Huntpad:為滲透測試人員設計的Notepad應用

網站內容來源http://server.it168.com/

Huntpad:為滲透測試人員設計的Notepad應用

2018-05-21 09:45    來源:FreeBuf.COM  作者: Alpha_h4ck編譯 編輯:
0購買

今天給大家推薦的是一款名叫Huntpad的Notepad應用程序,Huntpad由Syhunt公司開發,這是一款專為滲透測試人員以及漏洞hunter們提供的實用程序,它自帶了一套常用注入字符串生成器、哈希生成器、編碼器、解碼器以及HTML和文本修改功能等等,而且還支持多種編程語言的代碼高亮。

  工具下載

Huntpad:

  工具介紹

Huntpad從Syhunt Sandcat的QuickInject插件中借鑒了很多功能,跟QuickInject類似,Huntpad的核心任務也集中在文件包含漏洞、XSS漏洞和SQL注入漏洞的身上,並且還帶有下列額外的附加功能:

1. 代碼高亮:支持HTML、JavaScript、CSS、XML、PHP、Ruby、SQL、Pascal、Perl、Python和VBScript。

 2. SQL注入功能:

a) 過濾器繞過:特定數據庫字符串轉義(CHAR&CHR),將字符串轉換為引用字符串,將空格轉義為註釋標籤或換行。

b) 過濾器繞過(MySQL):字符串拼接,百分號混淆,整形替換。(例如:’26′轉換為’ceil(pi()*pi())*(!!!pi()+true)+ceil(@@version)’)

c) UNION語句生成。

d) 針對MySQL、MSSQL、Oracle及PostgreSQL等多款數據庫實現快速注入。

  3. 文件包含:

a) 快速Shell代碼上傳及生成。

b) PHP字符串轉義(chr)。

  4. 跨站腳本XSS功能:

a) 過濾器繞過:JavaScript字符串轉義(String.fromCharCode),CSS轉義。

b) 提供了各種用於測試XSS漏洞的測試語句(alert語句)。

  5. 哈希功能:

a) 哈希生成器:MD5, SHA-1, SHA-2 (224, 256, 384 & 512), GOST, HAVAL (various),MD2, MD4, RIPEMD (128, 160, 256 & 320), Salsa10, Salsa20, Snefru (128 &256), Tiger (various) & WHIRLPOOL

  6. 編碼器/解碼器:

a) URL編碼/解碼。

b) 十六進制編碼/解碼:將字符串或整形值轉換為十六進制(支持多種輸出格式)。

c) Base64編碼/解碼。

d) CharCode轉換:將字符串轉換為charcode(例如’abc’轉換為’97,98,99′)。

e) IP混淆:將IP地址轉換為dword或十六進制值。

f) JavaScript編碼:類似JJEncode。

  7. HTML功能:

a) HTML轉義。

b) HTML實體編碼/解碼:十進制和十六進制HTML實體編碼/解碼。

c) JavaScript字符串轉義。

  8. 文本修改功能:大小寫轉換、字符串反向操作、添加/替換斜杠等。

  9. 基於時間的盲注代碼。

  10. CRC計算:CRC16, CRC32, CRC32b等等。

  11. 緩衝區溢出字符串生成。

  12. 隨機字符串/數組生成功能。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

Huntpad:為滲透測試人員設計的Notepad應用

聚焦數據庫安全昂楷科技解決最迫切問題開始

網站內容來源http://server.it168.com/

聚焦數據庫安全昂楷科技解決最迫切問題開始

2018-05-25 18:07    原創  作者: 閆志坤 編輯:
0購買

序言:海量數據正以指數級增長,人們通過大數據技術可以實現前所未有的對海量數據的處理和分析能力,而數據庫作為存儲數據的倉庫,經常成為黑客入侵、惡意攻擊的對象,若存儲的重要或敏感信息被竊取、篡改或破壞,則後果不堪設想,因此數據庫安全顯得尤為重要,數據庫安全作為信息安全的一個子集,也是信息安全中最重要的部分之一。

【IT168專訪】“我們認為數據庫安全領域最迫切需要解決的問題是可視和可控,我們所有產品都着眼於此”,昂楷科技董事長兼CTO 劉永波先生在接受IT168記者採訪時說道。

▲劉永波

  深圳昂楷科技有限公司創始人,OWASP 中國區高級顧問,智慧城市大數據安全標準制定專家。2009 年創立深圳昂楷科技有限公司;1998 年至2009年供職於華為技術有限公司、華為賽門鐵克合資公司,歷任華為接入網產品線研發總監,華賽安全產品線研發VP。曾經帶領團隊成功研發商用綜合接入UA5000 系列產品,該系列產品在2007 年成為英國電信BT 唯一同類採購產品,位列世界同類產品第一名。

【解鎖數據庫三級聯防 捍衛數據安全】

大多數用戶對於傳統IT架構的需求以穩健為主,業務系統運轉正常最為重要,安全性則為次要考慮,同時,由於數據庫在企業IT系統中非常脆弱,因此選擇安全解決方案要非常慎重。劉永波指出,處理數據庫安全問題,一定是要小心又小心,正如“治大國如烹小鮮”一般,數據庫好比是IT系統大國中的小鮮,經不起隨意折騰。

從國家機關、企事業單位的數據安全防護方案建設來講,應該建立終端、外防、內審內控的三級聯動聯防主動積極防禦體系;其次,針對系統漏洞等管理問題,選用安全設備加強安全管控。其中尤其重要的是數據安全態勢感知系統,作為整個防護體系的雷達探測和中樞指揮系統,是核心中的核心;第三,將數據安全態勢感知系統與原有的網絡安全態勢感知系統融為一體,建立全態勢的安全感知和統一指揮調度系統,能夠有效整合終端安全、網絡安全、數據安全、應用安全等各大系統,形成強大的聯動效應。

劉永波解釋道,昂楷科技正是按照這個建設思路,即內審內控的數據安全保護思路,先從最核心的數據庫安全審計監控產品開始研發,解決對數據庫攻擊行為及攻擊者的可視;進而打造數據庫漏洞檢測、數據庫狀態監控、數據庫防火牆、數據庫的安全態勢感知系統,構建針對數據庫的主動防禦一體化解決方案。

截至目前,昂楷產品支持多種關係型數據庫和非關係型數據庫,如常用數據庫類型:Oracle、Mysql、MSSQL、sybase、informix、DB2、PostgreSQL等,新類型的數據庫:后關係型數據庫Caché、工控實時數據庫IP21、Hadoop大數據架構下的Hbase等。

【新興技術之殤 化解數據庫安全難題】

雲計算不斷成熟,公有雲、私有雲乃至混合雲出現,徹底打破傳統IT架構,大量採用雲架構,虛擬交換機鏡像功能很難具備或沒有虛擬交換機,數據庫安全監控面臨很大的挑戰。政企用戶遇到第一個比較痛苦的問題:數據安全的問題怎麼解決?

業界多採用插件式解決方案,即在數據庫服務器安裝插件,但這時候項目負責人需要思考,插件是否會對數據庫系統的性能產生影響?是否安全等問題。

目前,昂楷科技做了很多積極性探索,已經推出了無插件解決方案,並與UCloud、青雲成功應用,同時還積極推動與華為雲、騰訊雲戰略合作,此外,昂楷科技的插件式解決方案已成功對接幾大公有雲,無論是阿里雲,還是品高雲、有孚雲等都完成了對接。劉永波表示,我們作為數據庫安全廠商,一定要跟雲供應商一起探討如何實現雲數據庫的安全監控,最終我們一起給最終用戶提供最佳體驗。

而對於越來越多公有雲平台開始自主研發數據庫,一方面是解決新應用的需要,另一方面是國產化數據庫的需要,包括大數據需要、NoSQL數據庫需要,這恰恰說明數據庫技術也在快速發展和演進,數據庫技術逐漸成為了基礎技術。大數據、智慧城市、物聯網快速發展,對這種基礎技術的要求也越來越高,數據庫的種類越來越多,數據庫安全面臨的挑戰就越來越嚴峻。

劉永波解釋道,因為每種數據庫技術都可能會不同,對外提供的API接口、協議框架越來越多,越來越複雜,數據庫就面臨着更多的潛在風險,而任何一個風險,如果被黑客利用或者被不法分子利用,導致的攻擊破壞都是不可想象。昂楷科技作為數據庫安全領域的專業廠商,我們要構建一個開放的、能夠自我學習、採用人工智能和大數據技術的產品,能快速演進,快速技術研發,能夠能趕得上這些新數據庫或新數據庫的應用接口的發展,能夠提前預防危險,對數據庫安全廠商而言,既是挑戰又是機遇。

【政企行業數據庫安全實施“指南”】

正所謂沒有絕對安全,信息安全保護也沒有底線,無法窮盡。但對於剛剛開始加強數據庫安全的政企用戶,又該如何做好數據庫安全管理?劉永波表示,不同的政企單位要在正常的業務運行和安全投入成本之間取得一個合理的平衡,對數據庫安全或者數據安全問題,要根據政企單位的安全等級來選擇合適的產品。

對於一般的政企單位而言,最基礎性的產品應該是數據庫監控和可視,所有政企單位都需要使用,而數據庫防火牆等新產品,要結合政企單位特點,例如非常高度涉密數據,即使業務停掉也要能夠進行及時攔截,此時可以考慮使用數據庫防火牆。

對於數據庫審計、數據庫監控選型方面建議,第一,既然談到監控,那就是要精細化,就是要嚴格做到不漏審,不誤審,看得准,看得狠基本要素。測試方法很簡單,在業務最繁忙時,將所有應用系統的流量全部鏡像過來,然後在任何一個終端上來進行正常操作,最後看數據庫監控產品能不能準確的識別該操作;第二,綜合性能測試,當監控告警記錄已經達到幾億條到數十億條時,再來進行檢索操作,觀察分析結果準確性和出報錶速度,以及是否跟其它安全設備進行了快速聯動。

在採訪最後,作為昂楷科技董事長兼CTO,談及企業未來規劃,劉永波坦言,昂楷科技定位一個研發性技術型公司,從長遠來看,我們將致力於為廣泛的‘大’數據提供可靠的‘大’安全,大安全的‘大’,可理解為廣泛縱深。我們希望未來成為大數據安全領域的領先性企業,能夠使得我們的產品和服務走出國門,服務於全世界的企業,甚至於個人用戶!

