网站渗透测试中溯源技术与授权机制

时间：2020-03-15

在众多渗透测试中客户想要了解攻击溯源查找问题,我们Sine安全在日常网站安全检测过程中了解知道黑客是如何攻击和上传木马并进行篡改,以及如何查找日志分析攻击者是通过哪些脚本入口文件进行入侵的，那么本节由我们*的渗透测试主管技术来为大家讲解。

6.9.1.1. 基于日志的溯源

使用路由器、主机等设备记录网络传输的数据流中的关键信息（时间、源地址、目的地址），追踪时基于日志查询做反向追踪。这种方式的优点在于兼容性强、支持事后追溯、网络开销较小。但是同时该方法也受性能、空间和隐私保护等的限制，考虑到以上的因素，可以限制记录的数据特征和数据数量。另外可以使用流量镜像等技术来减小对网络性能的影响。

6.9.1.2. 路由输入调试技术

在攻击持续发送数据，且特性较为稳定的场景下，可以使用路由器的输入调试技术，在匹配到攻击流量时动态的向上追踪。这种方式在DDoS攻击追溯中比较有效，且网络开销较小。

6.9.1.3. 可控洪泛技术

追踪时向潜在的上游路由器进行洪泛攻击，如果发现收到的攻击流量变少则攻击流量会流经相应的路由。这种方式的优点在于不需要预先部署，对协同的需求比较少。但是这种方式本身是一种攻击，会对网络有所影响。

6.9.1.4. 基于包数据修改追溯技术

这种溯源方式直接对数据包进行修改，加入编码或者标记信息，在接收端对传输路径进行重构。这种方式人力投入较少，支持事后分析，但是对某些协议的支持性不太好。基于这种方式衍生出了随机标记技术，各路由以一定概率对数据包进行标识，接收端收集到多个包后进行重构。

6.9.2. 分析模型

6.9.2.1. 杀伤链（Kill Kain）模型

杀伤链这个概念源自军事领域，它是一个描述攻击环节的模型。一般杀伤链有认为侦查跟踪（Reconnaissance）、武器构建（Weaponization）、载荷投递（Delivery）、漏洞利用（Exploitation）、安装植入（Installation）、通信控制（Command&Control）、达成目标（Actions on Objective）等几个阶段。

在越早的杀伤链环节阻止攻击，防护效果就越好，因此杀伤链的概念也可以用来反制攻击。

在跟踪阶段，攻击者通常会采用扫描和搜索等方式来寻找可能的目标信息并评估攻击成本。在这个阶段可以通过日志分析、邮件分析等方式来发现，这阶段也可以采用威胁情报等方式来获取攻击信息。

武器构建阶段攻击者通常已经准备好了攻击工具，并进行尝试性的攻击，在这个阶段IDS中可能有攻击记录，外网应用、邮箱等帐号可能有密码爆破的记录。有一些攻击者会使用公开攻击工具，会带有一定的已知特征。

载荷投递阶段攻击者通常会采用网络漏洞、鱼叉、水坑、网络劫持、U盘等方式投送恶意代码。此阶段已经有人员在对应的途径收到了攻击载荷，对人员进行充分的安全培训可以做到一定程度的防御。

突防利用阶段攻击者会执行恶意代码来获取系统控制权限，此时木马程序已经执行，此阶段可以依靠杀毒软件、异常行为告警等方式来找到相应的攻击。

安装植入阶段攻击者通常会在web服务器上安装Webshell或植入后门、rootkit等来实现对服务器的持久化控制。可以通过对样本进行逆向工程来找到这些植入。

通信控制阶段攻击者已经实现了远程通信控制，木马会通过Web三方网站、DNS隧道、邮件等方式和控制服务器进行通信。此时可以通过对日志进行分析来找到木马的痕迹。

达成目标阶段时，攻击者开始完成自己的目的，可能是破坏系统正常运行、窃取目标数据、敲诈勒索、横向移动等。此时受控机器中可能已经有攻击者的上传的攻击利用工具，此阶段可以使用蜜罐等方式来发现。

6.9.2.2. 钻石（Diamond）模型

钻石模型由网络情报分析与威胁研究中心（The Center for Cyber Intelligence Anaysis and Threat Research，CCIATR）机构的Sergio Catagirone等人在2013年提出。

该模型把所有的安全事件（Event）分为四个核心元素，即敌手（Adversary），能力（Capability），基础设施（Infrastructure）和受害者（Victim），以菱形连线代表它们之间的关系，因而命名为“钻石模型”。

杀伤链模型的特点是可说明攻击线路和攻击的进程，而钻石模型的特点是可说明攻击者在单个事件中的攻击目的和所使用攻击手法。

在使用钻石模型分析时，通常使用支点分析的方式。支点（Pivoting）指提取一个元素，并利用该元素与数据源相结合以发现相关元素的分析技术。分析中可以随时变换支点，四个核心特征以及两个扩展特征（社会政治、技术）都可能成为当时的分析支点。

认证服务器向客户端发送访问令牌,渗透测试中包含的授权模式都要详细的审计和检测,如果对此有更多的想要了解,可以联系专业的网站安全公司来处理,国内做的比较大的推荐Sinesafe,绿盟,启**辰,深信服等等都是比较不错的渗透测试公司.

13280888826

词条
词条说明
网站存在漏洞导致用户信息被泄露
据SINE安全监测中心数据显示，中国智能手机制造商‘一加’,也叫OnePlus，被爆出用户订单信息被泄露，问题的根源是商城网站存在漏洞。国内网站安全公司通知一加手机商开始后，漏洞就开始暴露了，受影响的用户已经收到邮件通知，以及短信通知。根据一加手机商的对外发布的信息显示，就在上周，该公司发现了客户的未经授权访问订单信息漏洞，包括他们的名字以及联系号码，还有电子邮件和发货地址都被泄露。一加手机上周在
网站安全防护方案有哪些？
如今，在数字化发展的时代，网站安全防护不仅是各种*型网站应该关注的问题，也是许多中小型网站不可避免地会受到各种不安全因素的影响。据不完全统计，95%以上的网站受到黑客攻击，90%以上的网站存在严重的网站安全问题。虽然网络安全开发商越来越多，网站安全产品层出不穷，但在创图安全技术团队模拟黑客攻击反馈后，目前的产品无法从根本上保护网站安全。由于网站安全的复杂性和安全防护的复杂性，仅仅依靠单一的产品或
APP渗透测试与漏洞检测都包含哪些内容?
目前越来越多的APP遭受到黑客攻击，包括数据库被篡改，APP里的用户数据被泄露，手机号以及姓名，密码，资料都被盗取，很多平台的APP的银行卡，充值通道，聚合支付接口也都被黑客修改过，导致APP运营者经济损失太大，很多通过老客户的介绍找到我们SINE安全公司，寻求安全防护，防止攻击，根据我们SINESAFE近十年的网络安全从业来分析，大部分网站以及APP被攻击的原因都是网站代码存在漏洞以及服务器系统
Web渗透流程
一次偶然的机会，我有幸邀请了一家web来对自己的web系统进行安全。四周后，我与几位安全*进行了多次沟通，完成了威胁建模、渗透和白盒，发现了28个漏洞。经验是宝贵的，所以有必要总结一下。现在，随着企业信息化建设的发展，越来越多的重要数据将以电子媒体的形式存储，不仅方便了企业办公，而且造成了巨大的安全风险。近年来，随着APT随着攻击的蔓延，越来越多的企业遭受了不可挽回的重大损失。面对目的明确、装备