网站建设
当前位置:主页 > 建站资讯 > 网站建设 >
网站渗透测试,日志溯源技术和密码授权机制分析
发布日期:2021-04-08 阅读次数: 字体大小:

在许多渗透测试中,客户希望了解攻击源并找到问题。Sine Security的我们了解黑客如何在日常的网站安全检查过程中攻击和上传特洛伊木马并对其进行篡改,以及如何找到攻击者使用哪些脚本条目文件的日志分析。 入侵,那么本节将由我们的高级渗透测试主管技术进行解释。
www.jianzhanlong.com。 基于日志的可追溯性
使用路由器,主机和其他设备在网络传输的数据流中记录关键信息(时间,源地址,目标地址),并在跟踪过程中基于日志查询进行回溯。 该方法的优点是兼容性强,支持追溯以及低网络开销。 但是同时,此方法还受到性能,空间和隐私保护的限制。 考虑到上述因素,可以限制记录的数据特征和数据量。 另外,可以使用流量镜像之类的技术来减少对网络性能的影响。
www.jianzhanlong.com。 路由输入调试技术
在攻击持续发送数据且特征相对稳定的情况下,路由器的输入调试技术可用于在攻击流量匹配时动态向上跟踪。 该方法在DDoS攻击溯源中更有效,并且网络开销很小。
www.jianzhanlong.com。 可控制的泛洪技术
在跟踪过程中对潜在的上游路由器进行泛洪攻击。 如果发现接收到的攻击流量减少,则攻击流量将流经相应的路由。 这种方法的优点是它不需要预先部署,并且对协作的需求更少。 但是这种方法本身就是攻击,会影响网络。
www.jianzhanlong.com。 基于包装数据的修改和追溯技术
这种可追溯性方法直接修改数据包,添加编码或标记信息,并在接收端重建传输路径。 此方法需要较少的人工输入,并且支持事后分析,但是它不能很好地支持某些协议。 基于此方法,推导了随机标记技术。 每条路由都以一定的概率标识数据包,接收端收集多个数据包并对其进行重构。www.jianzhanlong.com。 分析模型
www.jianzhanlong.com.1。Kill Kain模型
杀伤链的概念起源于军事领域。 它是描述攻击链接的模型。 一般的杀伤链包括侦察,武器化,交付,利用,安装,指挥与控制,对目标采取的行动等。分为几个阶段。
杀死链链接越早阻止攻击,保护效果就越好。 因此,杀伤链的概念也可以用来抵抗攻击。
在跟踪阶段,攻击者通常使用扫描和搜索方法来查找可能的目标信息并评估攻击的成本。 在此阶段,可以通过日志分析,电子邮件分析等发现它。在此阶段,还可以使用威胁情报和其他方法来获取攻击信息。
在武器制造阶段,攻击者通常准备好攻击工具并进行了初步攻击。 在此阶段,IDS中可能存在攻击记录,并且外部网络应用程序,邮箱和其他帐户中可能存在密码爆炸的记录。 一些攻击者将使用具有某些已知特征的公共攻击工具。
在有效载荷传递阶段,攻击者通常使用网络漏洞,矛,水坑,网络劫持,U盘等来传递恶意代码。 在此阶段,一些人员已经以相应的方式收到了攻击负荷,并且对人员进行足够的安全培训可以达到一定的防御水平。
在渗透阶段,攻击者将执行恶意代码以获得系统控制权限。 此时,特洛伊木马程序已执行。 在此阶段,可以通过防病毒软件和异常行为警告找到相应的攻击。
在安装和植入阶段,攻击者通常在Web服务器上安装Webshel
l或植入后门,rootkit等,以实现对服务器的持久控制。 这些植入物可以通过反向工程样本找到。在通信控制阶段,攻击者已实现了远程通信控制。 该木马将通过第三方网站,DNS隧道和邮件与控制服务器进行通信。 此时,可以通过分析日志找到特洛伊木马的痕迹。
达到目标阶段后,攻击者开始实现自己的目标,这可能是破坏系统的正常运行,窃取目标数据,勒索,横向移动等。这时,受控机器可能 已有攻击者上传的攻击工具。 在此阶段,可以使用蜜罐和其他方法来发现它。
www.jianzhanlong.com.2。 钻石模型
钻石模型由网络情报分析与威胁研究中心(CCIATR)的塞尔吉奥·卡塔吉罗内(Sergio Catagirone)和其他人于2013年提出。