經過這些年發展,昂楷科技以工匠精神打造多款國產數據安全精品,不僅包括了數據庫審計系統、大數據安全審計系統、雲數據庫審計系統、工控數據庫審計系統等產品之外,而且在2018年還將發布數據庫漏洞掃描系統、數據庫狀態監控系統、數據庫脫敏系統、數據庫防火牆、數據庫安全態勢感知系統等新產品。

總結

數據安全無論是對國家還是對政企用戶都至關重要,數據是数字經濟時代社會生產的新主導要素,也是新工業革命的核心內容,數據庫安全擁有巨大藍海市場,非常需要昂楷科技這樣企業去探索、創新,為政企用戶保護數據庫支撐更多創新應用落地,讓越來越多政企客戶認識數據庫安全重要性,中國數據庫安全任重道遠。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

聚焦數據庫安全昂楷科技解決最迫切問題開始

針對信息竊取惡意軟件AZORult的相關分析

網站內容來源http://server.it168.com/

針對信息竊取惡意軟件AZORult的相關分析

2018-05-29 14:25    來源:安全客  作者: Gal Bitensky 編輯:
0購買

AZORult是一種信息竊取的惡意軟件,隨着時間的推移已經發展成為一種多層功能的軟件,我們知道達爾文的自然選擇進化理論已有150多年的歷史,但進化也可能由於人工選擇的結果(也稱為選擇性育種)。在我們的信息安全領域,同樣的生物學原理適用於惡意軟件的進化。攻擊者經常檢查他們攻擊性工具的具體特徵與其生存能力的相關性,並通過“基因工程”惡意軟件來改善其功能。在接下來的文章中,我們將介紹一個信息竊取惡意軟件的特性。每一層隱藏的功能的都是其“飼養者”精心挑選的,以提高其在野外生存的可能性。

  分析攻擊

上周,我們阻止了一個客戶網站的攻擊。這是一個名為“Quotation Request – EP”的經典惡意郵件。它是從一家非洲能源公司的电子郵件帳戶發出的,它含有惡意附件。它是一個包含兩個文件的RAR存檔 – 一個文本文件和一個帶有DDE對象的Microsoft Word文檔。一旦打開,它會從受感染的網站下載一個MSI文件:

該文件是使用名為msi2exe工具從常規可執行文件創建的安裝程序,它將“普通”惡意Windows可執行文件作為安裝程序進行包裝。這隻是眾多隱藏這段惡意代碼手段的第一層。為了獲取和分析可執行文件,我將使用7-Zip提取它,將MSI作為歸檔文件打開:

在我們分析發現,罪魁禍首是名為Binary._D7D112F049BA1A655B5D9A1D0702DEE5的資源,這是一個包含在MSI中的正常Windows可執行文件。在使用PEStudio仔細查看文件時,我們發現情況並非如此:

事實證明,這是一個編譯的AutoIt腳本 – 另一層包裝實際的payload。用Exe2Aut可以將其反編譯可執行文件。但是,反編譯的腳本仍然是混淆的:

結果發現,混淆並不是太複雜,主要依賴於單個字符串混淆函數。我們寫了一個用於反混淆的Python腳本,可以點擊以下鏈接獲取:https://github.com/MinervaLabsResearch/BlogPosts/blob/master/ObfuscatedAutoItDecrypter/AutoIt_dec.py現在可以查看腳本並重命名變量:

看看這個混淆的腳本,現在很清楚看到,在AutoIt中運用了一個經典process hollowing技術:

惡意軟件創建原始進程的第二個暫停實例:

它分配可寫,可執行的內存:

該腳本將它希望執行的payload寫入遠程進程:

在攻擊的下一階段位於遠程進程的內存之後,惡意軟件將主線程的狀態設置為運行注入的代碼並恢復進程的執行:

注入的payload本身使用與字符串相同的例程進行混淆,因此在執行我們的反混淆腳本之後,可以直接觀察它:

第一對字節4D和5A是ASCII字符串MZ – Windows可執行文件開頭的魔術字符串。這是一個強有力的指示,表明注入的緩衝區是另一個payload(!),並且使用另一個Python腳本轉儲它,事實證明確實如此。儘管頭部分損壞,但仍有可能使用PEstudio仔細查看二進制文件。令人驚訝的是,事實證明,攻擊者並不認為到目前為止使用的所有不同技術都已足夠,所以又用UPX壓縮了文件,使其更加隱藏:

由於PE已損壞,因此無法自行執行,但無需這樣做。即使在UPX壓縮形式下,我們也發現了這樣一個事實的證據,即這是隱藏payload的最後一層,並沒有修復它的結構。使用十六進制編輯器觀察文件显示了多個字符串,表明其目標是竊取存儲在瀏覽器中的密碼:

快速Google搜索驗證了這是用於竊取存儲在Google Chrome中的憑據的常見SQL查詢的一部分:

嗅嗅惡意軟件的網絡活動證明了惡意軟件的功能,因為它首先向C2服務器發出指令,然後接收到竊取密碼的指令並將其發送回去

在更深入的探索之後,研究團隊追蹤了一位創造幾乎相同paylaod的作者。這使我們能夠將注入的payload作為非損壞的二進制文件,驗證我們的分析結論。例如,現在我們能夠觀察到相同的SQL查詢,以提取存儲在Google Chrome中的密碼以及其他類似的技術:

正如我們的友好惡意軟件研究社區指出的那樣,這個payload最終被證明是AZORult——一個眾所周知的竊取信息的惡意軟件,它至少從2016年開始在不同的論壇上出售。

實踐中的人工選擇

這個活動中包裝的AZORult惡意軟件採用了六種技術來逃避檢測,展示了它的創建者如何通過反覆嘗試和錯誤的方式選擇“繁殖”它們:

  使用RAR歸檔

該文件在發送時作為壓縮文件存檔進行打包,試圖克服對“危險”文件類型附件的靜態掃描和限制。

  多個圖層

使用多個圖層隱藏最終的信息竊取功能可能會欺騙一些安全產品,使其看起來不夠“deep enough”,而其他安全產品則無法理解每個圖層的上下文。

 使用MSI文件來釋放payload

令人驚訝的是,許多機器學習防病毒解決方案忽略了這種文件類型。但是,有些供應商在後期檢測到該文件,因為二進制payload被保存到臨時文件夾中,但在其他情況下,它可能不那麼簡單並且可能會被忽略。

  AutoIt

使用非常規腳本語言進行模糊處理和編譯,會生成一個二進制文件,與傳統的C C ++可執行文件明顯不同。在文件中尋找模式的產品本身會發現更難以檢測到惡意軟件。

  注入代碼

這種惡意軟件會在內存中解密其有效內容,並且僅在使用了幾層迷惑技巧之後。

  DDE

攻擊者不再依賴舊的VBA宏,而是利用了DDE的“feature” ——允許他們將有效載荷嵌入不太可疑的docx格式,因為宏只能以doc或docm格式使用。

我們能夠追蹤之前的嘗試,從相同的參與者展示他們經過的人工選擇過程,提煉他們最新的最終倖存者。例如,早期的變體選擇了SCR擴展而不是MSI。在另一種情況下,交付機制是不同的,並且依賴於一個鏈接來直接從受損的網站下載受感染的docx文件。

  IOC

  URLs

  hxxp://ipool[.]by/bitrix/css/8/DOC71574662-QUOTATION[.]doc

  hxxp://ipool[.]by/bitrix/css/8/aksu[.]msi

  hxxp://www[.]sckm[.]Krakow[.]pl/aksu[.]msi

  hxxp://aksuperstore[.]com/fh8nzhme/gate[.]php

  Files (SHA-256)Analyzed DDE docx:

  ac342e80cbdff7680b5b7790cc799e2f05be60e241c23b95262383fd694f5a7a

  Analyzed MSI Installer:

  e7a842f67813a47bece678a1a5848b4722f737498303fafc7786de9a81d53d06

  Unzipped executable:

  717db128de25eec80523b36bfaf506f5421b0072795f518177a5e84d1dde2ef7

  Decompiled obfuscated AutoIt:

  31f807ddfc479e40d4d646ff859d05ab29848d21dee021fa7b8523d2d9de5edd

  Deobfuscated AutoIt:

  b074be8b1078c66106844b6363ff19226a6f94ce0d1d4dd55077cc30dd7819c5

  Similar DDE document downloaded directly from a compromised website:

  dc3fac021fae581bf086db6b49f698f0adc80ebe7ca7a28e80c785673065a127

  The builder (Trojanized):

  329030c400932d06642f9dbc5be71c59588f02d27d9f3823afa75df93407027b

  Similar MSI installers:

  efa6af034648f8e08098ea56445ccab1af67376ca45723735602f9bdd59e5b5d

  9d7a10fa3e5fd2250e717d359fcff881d9591e0fe17795bab7aac747e8514247

  dc3fac021fae581bf086db6b49f698f0adc80ebe7ca7a28e80c785673065a127 

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

針對信息竊取惡意軟件AZORult的相關分析

一起涉及多個DDoS殭屍網絡樣本攻擊事件追蹤

網站內容來源http://server.it168.com/

一起涉及多個DDoS殭屍網絡樣本攻擊事件追蹤

2018-05-29 14:45    來源:FreeBuf.COM  作者: 任子行 編輯:
0購買

  一.背景

近期蜜網系統監測到一起涉及利用多個殭屍木馬傳播進行DDoS攻擊的安全事件。木馬樣本涉及Windows與Linux兩個平台,通過對樣本的分析,發現這幾個樣本編寫風格都不一樣,但是硬編碼在程序中的C&C均指向同一個IP地址。推測這一系列木馬的傳播者通過購買不同的DDoS木馬進行傳播,從而構建自己的殭屍網絡進行DDoS攻擊牟利。其中有兩個樣本所屬家族為XorDDoS和ChinaZ。最後通過一系列的分析,將該威脅定性為小黑客組建殭屍網絡進行DDoS攻擊事件,同時追蹤到了惡意代碼傳播者的個人信息,包括姓名、QQ號碼、手機號、郵箱、微信等。

  二.相關樣本分析

2.1樣本一分析:

2.1.1樣本基本信息

2.1.2樣本行為

該樣本首先會執行安裝邏輯,包括拷貝自身到Windows目錄,然後將自身註冊為服務,最後自刪除自己,安裝完成。接着註冊為服務的木馬會開始進入功能邏輯,通過爆破局域網來感染傳播,與C&C建立通訊后,等待C&C下髮指令。

