正文 

当前位置: 首页 > 技术 > java教程

网站安全***测试维护公司漏洞信息搜集方法

author author     2022-12-11     763

关键词:

网站安全***测试维护公司 漏洞信息搜集方法

分类专栏: 网站安全漏洞检测 网站漏洞修复 网站安全防护 文章标签: 网站安全维护公司 网站***测试 网站漏洞修复 服务器安全防护 服务器安全加固
版权
快到十二月中旬了,很多***测试中的客户想要知道如何搜集这些漏洞信息和利用方式的检测,再次我们Sine安全的工程师给大家普及下如何发现漏洞以及如何去获取这些有用的信息来防护自身的网站项目平台安全,把网站安全风险降到最低,使平台更加安全稳定的运行下去。
技术图片

威胁情报(Threat Intelligence)一般指从安全数据中提炼的,与网络空间威胁相关的信息,包括威胁来源、***意图、***手法、***目标信息,以及可用于解决威胁或应对危害的知识。广义的威胁情报也包括情报的加工生产、分析应用及协同共享机制。相关的概念有资产、威胁、脆弱性等,具体定义如下。

6.3.2. 相关概念

  • 资产(Asset):对组织具有价值的信息或资源
  • 威胁(Threat): 能够通过未授权访问、毁坏、揭露、数据修改和或拒绝服务对系统造成潜在危害的起因,威胁可由威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果等多种属性来刻画
  • 脆弱性 / 漏洞(Vulnerability): 可能被威胁如***者利用的资产或若干资产薄弱环节
  • 风险(Risk): 威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能
  • 安全事件(Event): 威胁利用资产的脆弱性后实际产生危害的情景

    6.3.3. 其他

一般威胁情报需要包含威胁源、***目的、***对象、***手法、漏洞、***特征、防御措施等。威胁情报在事前可以起到预警的作用,在威胁发生时可以协助进行检测和响应,在事后可以用于分析和溯源。

常见的网络威胁情报服务有***或欺诈团体分析、社会媒体和开源信息监控、定向漏洞研究、定制的人工分析、实时事件通知、凭据恢复、事故调查、伪造域名检测等。

为了实现情报的同步和交换,各组织都制定了相应的标准和规范。主要有国标,美国联邦政府标准等。

在威胁情报方面,比较有代表性的厂商有RSA、IBM、McAfee、赛门铁克、FireEye等。

风险控制

技术图片

6.4.1. 常见风险

会员

  • 撞库盗号
  • 账号分享
  • 批量注册

    视频

  • 盗播盗看
  • 广告屏蔽
  • 刷量作弊

    活动

  • 薅羊毛

    直播

  • 挂站人气
  • 恶意图文

    电商

  • 恶意下单
  • 订单欺诈

    支付

  • 洗钱
  • 恶意下单
  • 恶意提现

    其他

  • 钓鱼邮件
  • 恶意爆破
  • 短信轰炸

    安全加固

6.5.1. 网络设备

  • 及时检查系统版本号
  • 敏感服务设置访问IP/MAC白名单
  • 开启权限分级控制
  • 关闭不必要的服务
  • 打开操作日志
  • 配置异常告警
  • 关闭ICMP回应

    6.5.2. 操作系统

6.5.2.1. Linux

  • 无用用户/用户组检查

    敏感文件权限配置

  • /etc/passwd
  • /etc/shadow
  • ~/.ssh/
  • /var/log/messages
  • /var/log/secure
  • /var/log/maillog
  • /var/log/cron
  • /var/log/spooler
  • /var/log/boot.log
  • 日志是否打开
  • 及时安装补丁
  • 开机自启
  • /etc/init.d
  • 检查系统时钟

    6.5.2.2. Windows

  • 异常进程监控
  • 异常启动项监控
  • 异常服务监控
  • 配置系统日志
  • 用户账户
  • 设置口令有效期
  • 设置口令强度限制
  • 设置口令重试次数
  • 安装EMET
  • 启用PowerShell日志
  • 限制以下敏感文件的下载和执行
  • ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif
  • 限制会调起wscript的后缀
  • bat, js, jse, vbe, vbs, wsf, wsh

    6.5.3. 应用

6.5.3.1. FTP

  • 禁止匿名登录

  • 修改Banner

    6.5.3.2. SSH

  • 是否禁用ROOT登录

  • 是否禁用密码连接

    6.5.3.3. MySQL

  • 文件写权限设置
  • 用户授权表管理
  • 日志是否启用
  • 版本是否最新

    6.5.4. Web中间件

6.5.4.1. Apache

  • 版本号隐藏
  • 版本是否最新
  • 禁用部分HTTP动词
  • 关闭Trace
  • 禁止 server-status
  • 上传文件大小限制
  • 目录权限设置
  • 是否允许路由重写
  • 是否允许列目录
  • 日志配置

