幾天整理了下網站滲透測試中基礎部分的第三節,我們滲透工程師對代碼安全審計,手工滲透測試檢查代碼的危險漏洞方法,找出安全問題重點,配合工具掃描來達到測試漏洞的目的,本測試重點僅限于客戶授權才能操作,切記忽非法嘗試入侵!以下方法只是提供網站安全檢測的具體參考意見。
1.5. 代碼審計
1.5.1. 簡介
代碼審計是找到應用缺陷的過程。其通常有白盒、黑盒、灰盒等方式。白盒指通過對源代碼的分析找到應用缺陷,黑盒通常不涉及到源代碼,多使用模糊測試的方式,而灰盒則是黑白結合的方式。
1.5.2. 常用概念
1.5.2.1. 輸入
應用的輸入,可以是請求的參數(GET、POST等)、上傳的文件、網絡、數據庫等用戶可控或者間接可控的地方。
1.5.2.2. 處理函數
處理數據的函數,可能是過濾,也可能是編解碼。
1.5.2.3. 危險函數
又常叫做Sink Call、漏洞點,是可能觸發危險行為如文件操作、命令執行、數據庫操作等行為的函數。
1.5.3. 自動化審計
一般認為一個漏洞的觸發過程是從輸入經過過濾到危險函數的過程,而審計就是尋找這個鏈條的過程。
1.5.3.1. 危險函數匹配
白盒審計最常見的方式是通過搜尋危險函數與危險參數定位漏洞,比較有代表性的工具是Seay開發的審計工具。這種方法誤報率相當高,這是因為這種方法沒有對程序的流程進行深入分析,另一方面,這種方式通常是孤立地分析每一個文件,忽略了文件之間復雜的調用關系。
具體的說,這種方式在一些環境下能做到幾乎無漏報,只要審計者有耐心,可以發現大部分的漏洞,但是在高度框架化的代碼中,能找到的漏洞相對有限。
1.5.3.2. 控制流分析
在后來的系統中,考慮到一定程度引入AST作為分析的依據,在一定程度上減少了誤報,但是仍存在很多缺陷。
而后,Dahse J等人設計了RIPS,該工具進行數據流與控制流分析,結合過程內與過程間的分析得到審計結果,相對危險函數匹配的方式來說誤報率少了很多,但是同樣的也增加了開銷。
1.5.3.3. 灰盒分析
國內安全研究員fate0提出了基于運行時的分析方式,解決了控制流分析實現復雜、計算路徑開銷大的問題。
1.5.4. 手工審計方式
1.6. WAF
1.6.1. 簡介
1.6.1.1. 概念
WAF(Web Application Firewall,Web應用防火墻)是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供加固的產品。 在市場上,有各種價格各種功能和選項的WAF。在一定程度上,WAF能為Web應用提供安全性,但是不能保證完全的安全。
1.6.1.2. 常見功能
1.6.1.3. 布置位置
按布置位置,WAF可以分為云WAF、主機防護軟件和硬件防護。云WAF布置在云上,請求先經過云服務器而后流向主機。主機防護軟件需要主機預先安裝對應軟件,如mod_security、ngx-lua-waf等,對主機進行防護。硬件防護指流量流向主機時,先經過設備的清洗和攔截。
1.6.2. 防護方式
WAF常用的方法有關鍵字檢測、正則表達式檢測、語法分析、行為分析、聲譽分析、機器學習等。
基于正則的保護是最常見的保護方式。開發者用一些設定好的正則規則來檢測載荷是否存在攻擊性。基于正則的防護較為簡單,因此存在一些缺點。例如只能應用于單次請求,而且正則很難應用到一些復雜的協議上。
基于語法的分析相對正則來說更快而且更準確,這種分析會把載荷按照語法解析成的符號組,然后在符號組中尋找危險的關鍵字。這種方式對一些載荷的變式有較好的效果,但是同樣的,對解析器要求較高。
基于行為的分析著眼的范圍更廣一些,例如攻擊者的端口掃描行為、目錄爆破、參數測試或者一些其他自動化或者攻擊的模式都會被納入考慮之中。
基于聲譽的分析可以比較好的過濾掉一些可疑的來源,例如常用的VPN、匿名代理、Tor節點、僵尸網絡節點的IP等。
基于機器學習的WAF涉及到的范圍非常廣,效果也因具體實現和場景而較為多樣化。
除了按具體的方法分,也可以根據白名單和黑名單的使用來分類。基于白名單的WAF適用于穩定的Web應用,而基于黑名單則適合處理已知問題。
1.6.3. 掃描器防御
1.6.4. WAF指紋
1.6.5. 繞過方式
1.6.5.1. 基于架構的繞過
1.6.5.2. 基于資源的繞過
1.6.5.3. 基于解析的繞過
1.6.5.4. 基于規則的繞過
2.1. 域名信息
2.1.1. Whois