该模型将所有安全事件(Event)划分为四个核心元素,即对手,能力,基础设施和受害者,并用菱形连接表示它们。 两者之间的关系,因此命名为“钻石模型”。
杀死链模型的特征是解释攻击路线和攻击进度,而菱形模型的特征是解释单个事件中攻击者的目的和攻击方法。
当使用菱形模型分析时,通常使用枢轴点分析。 透视是指一种提取元素并将其与数据源组合以发现相关元素的分析技术。 可以在分析中的任何时间更改支点。 四个核心特征和两个扩展特征(社会政治,技术)可能在当时都成为分析的支点。
www.jianzhanlong.com。 关联分析方法
关联分析用于组合多个不同的攻击样本。
www.jianzhanlong.com.1。 文档类
哈希
ssdeep
版本信息(公司/作者/最后修改的作者/创建时间/最后修改时间)www.jianzhanlong.com.2。 行为分析
基于网络行为
相似的交互模式
www.jianzhanlong.com.3。 可执行文件相似性分析
特殊端口
特殊字符串/密钥
PDB文件路径
相似文件夹
代码重用
相似代码段
www.jianzhanlong.com。 清除日志方法
kill将不存储
set + o history不写入历史记录Record
unset HISTFILE清除历史记录
OAuth
www.jianzhanlong.com的环境变量。 简介
OAuth是用于授权的开放网络标准,已在全世界范围内广泛使用。 当前版本是www.jianzhanlong.com版。
OAuth在客户端和服务器之间建立了一个授权层。 客户端不能直接登录服务器,而只能登录授权层来区分用户和客户端。 客户端用于登录授权层的令牌与用户密码不同。 用户可以在登录时指定授权层令牌的范围和有效期。
客户端登录授权层后,服务器根据客户端的权限范围和有效期向客户端打开用户存储的数据。 令牌。
OAuth www.jianzhanlong.com定义了四种授权方法:授权码模式(授权码),简化模式(隐式),密码模式(资源所有者密码凭据)和客户端模式(客户端凭据)。
www.jianzhanlong.com。 流程
用户打开客户端后,客户端要求用户授权
用户同意对客户端进行授权
客户端使用在上一步中获得的授权从身份验证服务器申请令牌
身份验证服务器对客户端进行身份验证后,它将确认它是正确的并同意颁发令牌。
客户端使用令牌并向资源服务器申请资源
资源服务器确认令牌正确,并同意向客户端打开资源www.jianzhanlong.com。 授权码模式
授权码模式(授权码)是功能最齐全,流程最严格的授权模式。 它的特征是通过客户端的后端服务器与服务器的身份验证服务器进行交互。
过程为:
用户访问客户端,后者将前者引导到身份验证服务器
用户选择是否授权客户端
假设用户已被授权,则身份验证服务器将指示 用户到具有授权码
的预先指定的客户端“重定向URI”(重定向URI)的客户端。客户端接收授权码,附加先前的“重定向URI”,并从身份验证服务器申请令牌
身份验证服务器已检查授权确认它们正确无误后,将访问令牌和刷新令牌发送给客户端。
在步骤A中,客户端申请认证的URI包括以下参数:
response_type:表示授权类型,必填,此处的值固定为code
client_id:表示ID 客户端的必需选项
redirect_uri:指示重定向URI,可选
范围:指示应用权限的范围,选项
state:指示客户端的当前状态,需要动态 为防止服务器在CSRF
C步骤中对客户端的URI做出响应而指定的参数,包括以下参数:
code:表示授权码,必填。 该代码的有效期应该非常短,并且客户端只能使用一次该代码,否则它将被授权服务器拒绝。 此代码与客户端ID和重定向URI一一对应。
状态:如果客户端的请求中包含此参数,则认证服务器以与请求相同的参数进行响应。
在步骤D中,客户端向身份验证服务器申请令牌的HTTP请求包括以下参数:
grant_type:表示使用的授权方式,为必填项,此处的值固定为authorization_code代码:表示在上一步中获得的授权码,强制选项
redirect_uri:指示重定向URI,强制选项,并且必须与步骤A中的参数值一致。