  • 配置超时时间防DoS

    6.5.4.2. Nginx

  • 禁用部分HTTP动词
  • 禁用目录遍历
  • 检查重定向配置

  • 配置超时时间防DoS

    6.5.4.3. IIS

  • 版本是否最新
  • 日志配置
  • 用户口令配置
  • ASP.NET功能配置

  • 配置超时时间防DoS

    6.5.4.4. JBoss

  • jmx console配置

  • web console配置

    6.5.4.5. Tomcat

  • 禁用部分HTTP动词
  • 禁止列目录
  • 禁止manager功能
  • 用户密码配置
  • 用户权限配置
  • 配置超时时间防DoS

    蜜罐技术

6.6.1. 简介

技术图片

蜜罐是对***者的欺骗技术,用以监视、检测、分析和溯源***行为,其没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者***行为,因此可以比较好的聚焦于***流量。

蜜罐可以实现对***者的主动诱捕,能够详细地记录***者***过程中的许多痕迹,可以收集到大量有价值的数据,如病毒或蠕虫的源码、***的操作等,从而便于提供丰富的溯源数据。

但是蜜罐存在安全隐患,如果没有做好隔离,可能成为新的***源。

6.6.2. 分类

按用途分类,蜜罐可以分为研究型蜜罐和产品型蜜罐。研究型蜜罐一般是用于研究各类网络威胁,寻找应对的方式,不增加特定组织的安全性。产品型蜜罐主要是用于防护的商业产品。

按交互方式分类,蜜罐可以分为低交互蜜罐和高交互蜜罐。低交互蜜罐模拟网络服务响应和***者交互,容易部署和控制***,但是模拟能力会相对较弱,对***的捕获能力不强。高交互蜜罐

6.6.3. 隐藏技术

蜜罐主要涉及到的是伪装技术,主要涉及到进程隐藏、服务伪装等技术。

蜜罐之间的隐藏,要求蜜罐之间相互隐蔽。进程隐藏,蜜罐需要隐藏监控、信息收集等进程。伪服务和命令技术,需要对部分服务进行伪装,防止***者获取敏感信息或者***控制内核。数据文件伪装,需要生成合理的虚假数据的文件。

6.6.4. 识别技术

***者也会尝试对蜜罐进行识别。比较容易的识别的是低交互的蜜罐,尝试一些比较复杂且少见的操作能比较容易的识别低交互的蜜罐。相对困难的是高交互蜜罐的识别,因为高交互蜜罐通常以真实系统为基础来构建,和真实系统比较近似。对这种情况,通常会基于虚拟文件系统和注册表的信息、内存分配特征、硬件特征、特殊指令等来识别,如果对***测试有需求的朋友可以去问问专业的网站安全维护公司来预防新项目上线所产生的安全问题,国内做的比较好的公司推荐Sinesafe,绿盟,启明星辰等等都是比较不错的。

安全测试手法之***测试网站信息讲解

安全测试手法之***测试网站信息讲解分类专栏:***测试网站安全漏洞检测网站***测试文章标签:***测试网站安全测试网站安全公司网站漏洞修复网站***清理版权上一节讲到***测试中的代码审计讲解,对整个代码的函数分析以及危... 查看详情

网站安全漏洞检测服务对oa系统***测试服务详情

网站安全漏洞检测服务对OA系统***测试服务详情分类专栏:网站安全网站被黑网站被篡改如何防止网站被黑如何防止网站被侵入如何防止网站被挂马网站安全服务网站安全维护网站安全***测试服务网站漏洞检测服务网站安全检测... 查看详情

网站安全公司安全防护***测试讲述(代码片段)

网站安全公司安全防护***测试讲述分类专栏:网站安全漏洞检测网站***测试网站漏洞修复文章标签:网站安全公司网站***测试漏洞修复网站漏洞检测网站安全测试版权天气变冷了,但对于***测试行业的热度高于天气的温度,说明... 查看详情

防止网站被***看安全公司如何解决分析问题

防止网站被***看安全公司如何解决分析问题分类专栏:***测试网站安全漏洞检测网站被黑文章标签:网站安全公司网站安全维护防止网站被***网站漏洞修补网站安全测试版权网站,APP越来越多,安全问题也面临着严重挑战,我们SINE... 查看详情