2.1.3樣本詳細分析

(1)整體邏輯

(2)拷貝到Windows目錄

生成6個字符的隨機進程名拷貝到Windows目錄

(3)創建服務

服務名:Abcdef Hijklmno Qrstuvwx Abcd

服務描述:Abcdefgh Jklmnopqr Tuvwxya Cdefghij Lmn

自啟動

(4)自刪除

構建“/c del C:\Users\xxx\Desktop\gy.exe > nul”參數,使用ShellExecuteExA創建刪除自身的進程。

(5)從資源釋放hra33.dll並加載

從資源釋放文件在文件頭加上PE文件頭兩個字節“MZ”。

從釋放的文件更新當前木馬服務中的資源

(6)爆破感染局域網

內置字典

爆破成功後會拷貝自身到admin$\\、C:、D:、E:以及F:等路徑下,並創建計劃任務,2分鐘后執行。

(7)遠控功能部分

與C&C建立通訊

解密出C&C地址為web.liancanmou.xyz:6006

發送上線信息

遠程下載執行

更新

使用iexplorer打開指定網頁

卸載

DDoS攻擊模塊

2.1.4 關聯分析

該IP對應的位置在新鄉電信機房,訪問http://123.160.10.16:3097/gy.exe下載樣本。

通過VT Graph關聯分析該樣本早在2018-05-08已經被發現了,與本次捕獲到的樣本分析結果是一致的。

2.2樣本二分析:

2.2.1樣本基本信息

2.2.2樣本行為

該樣本代碼編寫十分簡單,獲取本地信息回傳CNC上線,等待CNC的DDoS指令。

2.2.3樣本詳細分析

(1)整體邏輯

(2)與C2建立通訊

創建連接套接字

C&C地址為 jch.liancanmou.xyz:52527

木馬通訊協議

(3)DDoS功能

並沒有用到反射放大攻擊,只是一般的flood攻擊。

2.2.4關聯分析

通過VT分析發現該樣本與a.lq4444.com這個域名相關,而該域名曾用於Linux/Elknot這個家族。通過VT显示,a.lq4444.com這個域名與9個樣本相關。

2.3樣本三分析

樣本三與樣本二代碼是一樣的,區別是樣本三被編譯為x86架構,樣本二被編譯為x64架構。

2.4樣本四分析:

2.4.1樣本基本信息

2.4.2樣本行為

(1)該樣本通過SSH爆破被拷貝到/tmp目錄下並開始運行

(2)將自身註冊為服務

(3)拷貝自身到其他目錄

(4)設置定時任務

(5)修改刷新iptables后,嘗試連接到遠程主機。

(6)它會刪除/etc/resolv.conf並保存初始安裝和下載的配置數據(Config.ini)

(7)通過發送用戶名信息連接到C&C,作為一個bot與C&C建立通訊

(8)C&C主要發送帶目標IP地址作為參數的DDoS命令到bot機器進行DDoS攻擊

VT行為分析:

2.4.3樣本詳細分析

寫入腳本到/etc/init.d/%s/與/etc/rc%d.d/S90%s路徑下

設置定時任務

控制網卡接口

以.chinaz為前綴拷貝自身到/tmp/目錄下

安裝完成後會重啟計算機

DDoS相關的一些指紋,其中包含一個QQ號碼:2900570290

  三.事件分析

3.1事件關聯分析

以liancanmou.xyz這個域名為起點,結合樣本分析與VT Graph關聯分析形成以下關聯圖,可以確定123.160.10.16、180.97.220.35以及123.249.9.157這三個IP是用於作為木馬的CNC地址以及木馬分發地址。在2018年5月24日域名liancanmou.xyz從指向123.249.9.157被換位指向180.97.220.35這個IP。

PassiveDNS相關信息

3.2事件溯源

3.2.1域名註冊信息

3.2.2個人信息

  四.IoCs

liancanmou.xyz

web.liancanmou.xyz

jch.liancanmou.xyz

wwt.liancanmou.xyz

wwv.liancanmou.xyz

www.liancanmou.xyz

http://180.97.220.35:3066/Linux4.7

http://123.160.10.16:3097/gy.exe

http://180.97.220.35:3066/33

http://180.97.220.35:3066/32

180.97.220.35

123.249.9.157

123.160.10.16

123.249.9.15

123.249.79.250

180.97.220.35

103.248.220.196

892833AB52DAA816918041670519EB6351AE7EC2DB7AF2C97F3AB5EE214DA173

4A2FB58342D549347D32E54C3DA466A19BFD66364825AC7F2257995356F09AFD

74D4776A76AD3BCB578C9757D9F18A6ADFFE8802C43E5E59B14C4E905664733D

DBC7FC7748BD201C54B2A0189396F3101C18127A715E480C8CB808F07137822A

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

一起涉及多個DDoS殭屍網絡樣本攻擊事件追蹤

黑客是如何利用你的瀏覽器進行挖礦的?

網站內容來源http://server.it168.com/

黑客是如何利用你的瀏覽器進行挖礦的?

2018-05-30 18:05    來源:FreeBuf.COM  作者: 千里目安全實驗室 編輯:
0購買

  0×1 概述

近期,千里目安全實驗室監測到了一大批網站系統被惡意植入了網頁挖礦木馬,只要訪問者通過瀏覽器瀏覽被惡意植入了網頁挖礦木馬站點,瀏覽器會即刻執行挖礦指令,從而淪為殭屍礦機,無償的為網頁挖礦木馬植入者提供算力,間接為其生產虛擬貨幣,這是一種資源盜用攻擊。由於網頁挖礦木馬存在很廣的傳播面和很不錯的經濟效益,因此、廣受黑產團體的追捧,讓我們對它防不勝防!

 0×2 千里百科

區塊:在區塊鏈網絡上承載交易數據的數據包。它會被標記上時間戳和之前一個區塊的獨特標記。區塊頭經過哈希運算後會生成一份工作量證明,從而驗證區塊中的交易。有效的區塊經過全網絡的共識後會被追加到主區塊鏈中。

區塊鏈:狹義來講,是一種按照時間序列將數據區塊以順序相連的方式組合成的一種鏈式數據結構,並以密碼學方式保證的不可篡改和不可偽造的分佈式賬本。

礦機:礦機是挖礦機器的簡稱,就是用於賺取数字貨幣的計算機,這類計算機一般有專業的挖礦芯片,多採用燒顯卡的方式工作,耗電量較大。個人計算機可以通過挖礦軟件來運行特定的算法產生算力(俗稱挖礦)來獲得相應数字貨幣。

礦池:由於單一礦機想挖到一個塊的幾率是非常小的,通過礦機聯合挖礦以提高几率。一個礦池的算力是很多礦機算力的集合,礦池每挖到一個塊,便會根據你礦機的算力占礦池總算力的百分比,發相應的獎勵給到個體,也不會存在不公平的情況。

挖礦:挖礦是反覆嘗試不同的隨機數對未打包交易進行哈希,直到找到一個隨機數可以符合工作證明的條件的隨機數,以構建區塊。如果一個礦工走運併產生一個有效的區塊的話,會被授予的一定數量的幣作為獎勵。

錢包:錢包指保存数字貨幣地址和私鑰的軟件,可以用它來接受、發送、儲存你的数字貨幣。

  0×3 家族樣本分析

千里目安全實驗室通過持續對全網進行安全監測,發現近期有如下十種家族的網頁挖礦木馬的傳播比較活躍。詳情分析如下所示:

  1、Coinhive家族網頁挖礦木馬介紹:

Coinhive是一個專門提供挖礦代碼的JS引擎,在被攻擊網站的網頁內嵌一段JS挖礦代碼,只要有人訪問被攻擊的網站,JS挖礦代碼就會通過瀏覽器上執行挖礦請求,佔用大量的系統資源,導致CPU資源利用率突然大幅度提升,甚至100%。在這過程中網站只是第一個受害目標,而網站的訪問者才是最終的受害目標。

1.1、Coinhive家族網頁挖礦木馬代碼,如下所示:

1.2、執行JS挖礦代碼前後的效果,如下圖所示:

1.3、通過快捷鍵(Shift+ESC)來查看瀏覽器的任務管理器,發現正是剛打開的“XMR Mining Page”網站頁面佔用了98.4%的CPU資源,正在瘋狂的挖礦。如下圖所示:

  2、JSEcoin家族網頁挖礦木馬介紹:

JSEcoin是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。但是與後者不同的是,JSECoin會將CPU使用率限制在15%至25%之間,並且始終显示隱私聲明,為用戶提供退出選項(可選擇不提供運算服務)。

2.1、JSEcoin家族網頁挖礦腳本代碼,如下所示:

2.2、通過對JSEcoin挖礦代碼進行調試,發現執行完挖礦代碼後會持續接收到需要運算的任務,如下圖所示:

2.3、通過進一步跟蹤運算過程,發現其通過WSS協議來獲取區塊的計算任務,然後將結果進行回傳效驗,校驗通過的會显示OK標記。如下圖所示:

  3、CryptoLoot家族網頁挖礦木馬介紹:

CryptoLoot是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。不過CryptoLoot平台的傭金比Coinhive平台的傭金低很多,這可以大大降低以挖礦為盈利目標的黑色產業鏈成本。

3.1、CryptoLoot網頁挖礦腳本代碼,如下所示:

3.2、CryptoLoot網頁挖礦腳本代碼參數介紹,如下所示:

miner.min.js:為JS挖礦腳本。

85e693dfe57edbdf8f53640b4c0b0d257513a504c503:為SiteKey,可以理解為JS挖礦引擎識別站點的唯一標識。

threads(value):指挖礦運算所啟用的線程數量。這裏的值為3,即表示啟用3個線程進行挖礦運算。

autoThreads(value):這裏的Value可以設置為true和false,當設置為true時,表示自動檢測用戶計算機上可用的CPU內核數量。

throttle(value):這裏的value是設置線程閑置時間比例的。如果值為0,即表示不進行節流(即進行CPU滿載運算)。這裏的值為0.2即表示將在20%的時間內保持空閑狀態。

 4、DeepMiner家族網頁挖礦木馬介紹:

DeepMiner是一個開源的JS挖礦項目,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

4.1、DeepMiner網頁挖礦腳本代碼,如下所示:

4.2、DeepMiner網頁挖礦腳本同源分析:

