網(wǎng)站滲透測試中溯源技術(shù)與授權(quán)機(jī)制

時間：2020-03-15作者：青島四海通達(dá)電子科技有限公司瀏覽：1005

在眾多滲透測試中客戶想要了解攻擊溯源查找問題,我們Sine安全在日常網(wǎng)站安全檢測過程中了解知道黑客是如何攻擊和上傳木馬并進(jìn)行篡改,以及如何查找日志分析攻擊者是通過哪些腳本入口文件進(jìn)行入侵的，那么本節(jié)由我們*的滲透測試主管技術(shù)來為大家講解。

6.9.1.1. 基于日志的溯源

使用路由器、主機(jī)等設(shè)備記錄網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流中的關(guān)鍵信息（時間、源地址、目的地址），追蹤時基于日志查詢做反向追蹤。 這種方式的優(yōu)點(diǎn)在于兼容性強(qiáng)、支持事后追溯、網(wǎng)絡(luò)開銷較小。但是同時該方法也受性能、空間和隱私保護(hù)等的限制，考慮到以上的因素，可以限制記錄的數(shù)據(jù)特征和數(shù)據(jù)數(shù)量。另外可以使用流量鏡像等技術(shù)來減小對網(wǎng)絡(luò)性能的影響。

6.9.1.2. 路由輸入調(diào)試技術(shù)

在攻擊持續(xù)發(fā)送數(shù)據(jù)，且特性較為穩(wěn)定的場景下，可以使用路由器的輸入調(diào)試技術(shù)，在匹配到攻擊流量時動態(tài)的向上追蹤。這種方式在DDoS攻擊追溯中比較有效，且網(wǎng)絡(luò)開銷較小。

6.9.1.3. 可控洪泛技術(shù)

追蹤時向潛在的上游路由器進(jìn)行洪泛攻擊，如果發(fā)現(xiàn)收到的攻擊流量變少則攻擊流量會流經(jīng)相應(yīng)的路由。這種方式的優(yōu)點(diǎn)在于不需要預(yù)先部署，對協(xié)同的需求比較少。但是這種方式本身是一種攻擊，會對網(wǎng)絡(luò)有所影響。

6.9.1.4. 基于包數(shù)據(jù)修改追溯技術(shù)

這種溯源方式直接對數(shù)據(jù)包進(jìn)行修改，加入編碼或者標(biāo)記信息，在接收端對傳輸路徑進(jìn)行重構(gòu)。這種方式人力投入較少，支持事后分析，但是對某些協(xié)議的支持性不太好。 基于這種方式衍生出了隨機(jī)標(biāo)記技術(shù)，各路由以一定概率對數(shù)據(jù)包進(jìn)行標(biāo)識，接收端收集到多個包后進(jìn)行重構(gòu)。

6.9.2. 分析模型

6.9.2.1. 殺傷鏈（Kill Kain）模型

殺傷鏈這個概念源自軍事領(lǐng)域，它是一個描述攻擊環(huán)節(jié)的模型。一般殺傷鏈有認(rèn)為偵查跟蹤（Reconnaissance）、武器構(gòu)建（Weaponization）、載荷投遞（Delivery）、漏洞利用（Exploitation）、安裝植入（Installation）、通信控制（Command&Control）、達(dá)成目標(biāo)（Actions on Objective）等幾個階段。

在越早的殺傷鏈環(huán)節(jié)阻止攻擊，防護(hù)效果就越好，因此殺傷鏈的概念也可以用來反制攻擊。

在跟蹤階段，攻擊者通常會采用掃描和搜索等方式來尋找可能的目標(biāo)信息并評估攻擊成本。在這個階段可以通過日志分析、郵件分析等方式來發(fā)現(xiàn)，這階段也可以采用威脅情報等方式來獲取攻擊信息。

武器構(gòu)建階段攻擊者通常已經(jīng)準(zhǔn)備好了攻擊工具，并進(jìn)行嘗試性的攻擊，在這個階段IDS中可能有攻擊記錄，外網(wǎng)應(yīng)用、郵箱等帳號可能有密碼爆破的記錄。有一些攻擊者會使用公開攻擊工具，會帶有一定的已知特征。

載荷投遞階段攻擊者通常會采用網(wǎng)絡(luò)漏洞、魚叉、水坑、網(wǎng)絡(luò)劫持、U盤等方式投送惡意代碼。此階段已經(jīng)有人員在對應(yīng)的途徑收到了攻擊載荷，對人員進(jìn)行充分的安全培訓(xùn)可以做到一定程度的防御。

突防利用階段攻擊者會執(zhí)行惡意代碼來獲取系統(tǒng)控制權(quán)限，此時木馬程序已經(jīng)執(zhí)行，此階段可以依靠殺毒軟件、異常行為告警等方式來找到相應(yīng)的攻擊。

安裝植入階段攻擊者通常會在web服務(wù)器上安裝Webshell或植入后門、rootkit等來實現(xiàn)對服務(wù)器的持久化控制?？梢酝ㄟ^對樣本進(jìn)行逆向工程來找到這些植入。

通信控制階段攻擊者已經(jīng)實現(xiàn)了遠(yuǎn)程通信控制，木馬會通過Web三方網(wǎng)站、DNS隧道、郵件等方式和控制服務(wù)器進(jìn)行通信。此時可以通過對日志進(jìn)行分析來找到木馬的痕跡。

