域名預訂/競價，好“米”不錯過

快到十二月中旬了,很多滲透測試中的客戶想要知道如何搜集這些漏洞信息和利用方式的檢測,再次我們Sine安全的工程師給大家普及下如何發(fā)現(xiàn)漏洞以及如何去獲取這些有用的信息來防護自身的網(wǎng)站項目平臺安全，把網(wǎng)站安全風險降到最低,使平臺更加安全穩(wěn)定的運行下去。

威脅情報(Threat Intelligence)一般指從安全數(shù)據(jù)中提煉的，與網(wǎng)絡空間威脅相關的信息，包括威脅來源、攻擊意圖、攻擊手法、攻擊目標信息，以及可用于解決威脅或應對危害的知識。廣義的威脅情報也包括情報的加工生產(chǎn)、分析應用及協(xié)同共享機制。相關的概念有資產(chǎn)、威脅、脆弱性等，具體定義如下。

6.3.2. 相關概念

資產(chǎn)(Asset):對組織具有價值的信息或資源

威脅(Threat): 能夠通過未授權訪問、毀壞、揭露、數(shù)據(jù)修改和或拒絕服務對系統(tǒng)造成潛在危害的起因，威脅可由威脅的主體（威脅源）、能力、資源、動機、途徑、可能性和后果等多種屬性來刻畫

脆弱性 / 漏洞(Vulnerability): 可能被威脅如攻擊者利用的資產(chǎn)或若干資產(chǎn)薄弱環(huán)節(jié)

風險(Risk): 威脅利用資產(chǎn)或一組資產(chǎn)的脆弱性對組織機構造成傷害的潛在可能

安全事件(Event): 威脅利用資產(chǎn)的脆弱性后實際產(chǎn)生危害的情景

6.3.3. 其他

一般威脅情報需要包含威脅源、攻擊目的、攻擊對象、攻擊手法、漏洞、攻擊特征、防御措施等。威脅情報在事前可以起到預警的作用，在威脅發(fā)生時可以協(xié)助進行檢測和響應，在事后可以用于分析和溯源。

常見的網(wǎng)絡威脅情報服務有黑客或欺詐團體分析、社會媒體和開源信息監(jiān)控、定向漏洞研究、定制的人工分析、實時事件通知、憑據(jù)恢復、事故調(diào)查、偽造域名檢測等。

為了實現(xiàn)情報的同步和交換，各組織都制定了相應的標準和規(guī)范。主要有國標，美國聯(lián)邦政府標準等。

在威脅情報方面，比較有代表性的廠商有RSA、IBM、McAfee、賽門鐵克、FireEye等。

風險控制

6.4.1. 常見風險

會員

撞庫*

賬號分享

批量注冊

視頻

盜播盜看

廣告屏蔽

刷量作弊

活動

薅羊毛

直播

掛站人氣

惡意圖文

電商

惡意下單

訂單欺詐

支付

洗錢

惡意下單

惡意提現(xiàn)

其他

釣魚郵件

惡意爆破

短信轟炸

安全加固

6.5.1. 網(wǎng)絡設備

及時檢查系統(tǒng)版本號

敏感服務設置訪問IP/MAC白名單

開啟權限分級控制

關閉不必要的服務

打開操作日志

配置異常告警

關閉ICMP回應

6.5.2. 操作系統(tǒng)

6.5.2.1. Linux

無用用戶/用戶組檢查

敏感文件權限配置

/etc/passwd

/etc/shadow

~/.ssh/

/var/log/messages

/var/log/secure

/var/log/maillog

/var/log/cron

/var/log/spooler

/var/log/boot.log

日志是否打開

及時安裝補丁

開機自啟

/etc/init.d

檢查系統(tǒng)時鐘

6.5.2.2. Windows

異常進程監(jiān)控

異常啟動項監(jiān)控

異常服務監(jiān)控

配置系統(tǒng)日志

用戶賬戶

設置口令有效期

設置口令強度限制

設置口令重試次數(shù)