DeepMiner是一個已經被開源了的項目,通過分析,發現上面的挖礦腳本代碼為此開源項目修改而來(開源項目地址為:https://github.com/deepwn/deepMiner)。

 5、Webmine家族網頁挖礦木馬介紹:

Webmine也是一個與Coinhive類似的JS挖礦引擎,在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

5.1、Webmine網頁挖礦腳本代碼,如下所示:

5.2、訪問JS挖礦站點時,發現CPU使用率劇增,隨後退出對JS挖礦站點的訪問,發現CPU的使用率一下子就降下來了。如下圖所示:

6、AuthedMine家族網頁挖礦木馬介紹:

AuthedMine也是一個與Coinhive類似的JS挖礦引擎,在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

  6.1、AuthedMine網頁挖礦腳本代碼,如下所示:

6.2、 AuthedMine網頁挖礦腳本與之前的幾種相比有比較大的改進,大致如下3點:

設置了線程閑置時間比例,這樣不容易被礦機受害者發現和察覺。

設置了挖礦設備類型,只對非移動設備進行挖礦運算,防止手持終端設備被卡死。

設置了挖礦運算時間,只挖礦4小時,避免長時間CPU過高而遭暴露。

  7、BrowserMine家族網頁挖礦木馬介紹:

BrowserMine是一個與DeepMiner類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

7.1、BrowserMine網頁挖礦腳本代碼,如下所示:

7.2、 執行JS挖礦代碼前後的效果,如下圖所示:

  8、Coinimp家族網頁挖礦木馬介紹:

Coinimp是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。稍有不同的是Coinimp的平台費用基本免費,而且JS挖礦腳本可以重置為任意名字存放在本地,偽裝性更高。

8.1、Coinimp網頁挖礦腳本代碼,如下所示:

8.2、Coinimp網頁挖礦腳本代碼與之前的幾個有一個明顯的區別就是SiteKey值變成了64位,同時,JS挖礦代碼可以保存到本地存儲了,訪問參數與JS腳本名稱可以自行定義。

  9、CryptoWebMiner家族網頁挖礦木馬介紹:

CryptoWebMiner是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。不過CryptoWebMiner平台的傭金比Coinhive平台的傭金低很多,這可以大大降低以挖礦為盈利目標的黑色產業鏈成本。

9.1、CryptoWebMiner網頁挖礦腳本代碼,如下所示:

9.2、CryptoWebMiner網頁挖礦腳本代碼結構與Coinhive很類似,但支持的幣種比較多,主要有BTC、ETH、ZEC、ETN、XMR。另外,它支持的平台也很多,分別為手機端挖礦、PC端挖礦、WEB端挖礦,可見傳播面很廣。

  10、PPoi家族網頁挖礦木馬介紹:

PPoi是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

10.1、PPoi網頁挖礦腳本代碼,如下所示:

10.2、通過訪問PPoi平台官方地址,發現已經被Google GSB加入黑名單了。如下所示:

0×4 趨勢分析與統計

1、我們通過對分析過的網頁挖礦木馬代碼特徵,使用FOFA對全球所有在線Web應用系統進行統計,發現有60742892個Web應用被惡意掛載了網頁挖礦木馬。如下為全球TOP10地域的網頁挖礦木馬感染量和分佈情況。詳情如下所示:

統計數據來自於FOFA平台

2、進一步通過這些網頁挖礦木馬的代碼特徵來對中國境內所有在線Web應用系統進行分析和統計,發現有4557546個Web應用被惡意掛載了網頁挖礦木馬。如下為中國境內TOP N地域的網頁挖礦木馬感染量和分佈情況。詳情如下所示:

統計數據來自於FOFA平台

0×5 安全建議

ü 定期對服務器中的數據做備份,看到類似以上10種形態的可疑腳本代碼,需提高警惕(這很可能意味着我們的站點和服務被入侵了 ),找專業的安全人員來做分析和處理。

ü 如在服務器中發現存在可疑的後門或惡意代碼,需做全局的排查和清理,然後再做安全加固工作。

ü 定期主動對服務器及服務器中的應用進行安全評估,及時發現潛在的風險,並及時處置和修復。

0×6 IOCs

C2:

https://coinhive.com

https://coin-hive.com

https://webmine.cz

https://webmine.pro

https://munero.me

https://load.jsecoin.com

https://browsermine.com

https://authedmine.com

https://crypto-loot.com

https://cryptaloot.pro

https://ppoi.org

URL:

https://coinhive.com/lib/coinhive.min.js

https://coin-hive.com/lib/coinhive.min.js

https://crypto-loot.com/lib/miner.min.js

https://cryptaloot.pro/lib/miner.min.js

https://authedmine.com/lib/authedmine.min.js

https://ppoi.org/lib/projectpoi.min.js

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

黑客是如何利用你的瀏覽器進行挖礦的?

跟着大公司學安全之BeyondCorp安全架構

網站內容來源http://server.it168.com/

跟着大公司學安全之BeyondCorp安全架構

2018-05-30 22:35    來源:Freebuf  作者: mcvoodoo 編輯:
0購買

過去這些年,技術發生了很大的革命,雲計算改變了業務方式,敏捷改變了開發方式,某寶改變了購物方式。而在內部安全上,零信任則提供了一個新的模式。

過去這些年,各種數據泄漏層出不窮,我懶得去找例子,反正比比皆是,從大公司到小公司,從政府到商業機構。這說明什麼呢?這說明我們過去的方法出了問題,以前基於邊界來劃分可信不可信的辦法行不通了。

傳統的內部安全外圍取決於防火牆、VPN來隔離,但隨着員工用自己的電腦、用自己的手機、再加上雲計算,整個網絡邊界越來越模糊。零信任安全則直接在概念上顛覆了原有概念,內部用戶比外部用戶更不可信!看以往的各種案例,太多由於黑客掌握了密碼,證書之後得手的攻擊。因此,對這些內部用戶零信任,可能是未來減少數據泄漏的主要方法。

  一、Google實踐

Gartner提出了CARTA方法論,意為持續自適應風險與信任評估,包含了零信任安全的核心元素。當然,更關鍵的是,Google已經在15年就開始付諸實施,這個項目就是大名鼎鼎的BeyondCorp,開始從本質上改變。BeyondCorp完全不信任網絡,而是基於設備、用戶、動態訪問控制和行為感知策略。零信任需要一個強大的身份服務來確保每個用戶的訪問,一旦身份驗證通過,並能證明自己設備的完整性,則賦予適當權限訪問資源。所以這裡有四個元素:驗證用戶、驗證設備、權限控制、自學習和自適應。

  1. 驗證用戶

驗證用戶最基本的是用戶名和密碼,但怎麼確保這個密碼不是從黑市上買來的?所以就出現了多因素認證來獲得額外的保證,國內一般是短信驗證碼或軟硬件token,當然現在也開始逐漸出現人臉、指紋等。用戶有很多類型,普通用戶、管理員、外包、合作夥伴、客戶,多因素認證都可以適用。

  2.驗證設備

要實現零信任安全,要把控制擴展到設備級。如果設備未經過驗證,設備就不可信。如果用戶數用常用、可信設備訪問,則有可信度。如果他在網吧用一台電腦來登陸,那這個信任度就低。設備驗證還包括了一些安全准入條件,比如是否安裝殺毒軟件和最新補丁。

 3. 限制訪問權限和特權

限制用戶最小權限的訪問,就可以限制攻擊的橫向移動。其次是對業務應用的授權,業務層包含大量敏感數據,是攻擊的首要目標,因此在應用側限制權限也同樣重要。數據越重要,權限越少,也可以用多因素來進一步驗證。

  4.自學習和自適應

收集用戶、設備、應用和服務器數據和行為信息,形成日誌數據庫進行機器學習分析,達到異常識別的目的,比如從異常位置訪問資源,則立即觸發強認證。

  整個方案有幾個好處:

一是重新定義了身份,以前都是根據角色進行的,而零信任模型則更加動態,用時間、屬性、狀態的組合來實時評估。

二是集中控制,所有的流量都通過中央網關來處理認證和授權,這種網關可以攔截所有到資源之間的通信。但中央網關不是只有一個,而是分佈式的,只是邏輯上的集中。BeyondCorp就在每個受保護的資源之前放了一個反向代理服務。

三是主動防範,能夠檢查日誌做審計是一回事,能夠實時攔截主動防範則是另一回事了。

Google的方法很好,值得借鑒,但不一定要完全照搬。每個企業有自己的實際情況,要是上來就干,可能會導致更多的問題。根據Google的幾篇論文,我試着分析一下實現路徑做參考。

  二、信息收集

整個項目上,第一步要實現的就是數據的收集,收集數據的作用是掌握全局,包括賬號和應用的流向關係、網絡架構、應用協議等。在這個過程中也能清理掉很多沒用的系統和賬號。而數據的收集分為幾種:

  1、設備信息

因為設備驗證屬於一個重要環節,因此要對設備進行清點。Google要求所有設備都有IT管理,並且保存一個資產庫,但這在國內企業中並不現實,例如有的員工自帶電腦,自帶手機。所以實際上需要在Google的思路上有所拓展,雖然我不知道,但我可以通過設備指紋來建立一個資產庫。每個設備都有的獨一無二的標識,通過標識,把員工常用設備作為可信設備,從而建立自己的資產庫。

  2、梳理訪問記錄

零信任的目標是完全消除靜態密碼的使用,轉為更加動態的驗證,可以對每個單獨的訪問發布範圍、時間的證書。這是這個架構的好處,也是防範內部風險的最佳答案。所以需要掌握公司內部的訪問記錄,常見是通過SSO訪問日誌來進行。而且定期review內網訪問日誌,也應該是一個常態化工作。梳理這個的目的,是了解賬戶和應用之間的關係。

  3、系統架構圖

零信任的目標是拋棄掉網絡層的訪問控制,但現實是需要在整個過程中逐步改造,因此需要掌握網絡拓撲,掌握各訪問控制的位置,掌握資源位置。最後才能達到把訪問控制放到應用側來實現。所以這裏的着眼思考點是,如果我把這個資源放到互聯網上,需要怎麼控制。

4、流量日誌

流量是基於網絡拓撲來的,在應用日誌完備的情況下,甚至可以不需要做流量日誌。不過考慮到大家的實際情況,還是加上比較好。另外網絡內跑的協議也很重要,Google在計劃階段發現網內使用了各種協議,因此在新系統中作了嚴格的規定,以HTTPS和SSH為主要協議。

