网站渗透测试中的漏洞信息搜集介绍

　各种互联网项目，新手可操作，几乎都是0门槛1bF

快到十二月中旬了,很多渗透测试中的客户想要知道如何搜集这些漏洞信息和利用方式的检测,再次我们Sine安全的工程师给大家普及下如何发现漏洞以及如何去获取这些有用的信息来防护自身的网站项目平台安全，把网站安全风险降到最低,使平台更加安全稳定的运行下去。1bF

威胁情报(Threat Intelligence)一般指从安全数据中提炼的，与网络空间威胁相关的信息，包括威胁来源、攻击意图、攻击手法、攻击目标信息，以及可用于解决威胁或应对危害的知识。广义的威胁情报也包括情报的加工生产、分析应用及协同共享机制。相关的概念有资产、威胁、脆弱性等，具体定义如下。1bF

6.3.2. 相关概念1bF

资产(Asset):对组织具有价值的信息或资源1bF

威胁(Threat): 能够通过未授权访问、毁坏、揭露、数据修改和或拒绝服务对系统造成潜在危害的起因，威胁可由威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果等多种属性来刻画1bF

脆弱性 / 漏洞(Vulnerability): 可能被威胁如攻击者利用的资产或若干资产薄弱环节1bF

风险(Risk): 威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能1bF

安全事件(Event): 威胁利用资产的脆弱性后实际产生危害的情景1bF

6.3.3. 其他1bF

一般威胁情报需要包含威胁源、攻击目的、攻击对象、攻击手法、漏洞、攻击特征、防御措施等。威胁情报在事前可以起到预警的作用，在威胁发生时可以协助进行检测和响应，在事后可以用于分析和溯源。1bF

