帥末 的所有回復(675)
排序:
排序:
評論于 2年前,獲得 0 個贊
評論于 1年前,獲得 0 個贊
Metasploit是一款開源的安全漏洞檢測工具,可以幫助安全和IT專業人士識別安全性問題,使用msf進行漏洞掃描流程如下:
獲取目標主機
首先使用netcat來獲取目標主機的旗幟(旗幟獲取指的是連接到一個遠程服務并讀取特征標識);
安裝nessus
通過網絡將Nessus的deb文件下載到kali中并啟動;
將nessus導入msf框架
進入msf終端使用”db_connect“創建一個新的數據庫,然后使用”db_import“,導入;
加載nessus插件
使用load nessus加載nessus插件;
開始掃描
使用msf的nessus插件進行掃描,必須使用nessus_connenct命令登陸。
評論于 1年前,獲得 0 個贊
針對蠕蟲病毒的掃描方法有:
選擇性隨機掃描(selective random scan)
蠕蟲在對目標主機進行掃描時,如果遍歷所有的主機在Internet環境中幾乎是不現實的,最可行的方式是有選擇性地進行掃描。如果采取隨機掃描方式,會對整個地址空間的IP隨機抽取進行掃描,而選擇性隨機掃描將最有可能存在漏洞主機的地址集作為掃描的地址空間。選擇性隨機掃描也是隨機掃描方式的一種。在選擇性隨機掃描中,所選的目標地址按照一定的算法隨機生成,如互聯網地址空間中未分配或者保留的IP地址塊可排除在掃描范圍之外。選擇性隨機掃描具有算法簡單、易實現的特點,如果與本地優先原則結合,則能達到更好的傳播效果。但選擇性隨機掃描容易引起網絡阻塞,使得網絡蠕蟲在爆發之前易被發現,隱蔽性差。
順序掃描(sequential scan)
順序掃描是指被感染主機上蠕蟲會隨機選擇一個C類網絡地址進行傳播。根據本地優先原則,蠕蟲一般會選擇它所在網絡內的IP地址段。如果蠕蟲掃描的目標主機IP地址的主機ID為n,則掃描的下一個地址IP為n+1或者n-1。
目標地址列表掃描(hit-list scan)
目標地址列表掃描是指網絡蠕蟲在尋找受感染的目標之前預先生成一份可能易傳染的目標列表,然后對該列表進行攻擊嘗試和傳播。目標列表生成方法有兩種:一種是通過小規模的掃描或Internet的共享信息產生目標列表;另一種是通過分布式掃描生成全面的列表數據庫。
基于路由的掃描(routable scan)
基于路由的掃描是網絡蠕蟲根據網絡中的路由信息,對IP地址空間進行選擇性掃描的一種方法。采用隨機掃描的網絡蠕蟲會對未分配的地址空間進行探測,而這些地址大部分在Internet上是無法路由的(保留的私有IP地址),因此會影響到蠕蟲的傳播速度。如果網絡蠕蟲能夠知道哪些IP地址是可路由的,它就能夠更快、更有效地進行傳播,并能逃避一些對抗工具的檢測。基于路由的掃描極大地提高了蠕蟲的傳播速度,以CodeRed(紅色代碼)為例,路由掃描蠕蟲的感染率是隨機掃描蠕蟲感染率的3.5倍。基于路由掃描的不足是網絡蠕蟲傳播時必須攜帶一個路由IP地址庫,蠕蟲代碼量大。
基于DNS掃描(DNS scan)
基于DNS掃描是指網絡蠕蟲從DNS服務器上獲取IP地址來建立目標地址庫。由于該方式中被掃描的對象是為Internet提供實時域名解析服務的DNS服務器,所以該掃描方式的優點是獲得的IP地址塊具有針對性,且可用性強。基于DNS掃描的不足是較難得到DNS記錄的完整地址列表,而且蠕蟲代碼需要攜帶較大的地址庫,傳播速度慢,同時目標地址列表中的地址數受公共域名主機的限制。
分治掃描(divide-conquer scan)
分治掃描是網絡蠕蟲之間相互協作、快速搜索易感染主機的一種方式。網絡蠕蟲發送地址庫的一部分給每臺被感染的主機,然后每臺主機再去掃描它所獲得的地址。主機A感染了主機B以后,主機A將它自身攜帶的地址分出一部分給主機B,然后主機B開始掃描這一部分地址。分治掃描方式的不足是存在“壞點”問題,即在蠕蟲傳播的過程中,如果一臺主機死機或崩潰,那么所有傳給它的地址庫就會丟失。“壞點”問題發生得越早,影響就越大。常用的解決“壞點”問題的方法有3種:在蠕蟲傳遞地址庫之前產生目標列表;通過計數器來控制蠕蟲的傳播情況,蠕蟲每感染一個節點,計數器加1,然后根據計數器的值來分配任務;蠕蟲傳播的時候隨機決定是否重傳數據庫。