  二、訪問策略

在Google的論文中,多次提到了他們在形成這個框架時面臨的挑戰,為了有效推進,這個安全措施必須在全公司強制執行,覆蓋廣泛且易於管理。這其實在很多公司是個不容易的事情。而且Google也提到,安全架構不應該影響生產力,在國內就是就是安全不應影響業務。因此把敏感應用放到公網上,需要小心謹慎。零信任要求每個請求都完整驗證身份,授權和加密,這個信任是基於動態用戶和設備決定的,而不再基於網絡單一維度進行判斷。

數據收集以後,接下來要做的事情就是訪問策略框架了。Google整個項目周期是7年(淚奔,7年後我還在不在現在的公司都不好說),提到的建議是情景決策,換成中國話的意思就是業務場景。例如我是一個運營,要去訪問運營報表系統,那麼我用公司給我的筆記本電腦登錄報表系統,然後通過跳板機登陸到Hadoop上去調整源數據。這些業務場景會告訴你一些信息,運營應該授予報表系統、Hadoop權限,而在這裏的授權元素包括,設備、角色、被訪問資源、時間等。

  1、數據字段

聽上去比較彆扭,換成中國話的意思,要收集那些數據維度,以用做訪問控制要素。常見的比如組織架構、角色。新增的設備與用戶配對關係,也包括比如操作系統是否更新,殺毒軟件是否安裝這些設備狀態。同時也可以包括更多的要素:時間、位置、多因素等。這些條件組成了驗證規則,但這太容易被猜測出來了,所以在這個基礎上,還可以增加一些新的判斷字段,比如wifi的mac等信息。

 2、規則

接下來制定規則,規則中除了包括上面所說的字段,還應包括行為信息。例如有一個提出離職的員工,進入文檔系統大量下載文檔,這就是一個風險。可能需要的規則是,打通PS系統掌握誰提出了離職,然後限制該員工對文檔系統的大量下載行為。再細分一點規則,主動離職和被動離職對系統的風險是不同的,下載和查看文檔也是不同的。

規則中一個常見錯誤是設置了太多細緻的規則,Google在實踐中遇到了這個問題,最終他們在代理服務的粗粒度,和後端資源的細粒度之間找到了平衡點。在論文中他們提到了兩個例子:

全局規則:粗粒度,影響所有服務和資源。比如“底層設備不允許提交代碼”。特定服務規則:比如G組中的供應商允許訪問web應用A。

如果規則太複雜,或者對資源規定太過具體,那對規則的語言是很有挑戰性的,所以應該用一套任何人都可以理解的策略規則。Google的做法是從粗規則開始,然後再將RBAC和ABAC引入。

  3、權限

零信任是把信任從外圍改變到端點,目標是在不斷變化的環境中基於動態用戶和設備,做出智能的選擇。BeyondCorp是最小權限原則,通過不斷地處理用戶、設備、行為數據,為這些數據建立信任值,每個資源都有一個信任層,必須滿足才能訪問。比如你的手機版本過低,系統會給你一個低信任評分。當你訪問工資數據的時候,需要你有更高的信任等級。你必須把手機版本升級,否則不能訪問資源。這其實和金融里的信用分一個意思,這些元素的組合形成了分數。

但有一點,就是要明確的告訴用戶,基於什麼原因,你的分數過低,要把補救方法明確的提示出來,不然用戶就陷入了迷思,然後會幹出一些亂七八糟的事情出來。換句話說,可以把規則形成問題,你的補丁打了嗎?殺毒軟件更新了嗎?然後通過驗證這些問題,賦予權限。

 三、訪問控制

策略訂好了以後就是控制措施,這裏也是國內大多數公司和Google做法有分叉的地方,Google當然有能力自己造所有輪子,操作系統都能自己寫,但國內公司很少會這麼干,同時在內部這些應用里,或多或少都會有外購的應用系統。

  1、微服務

傳統系統已經做了很多訪問控制手段,有的可能就是一個SSO賬號,這種方式是角色、權限是在後面邏輯上處理的,也就是說,你先進入內網門戶,然後通過門戶進入各個子系統。在進入門戶這個環節並不做後面的資源的驗證,把驗證放在了後端應用上處理。這也就是之前烏雲還在的時候,我們看到一旦拿到一個員工賬號,就可以在內部各種橫向漂移。

而在Google,則使用了微服務,把驗證邏輯和資源系統隔離,以實現靈活的驗證。加入你們採購了外部的一個財務系統,那麼財務系統在這裏只看作是一個原始數據的記錄系統。通過微服務方式的解耦,服務之間不再需要關心對方的模型,僅通過事先約定好的接口來進行數據流轉即可。因此策略層改變起來也很容易,這是其中一個關鍵。

  2、集中處理

零信任中有一個處理所有流量的ACCESS GATEWAY,這是個反向代理服務,集中了身份驗證和授權過程,統一進行處理,也是理想的日誌監控點。代理服務支持PKI證書,所有請求都通過HTTPS提供給網關,用戶和設備的數據在這時候被提取出來進行驗證授權。再接下來則是SSH,RDP或TLS連接,與資源進行安全會話,這就大大限制了攻擊面。

在某個時間點,根據動態數據來配置身份驗證,而不是單純的依靠網絡。這就是零信任系統的能力。但在初期的時候,這個動態,是需要經過磨合的。最簡單的例子是根據大多數人的共同的行為來調整策略,這裏就需要機器學習來輔助,讓機器來了解共同行為是什麼意思。

  四、資源遷移

最後一步則是資源的遷移。資源遷移有個灰度過程,關鍵系統往後放,先從簡單應用開始,這個應用應該適合粗粒度規則,且數據敏感度比較低,比如內部的wiki這種。為了防止在這個過程中的數據泄漏,Google初期是並聯傳統系統的,然後逐漸割接。Google非常強調他們把所有資源都放到公網上,消滅了網絡分區需求。但實際上,我們大可不必這麼冒險,傳統基於網絡層的控制方法仍然可以使用。

通過這個邏輯,只需要把流量指向訪問結構,就可以保護資源。在所有流量都經過網關的情況下,需要確保和應用的連接是安全的,每個請求必須端到端加密。但只有這麼個安全隧道是不夠的,還需要確保每個請求都被完全驗證授權,方法上可以是對請求證書和關聯數據進行簽名,再配置應用驗證,也可以是對特定IP列入白名單。

  五、總結

Google在基礎架構安全上付出了巨大的努力。我在看這些paper的時候就在想,為什麼Google公開宣傳內部的安全實踐呢,我以小人之心揣測,可能與Google雲相關,從Google一系列的博客來看,信息保護一直都是重點範圍。但對於我們這些安全從業者來說,這5個paper提供了很多安全的先進點,讓我們一探頂尖互聯網企業的基礎安全架構。整個閱讀理解過程中,有幾句話我覺得是特別值得總結的:

1、“我們不依賴於內部網絡分隔或防火牆作為我們的主要安全機制”

我曾在阿里工作過幾年,早在14年阿里安全就提出“去防火牆”。但當時的“去防火牆”思想,更多的是擺脫傳統盒子硬件防火牆層次,和Google還不一樣。零信任的核心主題是,它是一個無周邊架構,這和Google的員工分佈在全球各地辦公有關係。這並不是說防火牆完蛋了,而是說不作為“主要”安全機制。但是在借鑒過程上,去防火牆不是第一步,而應在各種認證、授權等機制建立后的最後一步。

2、“最終用戶登陸由中央服務器驗證,然後中央服務器向用戶端設備發送憑證,例如cookie或OAuh令牌,從客戶端設備到Google的每個後續請求都需要該憑據”。

零信任基於用戶和設備的狀態做出智能決策,憑證是動態的,也就是可撤銷、可審計、有較短時間期限。這其中說,每個後續都需要該憑據,這就是零信任的精髓了。

3、“實際上,任何發布的服務都使用GFE作為智能反向代理前端,這個代理提供了DNS,拒絕服務保護,TLS終止和公共IP託管”

把內部應用放到公網,可以實現端到端的前向加密,但卻讓系統面臨攻擊,通過反向代理來管理這些流量。現實而言,我們並不需要這麼激進,抗ddos保護對於中小企業來說,還是應該依靠外部力量。

4、“在企業局域網上不是我們授予訪問權限的主要機制。相反,我們使用應用程序級的訪問管理控制,允許我們只在特定用戶來自正確管理的設備以及期望的網絡和地理位置時才將內部應用程序公開。

身份認證是整個流程中的重要部分,但零信任獨特在於:用戶、設備組成一個可以實時進行信任決策的配置文件。舉例來說,我在北京從我的手機上登陸crm應用,那肯定不會在同一時間允許我在上海的pc上登陸。訪問策略上要麼允許,要麼提示你另一個認證因素。

安全性和可用性一直存在互相矛盾,安全部門要在這裏尋找平衡。每個公司也都有自己的風險容忍度,有的公司因為月餅開除員工,有的公司因為雲盤上傳開除員工。每一個處罰,都會引起內部很多爭論,對於零信任來說,決策是動態的,允許更多的自適應,其中機器學習是這裏的重要工具。

5、“我們積極地限制和監督已經被授予基礎設施管理權限的員工的活動,提供能安全和可控的方式完成相同任務的自動化,不斷努力消除特定任務的特權訪問需求。

零信任目的在減少內部威脅,整個架構中學習和適應是重要環節。同時也對自動化很敏感,在這麼大一個全球企業中,人工是不現實的。另外,整個項目對特權的檢查,會比對普通權限的檢查要仔細的多。

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

跟着大公司學安全之BeyondCorp安全架構

10款最佳免費WiFi黑客工具(附傳送門)

網站內容來源http://server.it168.com/

10款最佳免費WiFi黑客工具(附傳送門)

2018-05-31 14:59    來源:安全牛  作者: Jasmine 編輯:
0購買

如今,隨着用戶友好型黑客工具的不斷湧現,黑客攻擊已經不再僅是網絡專家或專業人士所獨具的特殊技能,這種黑客藝術也可以輕鬆地為普通用戶所用。大多數人都想要了解最好的免費WiFi黑客工具,以學習在智能手機和台式機上進行黑客攻擊。