基于网站漏洞***测试步骤分析

基于网站漏洞***测试步骤分析分类专栏:网站***测试如何防止网站被***网站安全漏洞检测文章标签:网站漏洞测试网站安全分析网站***测试网站安全防护网站安全公司版权前不久接到朋友的寻求帮助(前提必须要有授权许可,可... 查看详情

网站漏洞***安全测试重点检测方法

网站漏洞***安全测试重点检测方法分类专栏:网站安全漏洞检测网站***测试漏洞检测文章标签:网站漏洞测试网站漏洞扫描网站漏洞查找网站***查找网站漏洞修复版权最近***测试工作比较多没有空闲的时间来写文章,今天由我们Si... 查看详情

xss网站漏洞如何修复大牛支招让您网站更安全

XSS网站漏洞如何修复大牛支招让您网站更安全分类专栏:网站被黑网站安全如何防止网站被黑如何防止网站被侵入如何防止网站被挂马网站安全服务网站安全防护服务网站安全维护网站安全问题怎么查找网站漏洞ecshop漏洞修复Met... 查看详情

安全建设之平台搭建

一、信息搜集类基础信息基础信息搜集包括ip,域名,端口,框架,组件信息。Ip、域名甲方可通过运维同事获取,其他获取方式仁者见仁智者见智。端口,需要我们根据获取的域名、ip进行端口扫描,这里推荐masscan、nmap,写调... 查看详情

网站安全之逻辑漏洞检测附网站漏洞修复方案

在网站安全的日常安全检测当中,我们SINE安全公司发现网站的逻辑漏洞占比也是很高的,前段时间某酒店网站被爆出存在高危的逻辑漏洞,该漏洞导致酒店的几亿客户的信息遭泄露,包括手机号,姓名,地址都被泄露,后续带... 查看详情

网站漏洞扫描的***测试方法

网站漏洞扫描的***测试方法分类专栏:***测试网站安全漏洞检测网站***测试文章标签:***测试网站安全扫描网站漏洞测试网站漏洞检测网站漏洞修复版权最近忙于工作没有抽出时间来分享***测试文章,索性今天由我们Sinesafe的高级... 查看详情

网站安全之逻辑漏洞检测附漏洞修复方案

在网站安全的日常安全检测当中,我们SINE安全公司发现网站的逻辑漏洞占比也是很高的,前段时间某酒店网站被爆出存在高危的逻辑漏洞,该漏洞导致酒店的几亿客户的信息遭泄露,包括手机号,姓名,地址都被泄露,后续带... 查看详情

20155304《网络对抗》信息搜集与漏洞扫描(代码片段)

...实践过程信息搜集whois在kali终端输入whois网址,查看注册的公司、服务、注册省份、传真、 查看详情

2017-2018exp6信息搜集与漏洞扫描20155214(代码片段)

...社会工程学”。渗透测试者会尽力搜集目标系统的配置与安全防御以及防火墙等等。[TOC]实验内容实验环境主机Kali靶机Windows10实验工具平台Metap 查看详情

2019-2020-2网络对抗技术20175311胡济栋exp5信息搜集与漏洞扫描(代码片段)

...询whois信息、数据窃听与分析等直接收集:为了对目标的安全性设置进一步理解,建立逻辑连接并获取信息,方法由主动扫描、探测目标开放的端口与服务等社会工程学:为了获取信息,被动信息收集,主要是针对人为错误,信... 查看详情

exp6信息搜集与漏洞扫描

...而被找到;对于大多数根域名服务器,基本的WHOIS由ICANN维护,而WHOIS的细节则由控制那个域的域注册机构维护。对于240多个国家代码顶级域名(ccTLDs),通常由该域名权威注册机构负责维护WHOIS。例如中国互联网络信息中心(Chin... 查看详情

渗透测试服务网站渗透真的难吗?

渗透测试服务网站渗透真的难吗?分类专栏:渗透测试公司网站渗透测试网站安全文章标签:渗透测试服务网站安全公司版权最先,对于大家提出的难题,网站愈来愈难渗透,表明如今的安全防护技术性及其网站结构技术性的成... 查看详情

2018-2019-2《网络对抗技术》exp6信息搜集与漏洞扫描20165326(代码片段)

...开放式的漏洞评估工具,主要用来检测目标网络或主机的安全性。与安全焦点的X-Scan工具类似,OpenVAS系统也采 查看详情

网站漏洞的查找利用解析漏洞来绕过上传

网站漏洞的查找利用解析漏洞来绕过上传分类专栏:***测试网站安全防护网站安全漏洞检测文章标签:网站漏洞查找网站漏洞修复网站安全防护网站安全检测网站安全公司版权在日常对客户网站进行***测试服务的时候,我们SINE... 查看详情