務監控
• 配置系統日誌
• 用戶帳戶
• 設置口令有效期
• 設置口令強度限制
• 設置口令重試次數
• 安裝EMET
• 啓用PowerShell日誌
• 限制如下敏感文件的下載和執行
• ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif
• 限制會調起wscript的後綴
• bat, js, jse, vbe, vbs, wsf, wsh

6.5.3. 應用

6.5.3.1. FTP

• 禁止匿名登陸
• 修改Banner

6.5.3.2. SSH

• 是否禁用ROOT登陸
• 是否禁用密碼鏈接

6.5.3.3. MySQL

• 文件寫權限設置
• 用戶受權表管理
• 日誌是否啓用
• 版本是否最新

6.5.4. Web中間件

6.5.4.1. Apache

• 版本號隱藏
• 版本是否最新
• 禁用部分HTTP動詞
• 關閉Trace
• 禁止 server-status
• 上傳文件大小限制
• 目錄權限設置
• 是否容許路由重寫
• 是否容許列目錄
• 日誌配置
• 配置超時時間防DoS

6.5.4.2. Nginx

• 禁用部分HTTP動詞
• 禁用目錄遍歷
• 檢查重定向配置
• 配置超時時間防DoS

6.5.4.3. IIS

• 版本是否最新
• 日誌配置
• 用戶口令配置
• ASP.NET功能配置
• 配置超時時間防DoS

6.5.4.4. JBoss

• jmx console配置
• web console配置

6.5.4.5. Tomcat

• 禁用部分HTTP動詞
• 禁止列目錄
• 禁止manager功能
• 用戶密碼配置
• 用戶權限配置
• 配置超時時間防DoS

蜜罐技術

6.6.1. 簡介

蜜罐是對攻擊者的欺騙技術，用以監視、檢測、分析和溯源攻擊行爲，其沒有業務上的用途，全部流入/流出蜜罐的流量都預示着掃描或者攻擊行爲，所以能夠比較好的聚焦於攻擊流量。

蜜罐能夠實現對攻擊者的主動誘捕，可以詳細地記錄攻擊者攻擊過程當中的許多痕跡，能夠收集到大量有價值的數據，如病毒或蠕蟲的源碼、黑客的操做等，從而便於提供豐富的溯源數據。

可是蜜罐存在安全隱患，若是沒有作好隔離，可能成爲新的攻擊源。

6.6.2. 分類

按用途分類，蜜罐能夠分爲研究型蜜罐和產品型蜜罐。研究型蜜罐通常是用於研究各種網絡威脅，尋找應對的方式，不增長特定組織的安全性。產品型蜜罐主要是用於防禦的商業產品。

按交互方式分類，蜜罐能夠分爲低交互蜜罐和高交互蜜罐。低交互蜜罐模擬網絡服務響應和攻擊者交互，容易部署和控制攻擊，可是模擬能力會相對較弱，對攻擊的捕獲能力不強。高交互蜜罐

6.6.3. 隱藏技術

蜜罐主要涉及到的是假裝技術，主要涉及到進程隱藏、服務假裝等技術。

蜜罐之間的隱藏，要求蜜罐之間相互隱蔽。進程隱藏，蜜罐須要隱藏監控、信息收集等進程。僞服務和命令技術，須要對部分服務進行假裝，防止攻擊者獲取敏感信息或者入侵控制內核。數據文件假裝，須要生成合理的虛假數據的文件。

6.6.4. 識別技術

攻擊者也會嘗試對蜜罐進行識別。比較容易的識別的是低交互的蜜罐，嘗試一些比較複雜且少見的操做能比較容易的識別低交互的蜜罐。相對困難的是高交互蜜罐的識別，由於高交互蜜罐一般以真實系統爲基礎來構建，和真實系統比較近似。對這種狀況，一般會基於虛擬文件系統和註冊表的信息、內存分配特徵、硬件特徵、特殊指令等來識別,若是對滲透測試有需求的朋友能夠去問問專業的網站安全維護公司來預防新項目上線所產生的安全問題，國內作的比較好的公司推薦Sinesafe,綠盟,啓明星辰等等都是比較不錯的。