儘管網絡上有許許多多黑客攻擊教程,但黑客攻擊並不是那麼容易學的。它不是一蹴而就的事情,需要深入的研究和奉獻精神才能夠成為專家。

但是,通過一些免費可用的黑客工具來學習如何在Android和桌面上進行攻擊,您可以很好地掌握黑客攻擊基礎知識。以下是適用於Android和桌面的10款WiFi黑客工具,它將幫助您了解一些黑客入侵的基本知識。

使用WiFi黑客應用程序前的準備:

在開始使用這些應用程序之前,了解一些可以在Android設備上完成的基本設置非常重要。因為有了這些技巧,你可以將你的android系統轉化為一個成熟的Linux操作系統:

Root您的android設備;

檢查設備是否運行Android 4.0或更高版本;

設備的WiFi網絡显示WPS可用(說明無線設備支持WPS加密連接)是非常重要的;

目標WiFi網絡的信號強度足夠好。

通過此清單,你將能夠在任何WiFi網絡上破解各種WPS PIN碼。

  1. WPA WPS Tester

WPA/WPS測試儀是安卓系統上最受歡迎的Wi-Fi黑客工具之一,它是為了掃描Wi-Fi網絡的漏洞而開發的,這個黑客應用程序以其打破安全性的能力而聞名。

該應用程序使用WPS PIN連接的接入點進行測試,使用各種不同的算法(如Blink、Asus、Zhao以及Arris等)執行計算。該應用需要Android 4.0及以上版本才能運行。這不是一個跨平台的應用程序,只能在Android設備上使用。

該應用程序在Google Play商店中可用,它可以幫助您破解任何显示WPA/ WPS可用的WiFi網絡。一旦識別出網絡密鑰,該應用程序就會將其显示在屏幕上,這表明它可以輕鬆地幫助您執行黑客操作。

傳送門:

  2. aircrack-ng

說到最常用且最著名的WiFi黑客工具,可能就要數Aircrack了。這款使用C語言編寫的WiFi黑客軟件是大量工具的組合,可用於監控、攻擊、滲透測試和破解等任務,使用aircrack-ng

軟件,你可以在捕獲足夠的數據包之後,破解802.11 WEP和WPA-PSK密鑰。

Aircrack首先會捕獲網絡數據包,然後分析數據包以恢復網絡密碼。在執行優化(包括KoreK攻擊和PTW攻擊)以恢復或破解密碼后,該應用程序還可以執行標準的FMS攻擊。

優化攻擊的使用,使整個破解過程比其他WEP密碼黑客工具快得多。不過,您可能會發現,這個控制台界面兼容的工具在開始使用時會略顯複雜,對此,我們建議您在使用之前查看該應用程序的在線教程。

Github入口:

XDA-developers入口:

  3. Kali Linux Nethunter

缺少Kali Linux Nethunter的推薦列表算不上是完整的列表。有誰不知道Kali Linux Nethunter,因為它是最好的WiFi黑客應用程序之一。該工具是Offensive Security第一款開源的android滲透測試平台,使用這個黑客應用程序,您需要啟動Kali的Wifite工具來執行此過程。

Nethunter的用戶友好型配置界面,可以讓您毫不費力地處理複雜的配置文件,它的定製內核支持所有802.11無線協議。對於Android系統來說,它確實也是一個必備的WiFi黑客工具。

您可以使用Kali Linux執行各種不同的活動,例如網絡映射、網絡控制以及無線注入等,同時它也可用於執行USB HID鍵盤攻擊。

傳送門:

 4. Zanti

Zanti是由Zimperium發布的比較受歡迎的一款黑客應用程序,它允許安全管理員分析網絡中的風險級別。這種易於使用的移動滲透工具包可用於Wi-Fi網絡的評估和滲透。

該應用程序的Wi-Fi掃描器显示已知的默認密鑰配置為綠色的接入點。您也可以使用該應用程序來殺死連接,以防止目標訪問任何網站或服務器。此外,使用Zanti工具,您也可以了解網絡攻擊者所使用的鏡像方法,從而識別網絡中的漏洞並據此實施必要的安全措施。

大家可以將zANTI視為一款能夠將Backtrack強大力量引入自己Android設備的應用。只要登錄至zANTI,它就會映射整套網絡並嗅探其中的cookie以掌握此前曾經訪問過的各個網站——這要歸功於設備當中的ARP緩存。應用當中的多種模塊包括網絡映射、端口發現、嗅探、數據包篡改、DoS以及MITM等等。

傳送門:

  5. Nmap

適用於安卓系統的Nmap是一個非常有用的應用程序,它可用於竊取Wi-Fi並查看可用的主機、服務、數據包和防火牆等。此外,Nmap對於包含root和不含root的安卓設備都很有用。但是,要記住,無root的用戶無法使用SYN掃描和操作系統指紋等高級功能。這個Wi-Fi黑客應用程序的開發人員已經共享了編譯好的Nmap二進製版本,並支持OpenSSL。 Nmap也可以在Windows,Linux等其他平台上使用。

傳送門:

 6. Kismet(2018年最好的桌面WiFi 黑客應用程序)

Kismet是一款優秀的開源WiFi 802.11 a/b/g/n第2層WiFi嗅探器應用程序,該工具可以用於入侵檢測,同時也非常適用於無線網絡故障排除,並與任何支持rfmon模式的WiFi卡兼容。您也可以在多種桌面平台上使用它,包括windows、BSD、Mac OSX以及Linux等。

Kismet能显示AP詳細信息,包括隱藏的SSID,還能捕獲原始無線數據包,還可以將數據導入 Wireshark、TCPdump等工具進行分析。該應用程序專為客戶端-服務器模塊化結構設計,因此可以輕鬆檢測802.11b, 802.11a, 802.11g, and 802.11n流量。

傳送門:

  7. Cain & Abel

為了破解台式機上的無線網絡密碼,Cain & Abel是一款為攔截網絡流量而開發的可靠工具。一旦攔截了流量,它就會使用暴力強制攻擊方法來識別密碼。此外,Cain&Abel還可以通過掃描路由協議來識別無線網絡,因此它可以用來破解不同類型的密碼。

當然,它不僅是一款流行的WEP破解工具,而且非常適用於Windows密碼破解。事實上,如果你正在尋找一個專門用於微軟Windows操作系統的密碼破解工具,Cain & Abel可能是最好的選擇。這款以亞當和夏娃的兒子命名的工具,可以使用不同的方法來識別密碼,例如網絡包嗅探,也可以執行暴力算法、字典攻擊以及密碼分析等。

這還不是全部,使用該Windows wifi黑客軟件,你可以記錄VoIP對話,解碼混亂的密碼,獲取緩存數據,並獲得路由協議。這個強大工具的最新功能是ARP支持嗅探交換局域網和中間人(MitM)攻擊。

傳送門:

  8. Wireshark

Wireshark無疑是最著名的網絡協議分析器,您可以利用該工具來檢查家庭或辦公網絡等不同方面的無線連接。例如,您可以通過檢查微觀層面的數據來捕獲和分析數據包,以識別與Wi-Fi網絡相關的某些事情。

Wireshark工具適用於所有主流平台,包括Windows、Linux、OS X、BSD等,雖然它不會直接幫助您恢復明文密碼,但它可以幫助您以最佳方式嗅探數據包。這款軟件能夠幫您檢查數百個協議,並通過實時捕獲和離線分析獲得最佳結果。

Wireshark不僅可以捕獲無線數據,還可以捕獲藍牙、以太網、USB、令牌環(Token Ring)、FDDI等實時數據。但是,我們建議您在使用Wireshark工具之前,先了解一些有關網絡和協議的基礎知識,不然的話,你可能會發現該工具用起來存在一定困難。

傳送門:

  9. Fern WiFi Wireless Cracker

Fern WiFi Wireless Cracker工具可以用來實時分析您的網絡主機和流量,以確保最大的安全性。同時,該應用程序還可以用於識別和修復計算機網絡中的漏洞,它同樣適用於所有主流桌面操作系統平台,包括MS Windows,OS X和Linux等。

這個用Python語言編寫的黑客程序,可以在以太網和無線網上運行多種網絡攻擊。它的主要亮點是WEP/WPA/WPA2/WPS破解、會話劫持、中間人攻擊、暴力破解等。為了破解WPA/WPA2,該工具會利用基於WPS的字典攻擊;而對於WEP破解,該工具會利用Hirte、ARP請求重放、Fragmentation、Chop-Chop、Caffe-Latte或WPS攻擊等方式。

該工具目前正在進一步開發中,並且正在進行更新升級,Fern的專業版(Pro)可用,但是功能並沒有該版本高級。

傳送門:

  10. CoWPAtty

CoWPAtty是一款自動化的字典攻擊工具,用於破解基於WPA-PSK網絡的密碼。它兼容Linux操作系統,新版預置了包含上千個流行SSID的17萬個字典文件,大大提高了破解速度,但是CoWPAtty的命令行界面很平庸。如果在單詞列表中識別了密碼,那麼該工具就可以成功破解它。

其突出缺點就是運行速度太慢,因為它必須掃描成千上萬的密碼,並且還因為它的散列使用帶有SSID seed的SHA q,這就意味着,相同的密碼將具有不同的SSIM。該WiFi黑客工具使用密碼字典和SSID,為字典中的每個單詞生成了一個散列。

目前,運行速度問題已在最新版本的CoWPAtty中得到了解決,因為它使用pre-computer散列文件來防止破解過程中的計算。目前,已經有約17000個字典文件,用於1000個流行的SSID,但是攻擊要成功,你的SSID必須要在列表之中。

傳送門:

  結束語

上述適用於台式機和Android設備的最佳WiFi黑客應用程序列表,提供了可以免費下載或具有開源許可證的工具。這些工具均能夠破解Wi-Fi網絡密碼,但是具體破解時間可能會因密碼的複雜性和長度而有所差異。

我們建議大家,僅將這些工具用於教育和學習目的。對於道德黑客行為而言,這些都是完美的應用程序,但是萬不可利用這些工具實施非法黑客活動。請謹記,任何未經授權的無線網絡訪問行為都屬於網絡犯罪的範疇。沉迷於此類非法活動只會害人害己,因此,建議您做出明智而安全地選擇。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

10款最佳免費WiFi黑客工具(附傳送門)

