安全檢測點的一些梳理——待長期整理

滲透攻擊檢測：郵件檢測、掃描、爆破
內網安全：基線檢測、內部擴散、蠕蟲、數據外泄
惡意通道檢測：DGA、惡意C&C流、隱蔽通道
高級威脅分析：攻擊工具、掃描工具、高級威脅
加密流量檢測：惡意加密流，https ddos
web安全：webshell、waf/ips降噪、webcc、sql、xss等

UEBA：主機流量異常，用戶行爲異常等

 

 

 

第4章　Web安全基礎 41
4.1　XSS攻擊概述 41
4.1.1　XSS的分類 43
4.1.2　XSS特殊攻擊方式 48
4.1.3　XSS平臺簡介 50
4.1.4　近年典型XSS攻擊事件分析 51
4.2　SQL注入概述 53
4.2.1　常見SQL注入攻擊 54
4.2.2　常見SQL注入攻擊載荷 55
4.2.3　SQL常見工具 56
4.2.4　近年典型SQL注入事件分析 60
4.3　WebShell概述 63
4.3.1　WebShell功能 64
4.3.2　常見WebShell 64
4.4　僵屍網絡概述 67
4.4.1　僵屍網絡的危害 68
4.4.2　近年典型僵屍網絡攻擊事件分析 69
4.5　本章小結 72

 

OWASP 發佈 2017 Top 10 Web 應用安全威脅，Web 安全防禦正當時

 

導語：開放式 Web 應用程序安全項目(OWASP)發佈了最終版 2017 Top 10 榜單

近日，開放式 Web 應用程序安全項目(OWASP)發佈了最終版 2017 Top 10 榜單。在 2017 威脅榜單中，注入攻擊漏洞仍然位居 Top 10 威脅之首，而 XSS 的威脅程度從 A3 降到了 A7。敏感信息泄露、安全配置錯誤、失效的訪問控制等威脅均有提高，值得企業重視。

與此同時，榜單中還出現了一些新的安全威脅，包括 XXE 漏洞(A4：2017, XML External Entity attack)、針對 Java 平臺的不安全反序列化漏洞(A8：2017, Insecure Deserialization)以及記錄和監控不足風險(A10：2017, Insufficient Logging & Monitoring)等。

A1 注入攻擊漏洞    

A2 失效的身份認證  

A3 敏感信息泄露   

A4  XXE 漏洞   

A5 失效的訪問控制    

A6 安全配置錯誤

A7 跨站腳本 XSS

A8 不安全反序列化漏洞

A9 使用含有已知漏洞的組件

A10 不足的記錄和監控

隨着網貸、購物和社交等一系列新型互聯網產品的誕生，企業信息化的過程當中愈來愈多的應用都架設在 Web 平臺上，接踵而至的就是 Web 安全威脅的凸顯。大量黑客利用網站操做系統的漏洞和 Web 服務程序的 SQL 注入漏洞等獲得 Web 服務器的控制權限，輕則篡改網頁內容，重則竊取重要內部數據，更爲嚴重的則是在網頁中植入惡意代碼，使得網站訪問者受到侵害。

什麼是 Web 應用安全風險？

以下圖所示，攻擊者能夠經過應用程序中許多不一樣的路徑和方法來危害您的業務或者企業組織。每種路徑方法都表明了一種風險，有些路徑方法很容易被發現並利用，有些則很難被發現。


文章重點分析排名前三的 Web 安全威脅以及應對方法：

注入攻擊漏洞

注入攻擊漏洞，例如 SQL、OS 以及 LDAP 注入。這些攻擊發生在當不可信的數據做爲命令或者查詢語句的一部分，被髮送給解釋器的時候，攻擊者發送的惡意數據能夠欺騙編輯器，以執行計劃外的命令或者在未被恰當受權時訪問數據。

檢查是否存在「注入漏洞」的方法

最好的辦法就是確認全部解釋器的使用都明確地將不可信數據從命令語句或查詢語句中區分出來。對於 SQL 調用，在全部準備語句和存儲過程當中使用綁定變量，並避免使用動態查詢語句。