被動式掃描(passive scan)
被動式傳播蠕蟲不需要主動掃描就能夠傳播。這類蠕蟲會等待潛在的攻擊對象來主動接觸它們,或者依賴用戶的活動去發現新的攻擊目標。由于這類蠕蟲需要用戶觸發,所以傳播速度很慢,但這類蠕蟲在發現目標的過程中并不會引起通信異常。這類蠕蟲自身有更強的安全性。例如,CRClean會等待CodeRedII的探測活動,當它探測到一個感染企圖時,就發起一個反攻來回應該感染企圖,如果反攻成功,它就刪除CodeRedII,并將自己安裝到相應的機器上。
評論于 11個月前,獲得 0 個贊
擬態防御技術有以下應用:
擬態路由器:擬態路由器在其架構中引入多個異構冗余的路由執行體,通過對各個執行體維護的路由表項進行共識裁決生成擬態路由器的路由表;通過對執行體的策略調度可以實現擬態路由器對外呈現特征的不確定變化。在滿足一定差異化設計的前提下,不同執行體存在完全相同的漏洞或后門的概率極低,攻擊者即使控制了部分執行體,其惡意行為也很容易被擬態裁決機制所阻斷,從而極大地提高路由器應對網絡攻擊的能力。
擬態域名服務器:擬態域名服務器以遏制域名解析服務漏洞后門的可利用性、建立內生安全防御機制、大幅提高攻擊者的攻擊難度和代價為出發點,可以在不改變現有域名協議和地址解析設施的基礎上,通過擬態防御設備的增量部署,有效防御針對域名系統的域名投毒、域名劫持攻擊等各種已知和未知域名攻擊,能夠提供安全可靠的域名解析服務。
擬態Web虛擬機:擬態Web虛擬機利用云平臺部署空間上的優勢,構建功能等價、多樣化、動態化的異構虛擬Web服務器池,采用動態執行體調度、數據庫指令異構化、多余度(共識)表決等技術,建立多維動態變換的運行空間,阻斷攻擊鏈,大幅增加傳統Web服務和虛擬環境中的漏洞及后門利用難度,在不影響Web服務性能的前提下,保證服務功能的安全可信。
擬態云服務器:擬態化的云服務器通過構建功能等價的異構云服務器池的方法,采用動態執行體調度、多余度(共識)表決、異常發現、線上(下)清洗等技術,及時阻斷基于執行體軟硬件漏洞后門等的“差模”攻擊,使得蓄意攻擊難以奏效。
擬態防火墻:針對防火墻產品在Web管理層面、數據流處理層面可能存在的漏洞后門,運用擬態防御技術,以動態異構冗余架構(DHR)為指導,對傳統防火墻架構進行改造后,可以在管理、數據層面增加網絡攻擊者的攻擊難度,有效防御“安檢準入”中的內鬼侵擾,提供切實可信的準入控制保障。
評論于 1年前,獲得 0 個贊
互聯網安全架構設計原則包括:
縱深防御
整個企業的安全架構是由多層次的安全域和對應的安全機制構成的,要保護關鍵數據, 需要層層設防,層層包圍,這樣就不太可能被攻擊者得手一點就全部失守。
多維防御
對同一種攻擊有多種維度的防御和檢測手段,逃過一層還有額外機制。
降維防御
降維防御是針對降維攻擊而言的,大意是在攻擊者不可達、不可控、無感知的更底層進行檢測和攔截。
實時入侵檢測
實時入侵檢測偏重的是事中進行時的檢測能力而不是事后的指標。
伸縮性、可水平擴展
針對互聯網的業務架構本身追求水平擴展,所以對應的安全解決方案也應支持。
支持分布式IDC
需要支持去中心化,多級部署,解決 一系列的失效、冗余和可用性問題。
支持自動化運維
數量一多,不能自動化運維就不具有實際可操作性、可維護性。
低性能損耗
安全解決方案理論上有很多種可能。從架構設計的角度講,可以hook內核,可以hook庫函數,可以hook運行時容器,可以埋很多點,做很多的檢測和限制,或者安全工程師可以要求從用戶瀏覽器到反向代理到應用,到的連接全部走SSL/TLS加密。但實際上,純安全設計角度可行的方案,在現實中未必可行,安全帶來的性能損耗一大,業務方就不能接受,最后只能成為理論上可行但實際上不可操作、不可落地的紙上談兵。
能旁路則不串聯
“分光”、“旁路”是互聯網偏愛的一種方式,究其原因是不想對業務邏輯改動,串聯型安全措施最有可能產生的問題一是業務響應的延遲,這種延遲沒法通過堆疊擴展更多的服務器來解決。二是誤殺,阻斷了正常用戶的請求。三是對業務邏輯的影響,因為是串聯,業務改動都要受制于這個安全設備,有時候牽一發動全身。