達(dá)成目標(biāo)階段時，攻擊者開始完成自己的目的，可能是破壞系統(tǒng)正常運(yùn)行、竊取目標(biāo)數(shù)據(jù)、敲詐勒索、橫向移動等。此時受控機(jī)器中可能已經(jīng)有攻擊者的上傳的攻擊利用工具，此階段可以使用蜜罐等方式來發(fā)現(xiàn)。

6.9.2.2. 鉆石（Diamond）模型

鉆石模型由網(wǎng)絡(luò)情報分析與威脅研究中心（The Center for Cyber Intelligence Anaysis and Threat Research，CCIATR）機(jī)構(gòu)的Sergio Catagirone等人在2013年提出。

該模型把所有的安全事件（Event）分為四個**元素，即敵手（Adversary），能力（Capability），基礎(chǔ)設(shè)施（Infrastructure）和受害者（Victim），以菱形連線代表它們之間的關(guān)系，因而命名為“鉆石模型”。

殺傷鏈模型的特點(diǎn)是可說明攻擊線路和攻擊的進(jìn)程，而鉆石模型的特點(diǎn)是可說明攻擊者在單個事件中的攻擊目的和所使用攻擊手法。

在使用鉆石模型分析時，通常使用支點(diǎn)分析的方式。支點(diǎn)（Pivoting）指提取一個元素，并利用該元素與數(shù)據(jù)源相結(jié)合以發(fā)現(xiàn)相關(guān)元素的分析技術(shù)。分析中可以隨時變換支點(diǎn)，四個**特征以及兩個擴(kuò)展特征（社會政治、技術(shù)）都可能成為當(dāng)時的分析支點(diǎn)。

認(rèn)證服務(wù)器向客戶端發(fā)送訪問令牌,滲透測試中包含的授權(quán)模式都要詳細(xì)的審計和檢測,如果對此有更多的想要了解,可以聯(lián)系專業(yè)的網(wǎng)站安全公司來處理,國內(nèi)做的比較大的推薦Sinesafe,綠盟,啟**辰,深信服等等都是比較不錯的滲透測試公司.


青島四海通達(dá)電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護(hù),網(wǎng)站漏洞檢測,滲透測試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 網(wǎng)站代碼審計服務(wù)如何去做

  學(xué)習(xí)代碼審計要熟悉三種語言，總共分四部分去學(xué)習(xí)。**，編程語言。1.**語言html/js/dom/元素的使用主要是為了挖掘xss漏洞。jquery主要寫一些涉及CSRF腳本或DOMXSS、JSON劫持等。2.后端語言的基本語法要知道，比如變量類型、常量、數(shù)組(python是列表、元組、字典)、對象、調(diào)用、引用等。，MVC設(shè)計模式要清晰，因為大部分目標(biāo)程序都是基于MVC寫的，包括不限于php、py

• 網(wǎng)絡(luò)安全公司 網(wǎng)絡(luò)安全小技巧

  網(wǎng)絡(luò)安全公司 網(wǎng)絡(luò)安全小技巧一、保持較新。不但要堅持較新操作系統(tǒng)，還要保持較新版本的殺毒軟件等常用應(yīng)用軟件。二、密碼安全。同樣的密碼不要用多處；密碼用的長一點(diǎn)（如：15位）；提供密碼強(qiáng)度，建議使用**字符+字母+數(shù)字組合；賬號密碼多的建議使用專業(yè)的密碼管理軟件。三、軟件安全。電腦病毒雖然看起來走在安全軟件前，但是安全軟件仍然可以幫你擋住大量的惡意軟件；讓你的殺毒軟件和安全軟件保持較新狀態(tài)。四、時刻

• 網(wǎng)站被黑怎么分析查找跳轉(zhuǎn)代碼

  網(wǎng)站被黑癥狀的一種形式，也就是web**被黑了，我來說說網(wǎng)站頁面被劫持的一個癥狀和處理方法。首先我們先來看一下這個癥狀是什么樣的，這里我找到了一個客戶網(wǎng)站的案例，那么當(dāng)我在通過搜索某些關(guān)鍵詞的時候，當(dāng)我點(diǎn)擊這個鏈接的時候，它會給你跳到這種違規(guī)網(wǎng)站的頁面上去，那么怎么樣判斷它是**還是后端腳本進(jìn)行了一個劫持呢，那么我們就把這個鏈接復(fù)制過來，復(fù)制好了后，我打開這個調(diào)試面板，然后在這里有一個 setti

• 網(wǎng)站漏洞檢測公司對app和網(wǎng)站安全解決方案

  越來越多的網(wǎng)站和app的上線,導(dǎo)致安全問題日益增加,漏洞問題也非常多,大公司急需組建專業(yè)的滲透測試團(tuán)隊來**新項目的安全穩(wěn)定，防止被入侵被黑，對此我們Sinesafe給大家講解下組建安全團(tuán)隊的重要幾點(diǎn)，來達(dá)到各個項目的安全滲透工作的分工執(zhí)行能力。滲透測試安全團(tuán)隊建設(shè)紅藍(lán)軍簡介在隊伍的對抗演習(xí)中，藍(lán)軍通常是指在*模擬對抗演習(xí)專門扮演假想敵的*，與紅軍（代表我方正面*）進(jìn)行針對性的訓(xùn)練。網(wǎng)絡(luò)安全