常见的网络威胁情报服务有黑客或欺诈团体分析、社会媒体和开源信息监控、定向漏洞研究、定制的人工分析、实时事件通知、凭据恢复、事故调查、伪造域名检测等。1bF

为了实现情报的同步和交换，各组织都制定了相应的标准和规范。主要有国标，美国联邦政府标准等。1bF

在威胁情报方面，比较有代表性的厂商有RSA、IBM、McAfee、赛门铁克、FireEye等。1bF

风险控制1bF

6.4.1. 常见风险1bF

会员1bF

撞库盗号1bF

账号分享1bF

批量注册1bF

视频1bF

盗播盗看1bF

广告屏蔽1bF

刷量作弊1bF

活动1bF

薅羊毛1bF

直播1bF

挂站人气1bF

恶意图文1bF

电商1bF

恶意下单1bF

订单欺诈1bF

支付1bF

洗钱1bF

恶意下单1bF

恶意提现1bF

其他1bF

钓鱼邮件1bF

恶意爆破1bF

短信轰炸1bF

安全加固1bF

6.5.1. 网络设备1bF

及时检查系统版本号1bF

敏感服务设置访问IP/MAC白名单1bF

开启权限分级控制1bF

关闭不必要的服务1bF

打开操作日志1bF

配置异常告警1bF

关闭ICMP回应1bF

6.5.2. 操作系统1bF

6.5.2.1. Linux1bF

无用用户/用户组检查1bF

敏感文件权限配置1bF

/etc/passwd1bF

/etc/shadow1bF

~/.ssh/1bF

/var/log/messages1bF

/var/log/secure1bF

/var/log/maillog1bF

/var/log/cron1bF

/var/log/spooler1bF

/var/log/boot.log1bF

日志是否打开1bF

及时安装补丁1bF

开机自启1bF

/etc/init.d1bF

检查系统时钟1bF

6.5.2.2. Windows1bF

异常进程监控1bF

异常启动项监控1bF

异常服务监控1bF

配置系统日志1bF

用户账户1bF

设置口令有效期1bF

设置口令强度限制1bF

设置口令重试次数1bF

安装EMET1bF

启用PowerShell日志1bF

限制以下敏感文件的下载和执行1bF

ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif1bF

限制会调起wscript的后缀1bF

bat, js, jse, vbe, vbs, wsf, wsh1bF

6.5.3. 应用1bF

6.5.3.1. FTP1bF

禁止匿名登录1bF

修改Banner1bF

6.5.3.2. SSH1bF

是否禁用ROOT登录1bF

是否禁用密码连接1bF

6.5.3.3. MySQL1bF

文件写权限设置1bF

用户授权表管理1bF

日志是否启用1bF

版本是否最新1bF

6.5.4. Web中间件1bF

6.5.4.1. Apache1bF

版本号隐藏1bF

版本是否最新1bF

禁用部分HTTP动词1bF

关闭Trace1bF

禁止 server-status1bF

上传文件大小限制1bF

目录权限设置1bF

是否允许路由重写1bF

是否允许列目录1bF

日志配置1bF

配置超时时间防DoS1bF

6.5.4.2. Nginx1bF

禁用部分HTTP动词1bF

禁用目录遍历1bF

检查重定向配置1bF

配置超时时间防DoS1bF

6.5.4.3. IIS1bF

版本是否最新1bF

日志配置1bF

用户口令配置1bF

ASP.NET功能配置1bF

配置超时时间防DoS1bF

6.5.4.4. JBoss1bF

jmx console配置1bF

web console配置1bF

6.5.4.5. Tomcat1bF

禁用部分HTTP动词1bF

禁止列目录1bF

禁止manager功能1bF

用户密码配置1bF

用户权限配置1bF

配置超时时间防DoS1bF

蜜罐技术1bF

6.6.1. 简介1bF

蜜罐是对攻击者的欺骗技术，用以监视、检测、分析和溯源攻击行为，其没有业务上的用途，所有流入/流出蜜罐的流量都预示着扫描或者攻击行为，因此可以比较好的聚焦于攻击流量。1bF

蜜罐可以实现对攻击者的主动诱捕，能够详细地记录攻击者攻击过程中的许多痕迹，可以收集到大量有价值的数据，如病毒或蠕虫的源码、黑客的操作等，从而便于提供丰富的溯源数据。1bF

但是蜜罐存在安全隐患，如果没有做好隔离，可能成为新的攻击源。1bF

6.6.2. 分类1bF

按用途分类，蜜罐可以分为研究型蜜罐和产品型蜜罐。研究型蜜罐一般是用于研究各类网络威胁，寻找应对的方式，不增加特定组织的安全性。产品型蜜罐主要是用于防护的商业产品。1bF

按交互方式分类，蜜罐可以分为低交互蜜罐和高交互蜜罐。低交互蜜罐模拟网络服务响应和攻击者交互，容易部署和控制攻击，但是模拟能力会相对较弱，对攻击的捕获能力不强。高交互蜜罐1bF

6.6.3. 隐藏技术1bF

蜜罐主要涉及到的是伪装技术，主要涉及到进程隐藏、服务伪装等技术。1bF

蜜罐之间的隐藏，要求蜜罐之间相互隐蔽。进程隐藏，蜜罐需要隐藏监控、信息收集等进程。伪服务和命令技术，需要对部分服务进行伪装，防止攻击者获取敏感信息或者入侵控制内核。数据文件伪装，需要生成合理的虚假数据的文件。1bF

6.6.4. 识别技术1bF

攻击者也会尝试对蜜罐进行识别。比较容易的识别的是低交互的蜜罐，尝试一些比较复杂且少见的操作能比较容易的识别低交互的蜜罐。相对困难的是高交互蜜罐的识别，因为高交互蜜罐通常以真实系统为基础来构建，和真实系统比较近似。对这种情况，通常会基于虚拟文件系统和注册表的信息、内存分配特征、硬件特征、特殊指令等来识别,如果对渗透测试有需求的朋友可以去问问专业的网站安全维护公司来预防新项目上线所产生的安全问题，国内做的比较好的公司推荐Sinesafe,绿盟,启明星辰等等都是比较不错的。1bF