檢查應用程序是否安全使用解釋器的最快最有效的辦法是代碼審查，代碼分析工具能幫助安全分析者找到使用解釋器的代碼並追蹤應用的數據流。

能夠執行應用程序的動態掃描器可以提供信息，幫助確認一些可利用的注入漏洞是否存在。

典型案例

NextGEN Gallery 插件是衆所周知的 WordPress 相冊插件，這款插件功能強大，能夠在博客中任意插入動態圖片效果，提供了很完美的照片管理方法，在 WordPress 平臺上擁有過百萬的安裝量。

今年 3 月 NextGEN Gallery 插件被曝存在嚴重的 SQL 注入漏洞，影響上百萬用戶，攻擊者利用 SQL 注入漏洞獲取了數據庫中包括用戶信息在內的敏感數據。

失效的身份認證

與身份認證和會話管理相關的應用程序功能經常被錯誤地實現，攻擊者使用認證管理功能中的漏洞，採用破壞密碼、密鑰、會話令牌去冒充其餘用戶的身份。

檢查是否存在「失效的身份認證」的方法

用戶身份驗證憑證是否使用哈希或加密保護；是否能夠經過薄弱的帳戶管理功能（例如帳戶建立、密碼修改、密碼修復、弱會話 ID）重寫。

會話 ID 暴露在 URL 裏；會話 ID 沒有超時限制，用戶會話或身份驗證令牌（特別是單點登陸令牌）在用戶註銷時沒有失效；密碼、會話 ID 和其餘認證憑據使用未加密連接傳輸等。

典型案例

機票預訂應用程序支持 URL 重寫，把當前用戶的會話 ID 放在 URL 中：http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii 

該網站一個通過認證的用戶但願讓他朋友知道這個機票打折信息。他將上面連接經過郵件發送給朋友們，並不知道已經泄露了本身會話 ID. 當他的朋友們使用上面的連接時，能夠垂手可得地使用他的會話和信用卡。

敏感信息泄露

許多 Web 應用程序沒有正確保護敏感數據，如信用卡、身份證 ID 和身份驗證憑據等。攻擊者可能會竊取或篡改這些弱保護的數據以進行信用卡詐騙、身份竊取或其餘犯罪。

敏感數據需額外的保護，好比在存放或在傳輸過程當中進行加密，以及在與瀏覽器交換時進行特殊的預防措施。

檢查是否存在「敏感信息泄露」的方法

首選須要確認哪些數據時敏感數據而須要被加密。當這些數據被長期存儲的時候，不管存儲在哪裏，是否被加密和備份？

不管內部數據仍是外部數據，傳輸時是不是明文傳輸？是否還在使用舊的或者脆弱的加密算法？

加密密鑰的生成是否缺乏恰當的密鑰管理或缺乏密鑰迴轉？當瀏覽器接收或發送敏感數據時，是否有瀏覽器安全指令？

典型案例

一個網站上全部須要身份驗證的網頁都沒有使用 SSL 加密。攻擊者只須要監控網絡數據流（好比一個開放的無線網絡或其社區的有限網絡），並竊取一個已驗證的受害者的會話 Cookie. 攻擊者利用這個 Cookie 執行重放攻擊並接管用戶的會話，從而訪問用戶的隱私數據。

如何有效地防範 Web 應用安全風險？

安全防禦要貫穿整個 Web 應用生命週期

在 Web 開發階段須要對代碼進行覈查，在測試階段須要對上線前的 Web 應用作完整的安全檢查，在運營階段，建議在事前、事中和過後進行分階段、多層面的完整防禦。

構建以漏洞、事件生命週期閉環管理體系

經過監測系統平臺進行漏洞生命週期的管理，包含漏洞掃描、人工驗證、漏洞狀態的追蹤工做以及漏洞修復後的複驗工做等，使漏洞管理流程化。

提高安全管理人員工做能力

安全管理崗位人員須要創建起信息安全管理的概念，清楚 Web 威脅的危害，掌握識別安全漏洞及風險的專用技術，以及對安全問題進行加固處置的技能。