業務無感知
所謂業務無感知就是安全方案的落地盡可能地對業務側:不斷網、不改變拓撲、不改變業務邏輯、無性能損耗。無縫集成有時也是這個意思。
去“信息孤島”
信息不能封閉在一個程序或設備中,必須可聯動,可關聯。IOC的信息必須在企業內部做到兼容、共享和流通,這也是多維和縱深防御的一個前提。
TCO可控
TCO過高的安全方案就像吸毒,一開始沒感覺,隨著IDC規模的擴大會慢慢無法承受,此時再轉型就比較被動。而商業產品很多功能其實都是多余的,實際環境簡陋的東西往往很有效,這就是自研的必然性。
評論于 1年前,獲得 0 個贊
針對數據資產的竊取及濫用風險主要集中在以下幾點:
數據存儲介質風險
數據庫做為數據的存儲介質,由于其自身的復雜性,不但自身會有安全漏洞,而且在安全維護和配置過程中常常也會因各種因素造成安全漏洞,從而使敏感數據面臨風險。
互聯網滲透風險
無論任何組織,只要使用了信息化系統,就或多或少的與互聯網發生了聯系,一旦觸網就會給攻擊者以可乘之機,例如利用SQL注入等滲透技術對存儲在數據庫中的數據進行竊取、拷貝、篡改、破壞等行為。
外包及第三方人員權限過大風險
組織內部龐大的信息化系統,無論是開發和運維需求,信息部門往往都無法滿足全部需求,所以IT外包變得越來越普遍,這也給組織的核心數據資產造成了泄露風險。
合法人員的非授權訪問風險
在組織內部,一些合法的高權限賬號,例如數據庫的DBA賬號也會存在違規操作,甚至惡意操作、數據竊取的安全隱患,例如非授權訪問敏感數據、非合法地點訪問數據庫、運維誤操作、高危指令等。
開發、測試系統生產數據泄露風險
開發、測試環境使用未經脫敏的敏感數據,一方面由于開發測試環境的安全性,另一方面由于開發測試人員的復雜性,也會導致敏感數據面臨泄露風險。
安全取證困難
一旦發生數據安全事件,不但要求記錄完整的數據惡意操作行為,還要能夠追蹤到操作的應用、賬戶、時間、地點等,最終追蹤到責任人,為安全事件的定責、追責提供可靠的依據。
評論于 8個月前,獲得 0 個贊
針對放大攻擊的預防措施有以下這些:
禁用monlist:減少支持monlist命令的NTP服務器的數量:修補monlist漏洞的一種簡單解決方案是禁用該命令。默認情況下,4.2.7之前的所有版本的NTP軟件都容易受到攻擊。通過將NTP服務器升級到4.2.7或更高版本,該命令被禁用,從而修補了該漏洞。如果無法升級,則遵循US-CERT的說明將允許服務器的管理員進行必要的更改。
配置高防IP:隱藏源站IP阻止欺騙性數據包占用資源,攻擊者的僵尸網絡發送的UDP請求必須具有欺騙到受害者IP地址的源IP地址,因此降低基于UDP的放大攻擊的有效性的關鍵因素是Internet服務提供商(ISP)拒絕任何內部流量欺騙的IP地址。因此我可以采用高防IP來作為前置IP達到抵御NTP放大攻擊。DDoS高防IP是針對互聯網服務器在遭受大流量DDoS攻擊后導致服務不可用的情況下,推出的付費增值服務,通過配置高防IP將攻擊流量引到高防IP達到隱藏源站IP保護源站安全穩定,提升用戶體驗和對內容提供商的黏度。
針對地理位置的源ip進行阻斷:針對業務用戶的地理位置特性,在遇到UDP反射攻擊時,優先從用戶量最少地理位置的源IP進行封禁阻斷,直到將異常地理位置的源IP請求全部封禁,使流量降至服務器可處理的范圍之內,可有效減輕干擾流量;
配置Web應用程序防火墻(WAF)過濾海量攻擊:Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略的一款產品。基于云安全大數據能力,用于防御SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊,并過濾海量惡意CC攻擊,避免您的網站資產數據泄露,保障網站業務的安全與可用性。
評論于 2年前,獲得 0 個贊
一個典型的木馬一般具有以下4個基本特征。