Whois 可以查詢域名是否被注冊,以及注冊域名的詳細信息的數據庫,其中可能會存在一些有用的信息,例如域名所有人、域名注冊商、郵箱等。
2.1.2. 搜索引擎搜索
搜索引擎通常會記錄域名信息,可以通過 site:域名的語法來查詢。
2.1.3. 第三方查詢
網絡中有相當多的第三方應用提供了子域的查詢功能,下面有一些例子,更多的網站可以在 8.1 工具列表 中查找。
2.1.4. ASN信息關聯
在網絡中一個自治系統(Autonomous System, AS)是一個有權自主地決定在本系統中應采用何種路由協議的小型單位。這個網絡單位可以是一個簡單的網絡也可以是一個由一個或多個普通的網絡管理員來控制的網絡群體,它是一個單獨的可管理的網絡單元(例如一所大學,一個企業或者一個公司個體)。
一個自治系統有時也被稱為是一個路由選擇域(routing domain)。一個自治系統將會分配一個全局的唯一的16位號碼,這個號碼被稱為自治系統號(ASN)。因此可以通過ASN號來查找可能相關的IP,例如:
whois -h whois.xxx.net -- '-i origin AS111111' | grep -Eo "([0-9.]+){4}/[0-9]+" | uniq
nmap -- targets-asn ---args targets-asn.asn=15169
2.1.5. 域名相關性
同一個企業/個人注冊的多個域名通常具有一定的相關性,例如使用了同一個郵箱來注冊、使用了同一個備案、同一個負責人來注冊等,可以使用這種方式來查找關聯的域名。一種操作步驟如下:
2.1.6. 網站信息利用
網站中有相當多的信息,網站本身、各項安全策略、設置等都可能暴露出一些信息。
網站本身的交互通常不囿于單個域名,會和其他子域交互。對于這種情況,可以通過爬取網站,收集站點中的其他子域信息。這些信息通常出現在Java文件、資源文件鏈接等位置。
網站的安全策略如跨域策略、CSP規則等通常也包含相關域名的信息。有時候多個域名為了方便會使用同一個SSL/TLS證書,因此有時可通過證書來獲取相關域名信息。
2.1.7. 證書透明度
為了保證HTTPS證書不會被誤發或偽造,CA會將證書記錄到可公開驗證、不可篡改且只能附加內容的日志中,任何感興趣的相關方都可以查看由授權中心簽發的所有證書。因此可以通過查詢已授權證書的方式來獲得相關域名。
2.1.8. 域傳送漏洞
DNS域傳送(zone transfer)指的是冗余備份服務器使用來自主服務器的數據刷新自己的域(zone)數據庫。這是為了防止主服務器因意外不可用時影響到整個域名的解析。
一般來說,域傳送操作應該只允許可信的備用DNS服務器發起,但是如果錯誤配置了授權,那么任意用戶都可以獲得整個DNS服務器的域名信息。這種錯誤授權被稱作是DNS域傳送漏洞。
2.1.9. Passive DNS
Passive DNS被動的從遞歸域名服務器記錄來自不同域名服務器的響應,形成數據庫。利用Passive DNS數據庫可以知道域名曾綁定過哪些IP,IP曾關聯到哪些域名,域名最早/最近出現的時間,為測試提供較大的幫助。Virustotal、passivetotal、CIRCL等網站都提供了Passive DNS數據庫的查詢。
2.1.10. SPF記錄
SPF(Sender Policy Framework)是為了防止垃圾郵件而提出來的一種DNS記錄類型,是一種TXT類型的記錄,用于登記某個域名擁有的用來外發郵件的所有IP地址。通過SPF記錄可以獲取相關的IP信息。
2.1.11. CDN
2.1.11.1. CDN驗證
可通過多地ping的方式確定目標是否使用了CDN 等。
2.1.11.2. 域名查找
使用了CDN的域名的父域或者子域名不一定使用了CDN,可以通過這種方式去查找對應的IP。
2.1.11.3. 歷史記錄查找
CDN可能是在網站上線一段時間后才上線的,可以通過查找域名解析記錄的方式去查找真實IP。
2.1.12. 子域爆破
在內網等不易用到以上技巧的環境,或者想監測新域名上線時,可以通過批量嘗試的方式,找到有效的域名,以上等內容基礎全面性比較覆蓋網站安全方便的滲透測試方法,如果對此有需求可以聯系專業的網站安全公司來處理解決,防止被入侵被攻擊之類的安全問題。
