在信息化的时代,很多业务都依赖于互联网,例如说网上银行、网络购物、网游等。大量的数据依赖于网络。无疑Web成为领导者。随着国家安全法的不断完善,企业及公司对用户隐私以及公司的重要信息逐渐加强重视。也使得暴露在网络上的Web面临更高的挑战。这种黑白交替的时代,黑白技术在对抗中也在不断的发展。也使得安全测试逐渐规范化。作为新人,浅谈一下Web安全观。浅谈从Web安全到APT防御。
一、web系统存在的安全性
- 复杂应用系统代码量大、开发人员出现疏忽;
- 系统屡次升级、人员频繁变更,使得代码存在差别;
- 新旧资源存在于相同服务器;
- 开发人员未经过安全意识培训;
- 系统测试阶段未达到要求的合格范围;
在整个系统实现阶段。人,无疑成为做大的Bug。在开发者的关注角度呈现的思维方式:
- 客户的满意程度;
- 处理能力;
- 界面的美观与操作简洁度;
- 项目的开发进度以及所用成本;
- 使用合理的架构,方便代码修改;
- 模块(类)间关联程度的度量;
- …
二、常见Web攻击维度
三、常见Web攻击动机
- 炫技或存在报复心理;
- 篡改网页,修改文字内容;
- 窃取用户隐私信息、商业机密;
- 关闭站点,影响正常访问;
- 网站钓鱼,非法诈骗;
- 用户权限进行非法操作;
- 以此作为跳板攻击企业内网其他系统;
- …
四、常见的 Web 攻击流程
- 信息收集
- 暴力猜解
- Web漏洞扫描
- 错误信息利用
- 根据服务器版本寻找现有的攻击代码
- 利用服务器配置漏洞
- 文件上传下载
- 构造恶意输入(SQL注入攻击、命令注入攻击、跨站脚本攻击)
- HTTP协议攻击
- 拒绝服务攻击
- 其他攻击点利用(Web Services, Flash, Ajax, ActiveX, JavaApplet)
- 业务逻辑测试
- …
五、Web 漏洞 Top 10
你想怎样进入房间?
- (十)内部重要资料/文档外泄
无论是企业还是个人,越来越依赖于对电子设备的存储、处理和传输信息的能力。 企业重要的数据信息,都以文件的形式存储在电子设备或数据中心上,企业雇员或程序员为了办公便利,常常将涉密数据拷贝至移动存储介质或上传至网络,一旦信息外泄,将直接加重企业安全隐患发生的概率。
- (九)账户体系控制不严/越权操作
与认证和会话管理相关的应用程序功能常常会被攻击者利用,攻击者通过组建的社会工程数据库,检索用户密码,或者通过信息泄露获得的密钥、会话token、GSID和利用其它信息来绕过授权控制访问不属于自己的数据。如果服务端未对来自客户端的请求进行身份属主校验,攻击者可通过伪造请求,越权窃取所有业务系统的数据。
- (八)未授权访问/权限绕过
多数业务系统应用程序仅仅只在用户客户端校验授权信息,或者干脆不做访问控制规则限制,如果服务端对来自客户端的请求未做完整性检查,攻击者将能够伪造请求,访问未被授权使用的功能。
- (七)XSS跨站脚本攻击/CSRF
属于代码注入的一种,XSS发生在当应用程序获得不可信的数据并发送到浏览器或支持用户端脚本语言容器时,没有做适当的校验或转义。XSS能让攻击者在受害者的浏览器上执行脚本行,从而实现劫持用户会话、破坏网站Dom结构或者将受害者重定向到恶意网站。
- (六)SQL注入漏洞
注入缺陷不仅仅局限于SQL,还包括命令、代码、变量、HTTP响应头、XML等注入。 程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,当不可信的数据作为命令或查询的一部分被发送到解释器时,注入就会发生。攻击者的恶意数据欺骗解释器,让它执行意想不到的命令或者访问没有准确授权的数据。
- (五)应用错误配置/默认配置