新浪安全中心:Redis 威脅流量監聽實踐

網站內容來源http://server.it168.com/

新浪安全中心:Redis 威脅流量監聽實踐

2018-06-26 15:49    來源:新郎安全中心  作者: 糖果LUA 編輯:
0購買

  概要

我們在平時的安全運維中,Redis服務對我們來說是一種比較常見的服務,相應的Redis漏洞也比較棘手,網上有很多關於Reids漏洞利用和再現的方法,如果想延伸一下這個課題,我們可以考慮如何主動的防護redis的漏洞,那怕只是監聽redis服務中,可能存在的威脅行為,先解決一部分問題?這個就是本文要給出的一個思路和解決方案。關鍵是,現在有些系統是不提供這種服務的,所以我們嘗試定製開發。

  背景

我們在再現redis的漏洞時,用tcpdump等工具,抓取了滲透的流量,把威脅流量保存寫到pcap包中,經過分析我們發現redis的協議數據是明文的,經過截取包,我們可以看到其中的內容,所有的這些set、get、dir、config命令一般的流量中我們都可以看到,在redis密碼沒有設置的情況下。我們發現一般的防火牆也並不抓取redis的流量並解析,甚至是報警。基於我們之前的實踐,既然tcpdump能抓到,我們用pcap基礎開發包也可以抓到。

  防護策略

既然我們可以抓取流量,就可以監聽redis的流量中的內容,先期的預想是,只要我們分析出redis攻擊行為幾個動作序列,採用行為模式匹配的方式,只要有人觸發了比較危險的幾個動作指令,我們就把這次Redis操作列為一個可疑的行為,並對這種形為的IP進行監聽日誌留存,並把威脅攻擊IP相關的屬性信息,和其它設備中的威脅數據做碰撞,這一切基礎前提就是:我們可以抓取訪問者的流量(靠工具),並識別他的行為動作(靠策略)。下面我們就用工具監聽redis的set、get、config命令為例子,通過這個來展示整個流程的監聽過程。

  監聽部署

為了測試,我們是把某個機房的某個網段的流量,鏡像集中到另一台服務器上, 我們集中監聽打到這台服務上,其它的Redis的服務的流量匯總,我們通過分析這些Redis服務的操作內容,進行流量監控和行為識別,然後將監聽的威脅行為數據保存到威脅行為庫里。

  工具實施

這個監聽系統工作模式就這樣,接下來就是我們要用工具實施我們方案,我們選用的工具還是傳統的C語言和Lua的腳本方式,用C讀取監聽6379端口是的流量數據,然後將解析出來的數據推給Lua進行模式匹配。

一般的攻擊行為都有一個大概的請求序列,Redis服務本身就是系統內存的一個服務器監聽程序,一般會Bind本機的IP,監聽默認的6379端口,如果Redis的對外提供服務,需要改變redis.conf的配置,打開配置文件對應把bind xxx.xxx.xxx.xxx的IP改成你本地的網卡IP,這樣在外部使用Redis訪問,才不會出現端口訪問被拒絕的情況。

改變IP后,我們要解決的是密碼設置問題,如果有一天某台Redis的密碼“消失了”。 這時這台機器可能會被威脅利用,這時就滿足了我們要設定場景,重現這種情況就要把redis.conf中的密碼去掉。

這種啟動方式,是不能滲透成功的,我們要用下面的方式進行redis的服務啟動,進入root然後輸入:

如果我們想簡單的用Tcpdump截取Redis數據包,我們可以用下面的命令:

我們可以一邊滲透Redis,一邊記錄這次滲透過程中,攻擊指令的序列數據。 下面就是用我們要用的工具,用於監聽和解析Redis的流量數據的數據:https://github.com/shengnoah/riff

我們下載這個pcap監聽的工具包,我們默認的工作平台是: make linux

因為,這個工具在linux上使用,用C實現,嵌入了Lua腳本插件化的處理,來獲取監聽接口的數據,本文中提的是對6379接口的監聽。我們在完成編譯動作后,需要改一個config.lua的配置。

打開config.lua, 修改return的返回值,告訴C主進程,我們讓Pcap監聽本機的6389端口,以下。

需要注意的是watch.c的代碼,以下

getPacket()這個函數,主體功還是把數據推給lua,基本的邏輯就是這麼簡單,關鍵就是這個有個入口buffer.lua,我們記着這個時序的入口就行,便於以後面的邏輯的理解清楚。 從buffer.lua這個執行序開始后,邏輯都交給lua來處理了,具體lua怎麼處理,要自己根據自己定製的規則情況寫處理邏輯。

Lua代碼一直運行在pcap的循環內,採用的是插件機制,我們加一個處理,就相當於要加一個插件。插件模板的代碼都是類似的,我們看一個其它的就看懂了,其它相關腳手架的代碼不介紹了:

用lua寫代碼,是為了降低策略實現部分的代碼複雜度,最關鍵的函數filter_plugin.action(),這裏的stream.data就是吐到6369上的所有數據,包括Redis相關的執行的get、set、config等請求都會在這個變量里中的所體現。我們先打開redis-cli的客戶端,發送一個set指令看看,看我們的程序是否可能監聽到。

我們啟動這個基於pcap庫的監聽程序,畫紅色圓的地方就是,pcap主循環推給lua腳本的數據。

“set a www.candylab.net”的整個指令的數據內容都在。

  總結

到此我們完成了整個監控程序的執行周期,通過這個工具,所有經過6379端口的數據我們都可以取得到,至於客官們想針對什麼樣的的reids攻擊,寫出對應的策略,編寫lua插件邏輯就可以了。本身lua的代碼實現就不複雜,提供的數據結構操作類似字符串序列這種數據也很方便,代碼可以到github上直接下載,如何變動,具體就看各自的需求和各自的策略設計了。簡單說,剩下的工作就是用lua寫攻擊模式的甄別。

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

新浪安全中心:Redis 威脅流量監聽實踐

獨家!小米英國遭質疑,復盤后水落石出

網站內容來源http://server.it168.com/

獨家!小米英國遭質疑,復盤后水落石出

2018-11-16 17:14    原創  作者: 投稿 編輯:
0購買

 

獨家!小米英國遭質疑,復盤后水落石出

 

其實從技術角度分析,英國網友Phil Williams質疑活動頁面代碼有問題,這個是說不通的。雖然他通過一段代碼給出了自己的結論,但是復盤后看不難看出所謂的結論並不成立。

 

“Out of Stock”是Phil Williams引用的關鍵代碼,他認為活動網頁與服務器之間並沒有交換過是否有庫存的信息。也就是說“Out of Stock”是小米事先設計好的狀態,你不論什麼時候點擊,它都會呈現為“Out of Stock”狀態,也就是“售罄狀態”。所以,他以此理由質疑,小米官方活動頁面存在作弊行為。

 

 

而我們在對他給出的截圖做了復盤分析之後,我們從代碼中不難發現,當閃購活動開始時,小米官網上的按鈕默認會被設置為 Buy Now,並且是可以點擊的;同時根據服務器實時返回的庫存情況,來決定是不是要把按鈕改為 Out of Stock ,也就是售罄狀態。所以只從這段代碼中,就可以看出,小米閃購活動頁面的按鈕,是跟服務器通信的,並非像 Phil Williams 誤認為的那樣,小米只是做了一個虛假的按鈕,不管你什麼時候按,都是 Out of Stock,這顯然與Phil Williams的描述是互相矛盾的。

 

那麼Phil Williams為什麼會有這樣的誤解呢?這個也很容易解釋,我們都知道高級點的程序員為了代碼整齊,通常情況下關鍵代碼會用縮略寫法,他顯然對這個可能並不是很了解,這可能是導致他錯誤理解代碼的真正原因。

 

 

而且他自己也在Twitter的一段話也恰恰證明了他並沒有仔細分析過代碼,他在Twitter用了“I only briefly went over it”,翻譯過來也就是“匆匆掃了一眼”的意思。由此可見,他並沒有認真分析過代碼,而他因此做的判斷當然也是不成立的。

 

其實事情並非那麼複雜,稍微了解一點編程知識的人,很容易從代碼中判斷。至於Phil Williams他本人是否承認誤導,我覺得小米有必要討要一個說法。

 

 

 

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

獨家!小米英國遭質疑,復盤后水落石出

陸文舉:業務視角下的邏輯安全

網站內容來源http://server.it168.com/

陸文舉:業務視角下的邏輯安全

2018-08-14 17:22    原創  作者: 高博 編輯:
0購買

本文根據陸文舉(土夫子)老師在2018年5月12日【DTCC 2018】現場演講《業務視角下的邏輯安全》內容整理而成。

  講師介紹:

陸文舉(土夫子),會分期運維總監DSRC(滴滴安全應急響應中心)TOP白帽,擁有8年運維經驗,3年安全經驗,曾就職於58同城等多家上市公司,擅長業務邏輯安全。

  分享大綱:

1. 未授權訪問

2.信息泄露

3.越權遍歷

4.支付

5.密碼重置

6.API調用

7.總結

 正文: 我今天和大家分享的主題是業務視角下的邏輯安全,互聯網什麼最值錢我們都知道,是數據,從大學生從FR到這個,比如你花幾百塊錢就可以在網上買到一個別人的信息,然後再到前段時間說的Face Book事件的發生,所以說我今天和大家從業務的角度分享一下邏輯安全。

在準備今天主題的時候,我一直在想一個安全的本質是什麼,也就是說那比如像這個綁卡和支付之間能有什麼,所以我歸納了兩個業務是安全的基石,那麼像綁卡裏面的問題,比如說像惡意提現,像自助裏面,訂單裏面的這種。

隨着互聯網的發展,越來越多的安全產品也出來了,包括早期的防火牆和IDS,或者IPS到後面的各種性能,雲WAF或者各種成分,包括後來等等一系列安全產品。

那麼有了這些產品我們的業務就安全了嗎?所以接下來我們從業務的角度來看一看,在這些安全產品之後,有了這些安全產品之後,還存在安全漏洞。

  1.未授權訪問

第一個是未授權訪問,什麼是未授權訪問?說白了在某個系統,不需要去做身份驗證就可以看到這個系統,比如說我們這個像DPA用的這個,還有這個做日常維護的時候,它隨時把功能,而且是不需要登錄認證就可以看到數據的,這會面臨什麼問題呢?我們可以發出特殊的指令做一些特殊的操作,相當於就對這個客戶端做一個內容。

還有像Hadoop的管理頁面,還有像做數據分析,比如說做這個東西的,那這些東西正常情況下你的端口現在是建立在內網上面的。

這個也是,比如說這個上面出錢,這套系統比如說這個裡面有幾百塊的訂單,大家可以看到具體的訂單號,還有應該做數據分析的,那像這個情況面臨着什麼樣的情況,最簡單就是操作被泄露,那為什麼會導致這種原因呢?也就是說這個是由於我們的技術人員安全意識不當造成的,那像一些內容的系統,像這些的,這個最基本的。

  2.信息泄露

接下來和大家分享第二個,信息泄露。我曾經在書上看到過這麼一個段子,一幫美女都在洗澡,突然這幫美女就急急忙忙跑了過來,然後發現都是大爺,衣服都沒有穿了。這個時候有個大爺衝著美女喊了一句,都捂住臉,下面都一樣。然後這個段子說明什麼,我們可以看一下租房的頁面。

我們可以看到在租房行業裏面,中國行業裏面發布找房信息之後,我們可以看到發布人的手機號都是泄露的,每家基本上都是這樣,那麼這會造成一個什麼問題呢?