有效性:在整個網絡入侵過程中,木馬經常是整個過程中一個重要的環節和組成部分。木馬運行在目標主機上就必須能夠實現入侵者的某些企圖,因此有效性就是指入侵的木馬能夠與其控制端(入侵者)建立某種有效聯系,從而能夠充分控制目標主機并竊取其中的敏感信息。因此有效性是木馬病毒的一個最重要特點。入侵木馬對目標主機的監控和信息采集能力也是衡量其有效性的一個重要內容。
隱蔽性:木馬必須有能力長期潛伏于目標主機中而不被發現。一個隱蔽性差的木馬往往容易暴露自己,進而被殺毒(或木馬專殺)軟件甚至用戶手工檢查出來,失去了木馬存在的價值。因此,一個木馬的隱蔽性越好,其生命周期就越長。
頑固性:當木馬被檢查出來(失去隱蔽性)之后,為繼續確保其入侵的有效性,木馬往往還具有另一個重要特性——頑固性。木馬的頑固性是指有效清除木馬的難易程度。如果一個木馬在檢查出來之后,仍然無法將其一次性有效清除,那么該木馬就具有較強的頑固性。
易植入性:一個木馬要能夠發揮其作用,其先決條件是能夠進入目標主機(植入操作)。因此,易植入性就成為木馬有效性的首要條件。欺騙是自木馬誕生起最常見的植入手段,所以一些使用廣泛的工具軟件就成為木馬經常選擇的隱藏處。利用系統漏洞進行木馬植入也是木馬入侵的一種重要途徑。目前,木馬技術與蠕蟲技術的結合使得木馬具有類似蠕蟲的傳播性,這也就極大提高了木馬的易植入性。
評論于 1年前,獲得 0 個贊
防火墻(Firewall),是一種硬件設備或軟件系統,主要架設在內部網絡和外部網絡間,為了防止外界惡意程式對內部系統的破壞,或者阻止內部重要信息向外流出,有雙向監督功能。防火墻阻止以下網絡數據包:
來自未授權的源地址且目的地址為防火墻地址的所有入站數據包。
源地址是內部網絡地址的所有入站數據包。
包含ICMP請求的所有入站數據包。
評論于 11個月前,獲得 0 個贊
網絡運維審計存在以下安全問題:
共享賬號帶來的安全隱患:由于系統管理需要或方便運維人員使用,IT系統管理過程中,多人共用一個系統賬號的情況普遍存在,這在帶來管理便利性的同時,也為操作者帶來無法預知的危險。一旦發生安全事件,就無法準確定位惡意操作或誤操作的具體負責人。
難以進行細粒度訪問授權:訪問授權系統一般以網絡層訪問控制及主機層賬戶控制為主。由于操作系統自身功能閑置,主流的操作系統、數據庫均無法做到指令級授權控制。第三方運維人員往往因為一個簡單的維護需求而分配到一個超級用戶權限,從而帶來一系列安全隱患。
設備密碼安全策略難以有效執行:在企業內部IT管理規范中,為保證密碼的安全性,企業均會制定比較嚴格的密碼管理策略,如定期修改密碼,密碼要有足夠強度等。但在實際情況中,由于需管理的機器和賬號數量太多,定期修改復雜密碼難度較大,因此管理員往往難以做到定期修改,且均會使用有一定規律的密碼。
缺乏對運維過程的監督審計能力:隨著安全需求的提升,加密SSH、HTTPS、圖形化操作已逐步代替傳統類似Telnet的明文訪問協議,傳統安全審計產品只能處理明文訪問協議,對于加密盒圖形的訪問協議無法進行內容識別,因而監督、審計功能也無法實現。
數據安全:運維用戶基于開放的互聯網訪問應用系統,由于加密算法強度、密鑰失竊等問題,可能會造成配置數據被攻擊者破解或篡改,別有用心的運維人員甚至可能會通過截圖等方式竊取核心IT資產的關鍵配置信息等問題。數據安全治理以“數據安全使用”為愿景,覆蓋安全防護、敏感信息管理、合規三大目標。通過對數據的分級分類、使用狀況梳理、訪問控制以及定期稽核,實現數據的使用安全。
評論于 1年前,獲得 0 個贊
企業防火墻最需要防護的就是內部的計算機和內部網絡,從廣義上講,防火墻保護的是企業內部網絡信息的安全,從狹義上講,防火墻保護的是企業內部網絡中各個電腦的安全,防止計算機受到來自企業外部非安全網絡中的所有惡意訪問或攻擊行為。其實,對內外網之間通過防火墻的的不當訪問行為,防火墻都是非常敏感的所以防火墻尤其是企業防火墻防護能力較強。
以下是防火墻的主要功能:
過濾不安全的服務和非法用戶:所有進出內部網絡的信息都是必須通過防火墻,防火墻成為一個檢查點,禁止未授權的用戶訪問受保護的網絡。
控制對特殊站點的訪問:防火墻可以允許受保護網絡中的一部分主機被外部網訪問,而另一部分則被保護起來。
