网站渗透测试中溯源技术与授权机制

时间：2020-03-15

在众多渗透测试中客户想要了解攻击溯源查找问题,我们Sine安全在日常网站安全检测过程中了解知道黑客是如何攻击和上传木马并进行篡改,以及如何查找日志分析攻击者是通过哪些脚本入口文件进行入侵的，那么本节由我们*的渗透测试主管技术来为大家讲解。

6.9.1.1. 基于日志的溯源

使用路由器、主机等设备记录网络传输的数据流中的关键信息（时间、源地址、目的地址），追踪时基于日志查询做反向追踪。这种方式的优点在于兼容性强、支持事后追溯、网络开销较小。但是同时该方法也受性能、空间和隐私保护等的限制，考虑到以上的因素，可以限制记录的数据特征和数据数量。另外可以使用流量镜像等技术来减小对网络性能的影响。

6.9.1.2. 路由输入调试技术

在攻击持续发送数据，且特性较为稳定的场景下，可以使用路由器的输入调试技术，在匹配到攻击流量时动态的向上追踪。这种方式在DDoS攻击追溯中比较有效，且网络开销较小。

6.9.1.3. 可控洪泛技术

追踪时向潜在的上游路由器进行洪泛攻击，如果发现收到的攻击流量变少则攻击流量会流经相应的路由。这种方式的优点在于不需要预先部署，对协同的需求比较少。但是这种方式本身是一种攻击，会对网络有所影响。

6.9.1.4. 基于包数据修改追溯技术

这种溯源方式直接对数据包进行修改，加入编码或者标记信息，在接收端对传输路径进行重构。这种方式人力投入较少，支持事后分析，但是对某些协议的支持性不太好。基于这种方式衍生出了随机标记技术，各路由以一定概率对数据包进行标识，接收端收集到多个包后进行重构。

6.9.2. 分析模型

6.9.2.1. 杀伤链（Kill Kain）模型

杀伤链这个概念源自军事领域，它是一个描述攻击环节的模型。一般杀伤链有认为侦查跟踪（Reconnaissance）、武器构建（Weaponization）、载荷投递（Delivery）、漏洞利用（Exploitation）、安装植入（Installation）、通信控制（Command&Control）、达成目标（Actions on Objective）等几个阶段。

在越早的杀伤链环节阻止攻击，防护效果就越好，因此杀伤链的概念也可以用来反制攻击。

在跟踪阶段，攻击者通常会采用扫描和搜索等方式来寻找可能的目标信息并评估攻击成本。在这个阶段可以通过日志分析、邮件分析等方式来发现，这阶段也可以采用威胁情报等方式来获取攻击信息。

武器构建阶段攻击者通常已经准备好了攻击工具，并进行尝试性的攻击，在这个阶段IDS中可能有攻击记录，外网应用、邮箱等帐号可能有密码爆破的记录。有一些攻击者会使用公开攻击工具，会带有一定的已知特征。

载荷投递阶段攻击者通常会采用网络漏洞、鱼叉、水坑、网络劫持、U盘等方式投送恶意代码。此阶段已经有人员在对应的途径收到了攻击载荷，对人员进行充分的安全培训可以做到一定程度的防御。

突防利用阶段攻击者会执行恶意代码来获取系统控制权限，此时木马程序已经执行，此阶段可以依靠杀毒软件、异常行为告警等方式来找到相应的攻击。

安装植入阶段攻击者通常会在web服务器上安装Webshell或植入后门、rootkit等来实现对服务器的持久化控制。可以通过对样本进行逆向工程来找到这些植入。

通信控制阶段攻击者已经实现了远程通信控制，木马会通过Web三方网站、DNS隧道、邮件等方式和控制服务器进行通信。此时可以通过对日志进行分析来找到木马的痕迹。

达成目标阶段时，攻击者开始完成自己的目的，可能是破坏系统正常运行、窃取目标数据、敲诈勒索、横向移动等。此时受控机器中可能已经有攻击者的上传的攻击利用工具，此阶段可以使用蜜罐等方式来发现。

6.9.2.2. 钻石（Diamond）模型

钻石模型由网络情报分析与威胁研究中心（The Center for Cyber Intelligence Anaysis and Threat Research，CCIATR）机构的Sergio Catagirone等人在2013年提出。

该模型把所有的安全事件（Event）分为四个核心元素，即敌手（Adversary），能力（Capability），基础设施（Infrastructure）和受害者（Victim），以菱形连线代表它们之间的关系，因而命名为“钻石模型”。

杀伤链模型的特点是可说明攻击线路和攻击的进程，而钻石模型的特点是可说明攻击者在单个事件中的攻击目的和所使用攻击手法。

在使用钻石模型分析时，通常使用支点分析的方式。支点（Pivoting）指提取一个元素，并利用该元素与数据源相结合以发现相关元素的分析技术。分析中可以随时变换支点，四个核心特征以及两个扩展特征（社会政治、技术）都可能成为当时的分析支点。

认证服务器向客户端发送访问令牌,渗透测试中包含的授权模式都要详细的审计和检测,如果对此有更多的想要了解,可以联系专业的网站安全公司来处理,国内做的比较大的推荐Sinesafe,绿盟,启**辰,深信服等等都是比较不错的渗透测试公司.

13280888826

词条
词条说明
代理合作
公司的安全服务项目包含服务器安全服务、网站安全服务、服务器代维服务、安全渗透测试服务。内容涉及服务器安全设置，底层系统的安全加固，深度CC攻击防御，服务器安全日志审查，网站漏洞测试，网站防劫持跳转，SQL防注入攻击，网站木马清理、网站程序代码安全审计，Windows 、Linux、服务器维护，服务器环境配置，LAMP环境配置，IIS、Nginx、Apache、JSP+Tomcat数据库集群、网站防
支付平台网站被黑客攻击后的安全防护与漏洞修复办法分享
2020春节即将来临,收到新聚合支付平台网站客户的求助电话给我们Sinesafe,反映支付订单状态被修改由原先未支付修改为已支付,导致商户那边直接发货给此订单会员了,商户和平台的损失较大，很多码商都不敢用此支付平台了，为了防止聚合支付系统继续被攻击，我们SINE安全大体情况了解后，立即安排从业十年的安全工程师，成立聚合、通道支付平台安全应急响应小组。分析并了解支付过程我们Sinesafe对整个*三
【网络安全公司】企业该通过哪些方式实现网络安全防护
那么企业该通过哪些方式实现网络安全防护？网络安全培训认为可以从两方面入手。首先从意识上做到转变，完善信息网络安全管理体系。信息网络安全是计算机网络技术能够真正发挥作用的前提，企业在开展网络安全防护工作时，应设置专业的网络管理人员，并对网络系统进行权限设计，严格控制数据的流入和流出。由专门的网络管理人员负责开展各项网络安全管理工作，包括系统权限设定、网络信息监管、网络安全防护技术的更新与升级、网络技
服务器被攻击如何查看异常进程以及网站木马检查
目前越来越多的服务器被入侵，以及攻击事件频频的发生，像数据被窃取，数据库被篡改，用户数据被脱裤，网站被强制跳转到恶意网站上，网站在百度的快照被劫持，等等的攻击症状层出不穷，当我们的服务器被攻击，被黑的时候我们**时间该怎么去处理解决呢?如何排查服务器被入侵攻击的痕迹呢?是否有应急处理方案，在不影响网站访问的情况下，很多客户出现以上攻击情况的时候，找到我们SINE安全来处理解决服务器被攻击问题，我们