web安全漏洞

owasp top 10x

  • A01- Broken Access Control(失效的访问控制)
  • A02- Cryptographic Failures(加密机制失效)
  • A03- Injection(注入)
  • A04- Insecure Design(不安全设计)
  • A05- Security Misconfiguration(安全配置错误)
  • A06- Vulnerable and Outdated Components(自带缺陷和过时的组件)
  • A07- Identification and Authentication Failures(身份识别和身份验证错误)
  • A08- Software and Data Integrity Failures(软件和数据完整性故障)
  • A09- Security Logging and Monitoring Failures(安全日志和监控故障)
  • A10- Server-Side Request Forgery(服务端请求伪造)

安全设备日志

安全监控与日志分析

涉及防火墙,ids,waf,全流量设备,天眼,态势感知等

防火墙设备

前期准备(梳理防火墙访问控制规则)

源ip处理(添加访问控制,阻断攻击源ip)

IDS设备

IDS主要部署模式为旁路部署,旁路接镜像流量,各厂商的IDS
设备功能没有大的区别,主要是对经过IDS
的流量进行检测、匹配规则然后产生告警事件。
IDS
操作简单,实时监控发现有高危攻击事件、异常攻击事件后导出日志及对应
的pacp包进行分析,如有攻击特征的就可以确认为攻击事件可以对攻击源IP
进行上报封禁,无攻击特征的告警事件一定不要封禁IP
避免误判对业务造成影响。
常见事件: web
攻击、拒绝服务攻击、远程代码执行攻击、扫描事件、
弱口令、暴力破解等

IDS-SQL注入

HW常见攻击手段

社会工程学
VPN
业务逻辑
弱口令
注入攻击
Nday
上传getshell
未授权访问
邮件
APP
边角系统
Wi-Fi
Weblogic
反序列化
废弃资产
数据库
Struts 2

应用安全
  • 网页篡改-非法子页面-暗链
  • web漏洞(sql,xss.csrf,ssrf,上传)
  • 中间件漏洞(weblogic反序列化,fastjson反序列化,shiro反序列化,jboss反序列化,strust2反序列化,thinkphp5反序列化,iis apache解析等)
  • 数据库漏洞(mysql提权,redis未授权访问)
  • 产品漏洞(泛微oa,致远oa,金蝶erp,用友erp,confluence等等)
  • cc攻击
  • 服务器安全(勒索病毒,挖矿木马,口令破解,高危漏洞,
  • 网络安全(ddos攻击,dns劫持,arp欺骗,配置错误)
事件识别
  • 特别重大事件
  • 重大事件
  • 较大事件
  • 一般事件

识别安全事件-判断范围

内接入区

外来接入区\

单台主机or多台主机

已被感染or处于危险中

识别安全事件-用途

个人办公主机

特殊权限主机

工控主机

应用服务器

数据库服务器

域控服务器

识别安全事件-取证过程

保护第一现场

​ 避免攻击痕迹被清除

经验法

回溯攻击法

三要素法

不轻信一面之词

​ 与目击者交流相关细节

​ 亲自核实所述,转述情况

识别安全事件-取证对象

病毒/木马文件

日志文件

​ 主机日志

​ 应用日志

​ 安全设备日志

攻击者残留文件

在主机上抓取的流量包

应急响应常见排查思路

收集信息:收集客户信息和中毒主机信息,包括样本
判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS 等等
抑制范围:隔离使受害⾯不继续扩⼤
深入分析:日志分析、进程分析、启动项分析、样本分析方便后期溯源
清理处置:杀掉进程,删除文件,打补丁,删除异常系统服务,清除后门账号防止事件扩大,处理完毕后恢复生产
产出报告:整理并输出完整的安全事件报告

windows入侵事件应急响应

  • 网络 netstat -ano
  • 账户 lusrmgr.msc
  • 日志 eventvwr.msc

日志路径: C:\Windows\System32\winevt\Logs、C:\windows\Minidump
必看日志: Security.evtx、System.evtx、Application.evtx