安裝EMET

啟用PowerShell日志

限制以下敏感文件的下載和執(zhí)行

ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif

限制會調(diào)起wscript的后綴

bat, js, jse, vbe, vbs, wsf, wsh

6.5.3. 應用

6.5.3.1. FTP

禁止匿名登錄

修改Banner

6.5.3.2. SSH

是否禁用ROOT登錄

是否禁用密碼連接

6.5.3.3. MySQL

文件寫權限設置

用戶授權表管理

日志是否啟用

版本是否最新

6.5.4. Web中間件

6.5.4.1. Apache

版本號隱藏

版本是否最新

禁用部分HTTP動詞

關閉Trace

禁止 server-status

上傳文件大小限制

目錄權限設置

是否允許路由重寫

是否允許列目錄

日志配置

配置超時時間防DoS

6.5.4.2. Nginx

禁用部分HTTP動詞

禁用目錄遍歷

檢查重定向配置

配置超時時間防DoS

6.5.4.3. IIS

版本是否最新

日志配置

用戶口令配置

ASP.NET功能配置

配置超時時間防DoS

6.5.4.4. JBoss

jmx console配置

web console配置

6.5.4.5. Tomcat

禁用部分HTTP動詞

禁止列目錄

禁止manager功能

用戶密碼配置

用戶權限配置

配置超時時間防DoS

蜜罐技術

6.6.1. 簡介

蜜罐是對攻擊者的欺騙技術，用以監(jiān)視、檢測、分析和溯源攻擊行為，其沒有業(yè)務上的用途，所有流入/流出蜜罐的流量都預示著掃描或者攻擊行為，因此可以比較好的聚焦于攻擊流量。

蜜罐可以實現(xiàn)對攻擊者的主動誘捕，能夠詳細地記錄攻擊者攻擊過程中的許多痕跡，可以收集到大量有價值的數(shù)據(jù)，如病毒或蠕蟲的源碼、黑客的操作等，從而便于提供豐富的溯源數(shù)據(jù)。

但是蜜罐存在安全隱患，如果沒有做好隔離，可能成為新的攻擊源。

6.6.2. 分類

按用途分類，蜜罐可以分為研究型蜜罐和產(chǎn)品型蜜罐。研究型蜜罐一般是用于研究各類網(wǎng)絡威脅，尋找應對的方式，不增加特定組織的安全性。產(chǎn)品型蜜罐主要是用于防護的商業(yè)產(chǎn)品。

按交互方式分類，蜜罐可以分為低交互蜜罐和高交互蜜罐。低交互蜜罐模擬網(wǎng)絡服務響應和攻擊者交互，容易部署和控制攻擊，但是模擬能力會相對較弱，對攻擊的捕獲能力不強。高交互蜜罐

6.6.3. 隱藏技術

蜜罐主要涉及到的是偽裝技術，主要涉及到進程隱藏、服務偽裝等技術。

蜜罐之間的隱藏，要求蜜罐之間相互隱蔽。進程隱藏，蜜罐需要隱藏監(jiān)控、信息收集等進程。偽服務和命令技術，需要對部分服務進行偽裝，防止攻擊者獲取敏感信息或者入侵控制內(nèi)核。數(shù)據(jù)文件偽裝，需要生成合理的虛假數(shù)據(jù)的文件。

6.6.4. 識別技術

攻擊者也會嘗試對蜜罐進行識別。比較容易的識別的是低交互的蜜罐，嘗試一些比較復雜且少見的操作能比較容易的識別低交互的蜜罐。相對困難的是高交互蜜罐的識別，因為高交互蜜罐通常以真實系統(tǒng)為基礎來構建，和真實系統(tǒng)比較近似。對這種情況，通常會基于虛擬文件系統(tǒng)和注冊表的信息、內(nèi)存分配特征、硬件特征、特殊指令等來識別,如果對滲透測試有需求的朋友可以去問問專業(yè)的網(wǎng)站安全維護公司來預防新項目上線所產(chǎn)生的安全問題，國內(nèi)做的比較好的公司推薦Sinesafe,綠盟,啟明星辰等等都是比較不錯的。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！