我們會針對這種手機號看到兩種漏洞。第一個針對A公司租房平台,它的手機號是大家看到了,那很簡單,我們可以把它的手機號全部爬取下來,那對A公司的其他系統,比如說商家系統我們可以看到精準的用戶,去破解其他系統。

那第二個就是說我們都知道行業裏面的數據,比如說A公司做租房業務的,那B公司也做,我們可以把這個手機號爬取下來,對B公司做一些特殊的操作。這種情況下,操作軟件都像早期網約車一樣,我們知道早期的網約車看到都是真實的手機號,那看這個加一個點擊滑塊就可以看到手機號,另一個可以採取虛擬號的方式,比如說像現在就是看到假的手機號,不真實。

這是另外一個信息泄露的例子,那我們都知道,在互聯網早期的時候,漏洞都是以單點形式存在的,隨着技術的發展,現在這種已經很少了,不能說不見了。現在漏洞的形式都是基於多點存在。

比如說我們做活動,當然這兩個圖都是同一個動作,比如我們泄露的訂單這個,那麼單獨來看,其實影響不大,比如說沒有手機號,那我們可以通過挖掘,通過一系列的挖掘,發現B泄露訂單號和手機號,那麼可以A點做一個整合,可以得到想要的數據,比如說包括手機號這種,接下來和大家分享越權遍歷。

  3、越權遍歷

先說一下什麼是越權遍歷,我們說在收集數據的時候,不僅能看到自己的信息,還能看到別人的信息,這就是越權,那麼造成這種的原因是什麼呢?比如說像這個開發者,在開發程序的時候,他只做了一個當發生A的時候,會做B的判斷,當發生C的時候會做出D的判斷,但是他沒有判斷當發生X的時候會做出什麼樣的判斷。

那麼越權遍歷會把這個分為水平越權和垂直越權,可能這樣比較抽象,因為好多功能同時,比如說這個水平,所以說我就歸納為兩點,比如說我就歸納越權可以理解成前台越權和後台越權就可以了。

那麼什麼是前台越權?比如說我在訂外賣或者打車,那麼我們的APP就是前台的東西,這個很容易理解,那再像司機在這個接訂單的時候,還有像公司利民的管理系統,公司有的運營系統,這種東西就屬於後台,接下來我們看前台的一個案例,這也是一個租房信息的一個案例。

用戶在查詢自己訂單的時候,我們可以看到通過ID會有一個合同,但是我們可以通過對ID進行遍歷,遍歷通過別人,比如我們是遍歷一起的合同規則,這是一個前面的案例。

那比如說像這個接下來說後台的,這個就相對好一點了,中國好多公司安全註冊的時候,接觸過好多公司的這個版本,基本上,不能說百分之百有這個越權和遍歷,但是至少90%的系統是存在的,我們舉一個例子,正常情況下一個後台,一個公司的管理後台,這邊有10個板塊,還有其他的板塊,不能這個不同樣的角色,但是我們一個普通的用戶做一些特殊的操作,就相當於他是永遠有效的權利了,就把裏面的數據全部拿走了,這是無線的用戶。

商家在接訂單的時候,我們通過抓包的形式去抓到圖像,隨着自己的訂單通過ID,然後我們可以為這個ID進行一系列的,結果就是我們可以把所有的這個ID這個訂單全部點擊出來,可以看到用戶的手機號等信息。

那麼造成這個原因是什麼?我們開發者在寫代碼的時候,沒有做建權,其實這個防護第一個是建權,第二個就是說我們可以把這個ID做的足夠大,讓他無法看到,或者對這個ID進行加密,比如說是MD加這個,做到安全。我讓這個ID做這個加密方,只是一個編碼而已,那就沒有效果。

  4.支付

那麼接下來我講支付,這個從早期都知道,國內炒的最熱的是特斯拉,我不知道有沒有知道這個例子的。然後再到後來的網易車早期出現的時候,比如說你從這打包,你只要支付把錢給他就可以了,再到前段時間山東某公司出現的這麼一個情況,比如說充一元錢披露了1800萬,所以說這是一個案例。

接下來是一個討論的案例,這個是汽車的一個案例,像這個的,當時我們在支付的過程中,可以把金額改成一分,或者0.01,然後可以看到這個是支付成功的。

那為什麼會造成這種現象呢?是因為大部分程序在這個支付完做二次交付的時候,這個沒做。就是這個在安全側,它就算成功了沒有做二次驗證。

  5.密碼重置

那怎麼去防護呢?像這種敏感的支付操作,其實保護好籤名就可以了,一旦你的簽名被篡改你就不能操作了。那麼接下來和大家分享一下密碼重置。密碼重置早期的就是基於郵箱的或者基於一些密保問答形式重置密碼,那現在隨着移動互聯網發展,好多這個產品在設了以後,都是用這個手機驗證碼的形式去登錄,因為這樣比較方便,那麼這樣有什麼問題呢?那我可以看一下這個。

這是一個登錄的時候看到的,這會造成一個什麼呢?這會造成很簡單的一個操作。

那麼又由於手機驗證碼是四位的,四位数字的,那我可以找一下,通過看到這樣一個漏洞,那麼我們可以撞出1萬以內的賬號,因為它前面會提醒用戶存在或不存在,這是第一步。

那麼第二步我們可以對着1萬的賬號發送驗證碼。第三步我們可以隨便拿一個手機號,隨便拿一個四位的驗證碼都可以登錄某一個賬戶的信息了。

那麼造成這個的原因是什麼呢?第一,現在有很多公司用戶基數比較大,也體現了行業。那像四位驗證碼同一時間內是有重複使用的,那麼我們需要對這個驗證碼做的第一個是時效,比如說時效是一分鐘或者三分鐘。還有我們短信驗證碼發送的時候,我們可以做一個風控的操作,比如說同一個IP一天只能發送1000次或者500次,這個一般是能滿足需求的。

  6.API調用

接下來我們講一下API調用。現在好多不是那麼單一,特別是現在有很多的口令,比如說像客服管理系統等等,系統之間是相互用的,比如說我們無論是用戶還是說自己內部的好多人都需要調那個統一認證系統,像客服系統,你的客服在處理用戶問題的時候,可以去調你的合同管理或者調你的一些其他的東西,那麼相互調動的時候,它產生的一系列問題,現在有很多的東西都是以開關的形式去做這個驗證的。我們可以參加這個IP,這個是統一認證的例子。

那也就是統一認證它接受請求的時候,它這幾個業務調動的時候存在這幾個方式,比如說某一個參數裏面,第一代表的內部員工,二代表的是商家。

再比如說一個參數裏面,1代表的是內部系統,2代表的商家,3代表的是其他服務。

那麼另一個就是說在登錄方式,某一個參數代表的是密碼,某一個是短信的登錄。接下來我們就可以看這個系統,其實這個系統是這樣的,剛開始我發信的是也就是說這個系統只能通過用戶名和短信驗證碼的方式去登錄,但是由於我對這塊業務比較熟悉,或者對業務和業務標準之間的參數比較熟悉,那我會通過一系列的,我們可以把這個業務線改成,比如說用戶線改成商家的。登錄方式我們可以把短信密碼改成密碼的方式就可以了。

破解完之後,因為破解的是很容易的,所以存在這樣的問題,那麼像這塊漏洞我們怎麼防護呢,也是像剛才說的那樣,也就是說你發生篡改的時候,你的每一步操作有合法的簽名就可以了。

  7.總結

最後我們做一個總結,好多公司或者不少的從業者,並不知道自己的系統是否安全。歸納為第一條就是安全的本質是否可控,為什麼這麼說?我們舉一個例子:好多公司發生漏洞的一些病毒性的內容。那我們可以考慮第一個是否安全,如果不安全沒問題,我們可以往下講,那麼數據泄露了多少?如果你的數據比如說全泄露了,那最後是否可控?比如說像你的數據庫是以什麼方式,還是說某一家技術公司追到的時候,用戶名密碼全被拖走了?這是這麼一個例子。

第二個就是站在業務的角度去思考?就是說安全這個東西,它和業務是有衝突的,比如說你做的這個體驗,可能會影響這個業務的用戶體驗,所以說有好多時候我們站在業務的角度去思考。

接下來我和大家分享三個小例子:第一個是生活服務檢測,好多人都知道數據庫和業務袋,這個是通過SQL對自己的業務做一個掃描,比如說我們可以挖掘用戶的掃描請求,或者拿到自己的然後通過批納出來就好了,這是關於掃描檢測的。

第二個是拖庫監控,有好多人數據被拖庫不知道,所以說我們可以通過這樣的一個小的技巧然後做一個監控,比如說我們可以在這個數據庫裏面建一個空表,正常情況下你的空表是沒有業務去瀏覽的,當一旦發現這個空表被別人讀取的時候,我們可以通過監控號或者其他的來進行監控。

第三塊是講數據庫加密存儲。可能現在在座的數據存儲的不多了,但是我們可以通過更好的一些方法做一些加密,比如說第一個加鹽法,那這種怎麼弄,我們可以通過加鹽加一下時間或者一些特殊的方式去做一個加密,像這種支付數據庫被偷掉也不會有什麼用。

第二個就是混淆法,混淆法是什麼?就是你的數據在存儲的時候,A用戶的密碼對應B的用戶,因為你的策略入侵者是不知道的,所以說這就會給他造成一個難度。

好,今天我的演講就到這裏,謝謝大家!

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

陸文舉:業務視角下的邏輯安全