client_id:指示客户端ID
E在此步骤中,认证服务器发送的HTTP回复包含以下参数:
access_token:指示访问令牌,强制选项
token_type:指示令牌类型,该值不区分大小写,并且 强制性选项,可以是承载类型或mac类型
expires_in:表示有效时间,以秒为单位。 如果省略此参数,则必须以其他方式设置到期时间。
refresh_token:指示刷新令牌,用于获取下一个访问令牌,可选
scope:指示授权范围,如果它与客户端应用程序的范围一致,则可以省略
www.jianzhanlong.com。 简化模式
简化模式(隐式授予类型)不会通过第三方应用程序的服务器,而是直接从浏览器中的身份验证服务器申请令牌,从而跳过了授权代码这一步,因此没有名称。 所有步骤都在浏览器中完成,令牌对访问者可见,并且不需要对客户端进行身份验证。
步骤为:
客户端将用户定向到身份验证服务器
用户决定是否授权客户端
假设用户已被授权,则身份验证服务器将用户定向到重定向URIURI的Hash部分包含访问令牌
。浏览器向资源服务器发送请求,该请求不包括在上一步中接收到的Hash值。
资源服务器返回一个网页,该网页包含用于获取哈希值的代码。 令牌
浏览器执行上一步中获得的脚本并提取令牌
浏览器将令牌发送给客户端
在步骤A中,客户端发送的HTTP请求包含以下参数:
response_type:授权类型,此处的值固定为token,必选client_id:指示客户端的ID,必选选项
redirect_uri:指示重定向的URI,可选
scope:指示权限范围,可选
state:指示客户端的当前状态,需要 动态指定以防止CSRF
在步骤C中,认证服务器响应客户端的URI,包括以下参数:
access_token:指示访问令牌,必需选项
token_type:指示令牌 类型,该值不区分大小写,是必需的选项
expires_in:指示到期时间,以秒为单位。 如果省略此参数,则必须以其他方式设置到期时间。
scope:指示权限范围。 如果它与客户应用的范围一致,则可以省略此项目。
状态:如果客户端的请求中包含此参数,则认证服务器将响应与该请求相同的参数。
在上述示例中,认证服务器使用HTTP标头信息的Location列来指定URL。 浏览器重定向。 请注意,此URL的哈希部分包含令牌。
根据上面的步骤D,浏览器将在下一步中访问位置所指定的URL,但不会发送哈希部分。 在下一步E中,服务提供商的资源服务器发送的代码将提取哈希中的令牌。
www.jianzhanlong.com。 密码模式
在密码模式(资源所有者密码凭据授予)中,用户将其用户名和密码提供给客户端。 客户端使用此信息来请求“服务提供商”的授权。
在这种模式下,用户必须将其密码提供给客户端,但客户端不得存储密码。
步骤如下:
用户向客户端提供用户名和密码。
客户端将用户名和密码发送到身份验证服务器,然后从后者请求令牌。
身份验证服务器确认正确无误后,客户端将提供访问令牌
在步骤B中,客户端发送的HTTP请求包含以下参数:grant_type:授权类型,此处的值固定为密码,必选项
username:用户名,必选项
password:用户密码,必选项
scope:表示范围 权限
www.jianzhanlong.com。 客户端模式
客户端证书授予是指客户端以其自己的名称(而不是以用户名)向服务器进行身份验证。
步骤如下:
客户端通过身份验证服务器进行身份验证并需要访问令牌
身份验证服务器确认其正确后,它将为客户端提供访问令牌
A,客户端发送的HTTP请求包含以下参数:
granttype:表示授权类型,此处的值固定为clientcredentials,必填选项
scope:表示授权范围,可选
B步骤 ,向客户端的身份验证服务器必须对渗透测试中包括的授权模式进行详细的审核和测试。 如果您想了解更多信息,可以联系专业的网站安全公司进行处理。 国内比较大的公司推荐Sinesafe。,NSFOCUS,Venus Star,Sangfor等都是相对不错的渗透测试公司。

标签: