網站安全滲透測試團隊公司解決防禦方案

愈來愈多的網站和app的上線,致使安全問題日益增長,漏洞問題也很是多,大公司急需組建專業的滲透測試團隊來保障新項目的安全穩定，防止被入侵被黑，對此咱們Sinesafe給你們講解下組建安全團隊的重要幾點，來達到各個項目的安全滲透工做的分工執行能力。

滲透測試安全團隊建設

紅藍軍簡介

在隊伍的對抗演習中，藍軍一般是指在部隊模擬對抗演習專門扮演假想敵的部隊，與紅軍（表明我方正面部隊）進行鍼對性的訓練。

網絡安全紅藍對抗的概念就源自於此。紅軍做爲企業防守方，經過安全加固、攻擊監測、應急處置等手段來保障企業安全。而藍軍做爲攻擊方，以發現安全漏洞，獲取業務權限或數據爲目標，利用各類攻擊手段，試圖繞過紅軍層層防禦，達成既定目標。可能會形成混淆的是，在歐美通常採用紅隊表明攻擊方，藍隊表明防守方，顏色表明正好相反。

企業網絡藍軍工做內容主要包括滲透測試和紅藍對抗（Red Teaming），這兩種方式所使用的技術基本相同，可是側重點不一樣。

滲透測試側重用較短的時間去挖掘更多的安全漏洞，通常不太關注攻擊行爲是否被監測發現，目的是幫助業務系統暴露和收斂更多風險。

紅藍對抗更接近真實場景，側重繞過防護體系，毫無聲息達成獲取業務權限或數據的目標，不求發現所有風險點，由於攻擊動做越多被發現的機率越大，一旦被發現，紅軍就會把藍軍踢出戰場。紅藍對抗的目的是檢驗在真實攻擊中縱深防護能力、告警運營質量、應急處置能力。

人員分工

• 部門負責人
• 負責組織總體的信息安全規劃
• 負責向高層溝通申請資源
• 負責與組織其餘部門的協調溝通
• 共同推動信息安全工做
• 負責信息安全團隊建設
• 負責安全事件應急工做處置
• 負責推進組織安全規劃的落實
• 合規管理員
• 負責安全相關管理制度、管理流程的制定，監督實施狀況，修改和改進相關的制度和流程
• 負責合規性迎檢準備工做，包括聯絡、迎檢工做推進，迎檢結果彙報等全部相關工做
• 負責與外部安全相關單位聯絡
• 負責安全意識培訓、宣傳和推廣
• 安全技術負責人
• 業務安全防禦總體技術規劃和計劃
• 瞭解組織安全技術缺陷，並能找到方法進行防護
• 安全設備運維
• 服務器與網絡基礎設備的安全加固推動工做
• 安全事件排查與分析，配合按期編寫安全分析報告
• 關注注業內安全事件， 跟蹤最新漏洞信息，進行業務產品的安全檢查
• 負責漏洞修復工做推動，跟蹤解決狀況，問題收集
• 瞭解最新安全技術趨勢
• 滲透/代碼審計人員
• 對組織業務網站、業務系統進行安全評估測試
• 對漏洞結果提供解決方案和修復建議
• 安全設備運維人員
• 負責設備配置和策略的修改
• 負責協助其餘部門的變動致使的安全策略修改的實現
• 安全開發
• 根據組織安全的須要開發安全輔助工具或平臺
• 參與安全系統的需求分析、設計、編碼等開發工做
• 維護公司現有的安全程序與系統

5.5. 內網滲透補充操做

5.5.1. 端口轉發

• windows
• lcx
• netsh
• linux
• portmap
• iptables
• socket代理
• Win: xsocks
• Linux: proxychains
• 基於http的轉發與socket代理(低權限下的滲透)
• 端口轉發: tunna
• socks代理: reGeorg
• ssh通道
• 端口轉發
• socks

5.5.2. 獲取shell

• 常規shell反彈
• 突破防火牆的imcp_shell反彈
• 正向shell
• nc -e /bin/sh -lp 1234
• nc.exe -e cmd.exe -lp 1234

5.5.3. 內網文件傳輸

• windows下文件傳輸
• powershell
• vbs腳本文件
• bitsadmin
• 文件共享
• 使用telnet接收數據
• hta
• linux下文件傳輸
• python
• wget
• tar + ssh
• 利用dns傳輸數據
• 文件編譯
• powershell將exe轉爲txt，再txt轉爲exe

5.5.4. 遠程鏈接 && 執行程序

• at&schtasks
• psexec
• wmic
• wmiexec.vbs
• smbexec
• powershell remoting
• SC建立服務執行
• schtasks
• SMB+MOF || DLL Hijacks
• PTH + compmgmt.msc

Windows系統持久化

6.1. 整體思路

5.2. 持久化 – Windows

Web應用須要限制用戶對應用程序的數據和功能的訪問，以防止用戶未經受權訪問。訪問控制的過程能夠分爲驗證、會話管理和訪問控制三個地方。

6.1.1.1. 驗證機制

驗證機制在一個應用程序的用戶訪問處理中是一個最基本的部分，驗證就是肯定該用戶的有效性。大多數的web應用都採用使用的驗證模型，即用戶提交一個用戶名和密碼，應用檢查它的有效性。在銀行等安全性很重要的應用程序中，基本的驗證模型一般須要增長額外的證書和多級登陸過程，好比客戶端證書、硬件等。

6.1.1.2. 會話管理

爲了實施有效的訪問控制，應用程序須要一個方法來識別和處理這一系列來自每一個不一樣用戶的請求。大部分程序會爲每一個會話建立一個惟一性的token來識別。

對攻擊者來講，會話管理機制高度地依賴於token的安全性。在部分狀況下，一個攻擊者能夠假裝成受害的受權用戶來使用Web應用程序。這種狀況可能有幾種緣由，其一是token生成的算法的缺陷，使得攻擊者可以猜想到其餘用戶的token；其二是token後續處理的方法的缺陷，使得攻擊者可以得到其餘用戶的token。

6.1.1.3. 訪問控制

處理用戶訪問的最後一步是正確決定對於每一個獨立的請求是容許仍是拒絕。若是前面的機制都工做正常，那麼應用程序就知道每一個被接受到的請求所來自的用戶的id，並據此決定用戶對所請求要執行的動做或要訪問的數據是否獲得了受權。

因爲訪問控制自己的複雜性，這使得它成爲攻擊者的經常使用目標。開發者常常對用戶會如何與應用程序交互做出有缺陷的假設，也常常省略了對某些應用程序功能的訪問控制檢查。

6.1.2. 輸入處理

不少對Web應用的攻擊都涉及到提交未預期的輸入，它致使了該應用程序設計者沒有料到的行爲。所以，對於應用程序安全性防禦的一個關鍵的要求是它必須以一個安全的方式處理用戶的輸入。

基於輸入的漏洞可能出如今一個應用程序的功能的任何地方，並與其使用的技術類型相關。對於這種攻擊，輸入驗證是 經常使用的必要防禦。不存在通用的單一的防禦機制。經常使用的防禦機制有以下幾種：

6.1.2.1. 黑名單

黑名單包含已知的被用在攻擊方面的一套字面上的字符串或模式，驗證機制阻擋任何匹配黑名單的數據。

通常來講,這種方式是被認爲是輸入效果較差的一種方式。主要有兩個緣由，其一Web應用中的一個典型的漏洞可使用不少種不一樣的輸入來被利用，輸入能夠是被加密的或以各類不一樣的方法表示。

其二，漏洞利用的技術是在不斷地改進的，有關利用已存在的漏洞類型的新的方法不可能被當前黑名單阻擋。

6.1.2.2. 白名單

白名單包含一系列的字符串、模式或一套標準來匹配符合要求的輸入。這種檢查機制容許匹配白名單的數據,阻止以外的任何數據。這種方式相對比較有效，但須要比較好的設計。

6.1.2.3. 過濾

過濾會刪除潛在的惡意字符並留下安全的字符，基於數據過濾的方式一般是有效的，而且在許多情形中，可做爲處理惡意輸入的通用解決方案。

6.1.2.4. 安全地處理數據

很是多的web應用程序漏洞的出現是由於用戶提供的數據是以不安全的方法被處理的。在一些狀況下，存在安全的編程方法可以避免一般的問題。例如，SQL注入攻擊可以經過預編譯的方式組織，XSS在大部分狀況下可以被轉義所防護,若是對以上滲透測試團隊建設或新項目有安全測試的需求想要了解更詳細的話能夠諮詢專業的網站安全公司來測試並處理解決,過內作的比較全面的網站安全維護公司推薦Sine安全,啓明星辰,綠盟等等都是比較不錯的。