多数应用程序、中间件、服务端程序在部署前,未针对安全基线缺乏严格的安全配置定义和部署,将为攻击者实施进一步攻击带来便利。常见风险:flash默认配置,Access数据库默认地址,WebDav配置错误,Rsync错误配置,应用服务器、Web服务器、数据库服务器自带管理功能默认后台和管理口令。
- (四)敏感信息/配置信息泄露
由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露,攻击者可能会通过收集这些保护不足的数据,利用这些信息对系统实施进一步的攻击。
- (三)系统错误/逻辑缺陷带来的暴力猜解
由于应用系统自身的业务特性,会开放许多接口用于处理数据,如果接口或功能未进行严谨的安全控制或判断,将会促进骇客加快攻击应用程序的过程,大大降低了骇客发现威胁的人力成本。 随着模块化的自动化攻击工具包越来越趋向完善,将给应用带来最大的威胁。
- (二)引用不安全的第三方应用
第三方开源应用、组件、库、框架和其他软件模块; 过去几年中,安全领域在如何处理漏洞的评估方面取得了长足的进步,几乎每一个业务系统都越来越多地使用了第三方应用,从而导致系统被入侵的威胁也随之增加。由于第三方应用平行部署在业务系统之上,如果一个易受攻击的第三方应用被利用,这种攻击将导致严重的数据失窃或系统沦陷。
- (一)互联网泄密事件/撞库攻击
以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。
六、什么是APT?
APT(Advanced Persistent Threat) 高持续性威胁,这个专业名词的源于09年Google退华事件中“极光攻击”这一安全事件,各国安全专家对这类攻击持续热议后总结而得。名词看着很新鲜,专业解释是指专门针对特定组织所实施的空前复杂且多方位的高级渗透攻击,也有很多人喜欢用我们中国的老话“不怕贼偷就怕贼惦记”来解释APT,但千万注意别把APT这个贼局限在网络攻击。
七、APT攻击的危害
- 一是摧毁,例如摧毁工业SCADA系统,导致电力控制设备、油田勘探设备瘫痪,ATM机渠道、电视台播放系统停运等;
- 二是窃取,例如偷取各类互联网数据支撑黑产,窃取油藏地质数据等国家重要军备物资数据;
- 三是监控,针对关键目标人物的网络聊天、短信、语音通话、视频监控等;
- 四是威慑,就像“核威慑”一样宣称可随时进行各种破坏力巨大的高危行为。
八、APT攻击的流程
- 一阶段采用0Day漏洞技术植入恶意样本;
- 二阶段是通过恶意代码进行远程监控;
- 三阶段也是利用恶意代码对内网进行渗透攻击或破坏;
攻击者为了对特定目标进行攻击,而特别设计和定制研发的恶意程序
沙盒处理性能到底是多少?
九、在面对APT攻击时的四个弱点:
- 对未知攻击的检测能力严重不足;
- 对流量的深度分析能力不足;
- 对终端的强效监管能力不足;
- 对整体安全态势的管控手段不足。
攻防对抗的本质是“人与人”的对抗,以人为本是防御体系建设的根本!
十、用平台化和工具化来进行APT防护
1、Cloud - 云端
- 汇聚各种线索事件
- 智能的事件关联分析
- 提供更全面的分析检测环境
- 搭建人工分析基础
2、Network - 网络层
- 识别网络流量中的脏数据,切断监控目标的黑手
- 防护来自流量的攻击威胁,提高目标植入难度
3、Endpoint – 终端层(含移动端)
- 识别目标植入的攻击行为
- 拦截各种目标数据监控行为
- 响应威胁处理任务,清理威胁文件并还原用户状态
4、Test tools – 检测工具
- 检测攻击者驻留的各种软件后门
- 深度检测各种硬件级后门
- 为攻击溯源搜集分析线索
转载:https://blog.csdn.net/weixin_45745344/article/details/107946187