  • 进程 启动项 计划任务 服务
  • 文件
  • 内存

linux入侵常见排查思路

  • 网络 netstat -anlp
  • 进程 ps aux|grep pid
  • 账户 uptime who w(查看某一刻用户的行为)
  • 计划任务 crontab -l -u root
  • 登录日志检测 /var/log lastlog var/log/wtmp 存储登录成功的信息、btmp 存储登录失败的信息、utmp 存储当前正在登录的信息
  • web日志检测
  • 系统服务 service --status-all
  • 文件
  • 内存模块
  • rootkit检测

linux 系统接入日志

多个程序会记录该日志记录到/var/log/wtmp和/var/run/utmp文件中telnet、ssh
等程序会更新wtmp和utmp
文件系统管理员可以根据该日志跟踪到谁在何时登录到系统。

/var/log/secure
该日志文件为Linux系统安全日志,记录用户和工作组变换情况、用户登陆认证情况

日志审计总结
1.
需要检查的系统日志文件主要包括一般信息日志、网络连接日志、文件传输日志
以及用户登录日志等。在检查这些日志时要特别注意时间记载分析日志产生的时
间是否合理;
2.可疑的日志记录;
3.非正常时间凌晨的用户登录;
4.笑键日志记录损坏尤其是记录用户登录登出信息的wtmp文件;
5.非正常IP的用户登录;
6.用户登录失败甚至一再尝试登录并失败的日志记录;
7.非正常的超级用户权限切换su指令;
8.非正常的控制进程启动或重启记录;
9.等等.

Linux基线规范

每个公司有每个公司的基线规范体系,但是答题分为下列五个方面

账号管理和授权

检查特殊账号,是否存在空密码的账户和 root 权限账户
禁用或删除无用账号
添加口令策略:/etc/login.defs修改配置文件,设置过期时间、连续认证失败次数
禁止 root 远程登录,限制root用户直接登录。
检查 su 权限。vi /etc/pam.d/su添加auth required pam_wheel.so group=test
服务

关闭不必要的服务
SSH 服务安全
不允许 root 账号直接登录系统,PermitRootLogin=no
修改 SSH 使用的协议版本为 2
修改允许密码错误次数(默认 6 次),MaxAuthTries=3
文件系统

设置 umask 值 vi /etc/profile 添加行 umask 027
设置登录超时 vi /etc/profile 修改配置文件,将以 TMOUT= 开头的行注释,设置为 TMOUT=180
日志

启用 syslogd 日志,配置日志目录权限,或者设置日志服务器

记录所有用户的登录和操作日志,通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查

https://www.alibabacloud.com/help/zh/faq-detail/49809.htm

IP 协议安全要求

远程登录取消 telnet 采用 ssh
设置 /etc/hosts.allow 和 deny
禁止 ICMP 重定向
禁止源路由转发
防 ssh 破解,iptables (对已经建立的所有链接都放行,限制每分钟连接 ssh 的次数)+ denyhost (添加 ip 拒绝访问)

##Windows 安全基线检查

主要包括五个方面:身份鉴别、访问控制、安全审计、资源控制、剩余信息保护

身份鉴别

更改缺省账户

检查Guest用户是否禁用

密码复杂性要求

密码长度最小不能小于8位

访问控制

共享账户检查

远程关机授权

本地关机

授权帐户登陆

安全审计

用户登录日志记录

系统日志完备性检查

登录超时管理

资源控制

登录超时管理

远程登录超时配置

剩余信息保护

不显示上次的用户名

关机前清除虚拟内存页面

不启用可还原的加密来存储密码

常用隔离办法

已经发生安全事件的对象
●采取例如断网、下线等可行措施进行隔离,避免影响其它主机
●通过边界控制设备,防止网络区域间相互影响
对于处在危险中的对象
●采取及时的补救加固措施
●相关漏洞的扫描修补与跟踪
●进行黑盒/白盒安全测试

应急响应

通常指一个组织为了各种意外事件发生所做的准备,以及在事件发生后孙才去的措施.

准备阶段

应急团队建设

应急方案制定

渗透测试评估

安全基线检查

检测阶段

判断事件类型

判断事件级别

确定应急方案

抑制阶段

阻断(ip,连接)

关闭(服务等)

删除()

根除阶段

增强(策略)

修复(漏洞)

还原(备份等等)

恢复阶段

业务系统

通信系统

用户数据

总结阶段