用網絡釣魚來盜QQ,這種方法之前大家應該也有了解過。不過這種方法必須手工宣傳我們的釣魚網站。有點麻煩,而且在別人的QQ群中宣傳,釣魚網站也是很容易被騰訊給封了。無意間,我想到了另一種快速盜Q的方法,同樣我采用的是網絡釣魚,但釣的對象不是其他的QQ用戶,而是想盜號的新手們。
以我之前更新過的一片文章中的釣魚程序為例子,我們可以對pet_qq_action_asp進行
改造,改造后的代碼如下:
而上邊的代碼中的action.asp文件代碼如下:
我們將action.asp傳到一個支持asp的空間。改造后的pet_qq_action.asp除了將接收到的密碼保存到qqpass.mdb,還會將密碼信息發送到http://個人空間/action.asp中,action.asp接收到密碼后,會將密碼保存在qq.txt中。把我們制作的盜號程序號發布到網上,或者找到新手們教他們使用我們改造后的程序去盜QQ,最后就等著他們把盜到的QQ發送到我們哪里就可以了(石頭:方法比較邪惡,謹慎使用)。
其實盜號還有一種更容易的方法,那就是到網上去搜索qq.txt來盜QQ,不過網上的那些qq.txt中的號碼已經很少能夠成功登錄了。我給大家介紹另一種搜索qq號及密碼的方法,我們可以嘗試去搜那么釣魚網站,搜索關鍵字:“pet_qq_login”、“我寵我寶貝,QQ寵物”,也可以嘗試去構造其他的關鍵字去搜索。找到釣魚網站后試試看他的默認數據庫qqpass.mdb是不是可以下載。我就曾下載到一個擁有5000多個QQ號的數據庫,不過后來那個網站關了,不然數量可能還會繼續增加的。
本文來自 危險漫步博客 轉載請注明;
本文地址:http://www.weixianmanbu.com/article/1089.html
存在一個設計漏洞能無需受害者運行任何額外代碼就能移除惡意程序。
作者/來源: 安華金和
法國警方在 Avast 的幫助下接管了一臺控制僵尸網絡的服務器,遠程移除了受害者系統中的惡意程序。Avast 稱,它發現了一臺指令服務器用于控制挖掘數字貨幣的惡意程序,它位于法國境內,存在一個設計漏洞能無需受害者運行任何額外代碼就能移除惡意程序。
該惡意程序被稱為 Retadup,主要用于挖掘數字貨幣門羅幣,偶爾也會推送勒索軟件和竊取密碼的惡意程序,該惡意程序的受害者超過 85 萬,主要位于南美洲,秘魯、委內瑞拉、玻利維亞和墨西哥是感染數量最多的國家。
來源:solidot.org
亞馬遜前工程師非法入侵服務器進行挖礦活動被起訴據 geekwire 報道,美國一聯邦大陪審團對亞馬遜前工程師 Paige Thompson 發起訴訟,因其犯有多項網絡欺詐和計算機欺詐罪。據悉,Thompson 被指控在侵入 Capital One 和其他 30 多家公司的云服務器后,不僅竊取了數據,還進行加密貨幣挖礦活動。
來源:ChinaZ 站長之家
詳情鏈接: https://www.dbsec.cn/blog/article/4994.html
探針盒子“盜號” 被曝光后仍在售今年央視 3·15 晚會曝光了一種 WiFi 探針盒子,這種盒子能在用戶毫不知情的情況下,獲取用戶手機 MAC 地址,并將其轉換成用戶手機號。將近半年過去了,北京青年報記者調查發現,仍有一些商家在網絡商城中售賣此類 WiFi 探針盒子,并均表示此類盒子可以采集周邊用戶的手機號碼,用于“精準營銷”。
來源:北京青年報
詳情鏈接: https://www.dbsec.cn/blog/article/4996.html
法“黑客獵手”為 85 萬臺電腦掃毒近日,法國國家憲兵隊打擊網絡犯罪中心成功為遭犯罪組織入侵的 85 萬余臺電腦清除了病毒。這一病毒長期以來一直被一大型網絡黑客團伙所使用。該團伙已在全球網絡實施犯罪活動至少 3 年時間,每年獲得數百萬歐元的收入。
來源:環球網
詳情鏈接: https://www.dbsec.cn/blog/article/4997.html
超 1000 萬條個人信息泄露 阜陽 49 人被抓2018 年 12 月,阜陽市公安局潁泉分局接群眾舉報稱:潁泉區一小區住戶內有一違法公司,大量非法買賣公民個人信息。阜陽市公安局對此高度重視,立即組織市、區兩級網安、刑偵骨干力量成立專案組,在查清犯罪團伙的組織架構、違法犯罪事實后,進一步查明并鎖定了 5 處犯罪窩點。
來源:安徽網
詳情鏈接: https://www.dbsec.cn/blog/article/4998.html
(信息來源于網絡,安華金和搜集整理)
*請認真填寫需求信息,我們會在24小時內與您取得聯系。