作為網絡安全的集中監視點:防火墻可以記錄所有通過它的訪問,并提供統計數據,提供預警和審計功能。
評論于 1年前,獲得 0 個贊
防火墻常見的安全認證方式有以下這些:
本地認證:訪問者通過Portal認證頁面將標識其身份的用戶名和密碼發送給FW,FW上存儲了密碼,驗證過程在FW上進行,該方式稱為本地認證。
服務器認證:訪問者通過Portal認證頁面將標識其身份的用戶名和密碼發送給FW,FW上沒有存儲密碼,FW將用戶名和密碼發送至第三方認證服務器,驗證過程在認證服務器上進行,該方式稱為服務器認證。
短信認證:訪問者通過Portal認證頁面獲取短信驗證碼,然后輸入短信驗證碼即通過認證。FW通過校驗短信驗證碼認證訪問者。
單點認證:企業已經部署了AD(Active Directory)身份驗證機制,AD服務器上存儲了用戶/組和密碼等信息。管理員可以將AD服務器上的組織結構和賬號信息導入到FW。對于AD服務器上新創建的用戶信息,還可以按照一定的時間間隔定時導入。以便后續管理員可以在FW上通過策略來控制不同用戶/組對網絡的訪問行為。
評論于 1年前,獲得 0 個贊
涉密計算機按照涉密程度分為絕密級、機密級、秘密級,實行分級保護。
絕密級計算機:包含或存儲最重要的國家秘密,泄露會使國家安全和利益遭受特別嚴重的損害的相關計算機將其定為絕密計算機。
機密級計算機:包含或存儲重要的國家秘密,泄露會使國家安全和利益遭受嚴重的損害的相關計算機將其定為機密計算機。
秘密級計算機:包含或存儲一般的國家秘密,泄露會使國家安全和利益遭受損害的相關計算機將其定為秘密計算機。
分級保護各級別測評頻率:
秘密級、機密級信息系統:應每兩年至少進行一次安全保密測評或保密檢查;
絕密級信息系統:應每年至少進行一次安全保密測評或保密檢查。
分級保護測評機構資質由國家保密工作部門授予。分級保護與等級保護對應關系:秘密級對應三級、機密級對應四級、絕密級對應五級。
分級保護是由國家保密局發起的,推廣帶有強制性的。
分級保護的主管部門:
國家保密局及地方各級保密局:監督,檢查,指導
中央和國家機關(本部門):主管和指導
建設使用單位:具體實施
評論于 1年前,獲得 0 個贊
GB17859《計算機信息系統安全保護等級劃分準則》等級劃分為等級保護奠定了基礎。該標準對計算機信息系統的安全保護能力劃分了五個等級,并明確了各個保護級別的技術保護措施要求。
信息系統按照安全保護能力劃分為五個等級:
第一級 自主保護級:(無需備案,對測評周期無要求)此類信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成一般損害,不損害國家安全、社會秩序和公共利益。
第一級信息系統:一般適用于小型私營、個體企業、中小學,鄉鎮所屬信息系統、縣級單位中一般的信息統。
第二級 指導保護級:(公安部門備案,建議兩年測評一次)此類信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成嚴重損害。會對社會秩序、公共利益造成一般損害,不損害國家安全。
第二級信息系統:一般適用于縣級其些單位中的重要信息系統;地市級以上國家機關、企事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。
第三級 監督保護級:(公安部門備案,要求每年測評一次)此類信息系統受到破壞后,會對國家安全、社會秩序造成損害,對公共利益造成嚴重損害,對公民、法人和其他組織的合法權益造成特別嚴重的損害。
第三級信息系統:一般適用于地市級以上國家機關、企業、事業單位內部重要的信息系統,例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統;跨省或全國聯網運行的用于生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統;中央各部委、省(區、市)門戶網站和重要網站;跨省連接的網絡系統等。
第四級 強制保護級:(公安部門備案,要求半年一次)此類信息系統受到破壞后,會對國家安全造成嚴重損害,對社會秩序、公共利益造成特別嚴重損害。
第四級信息系統:一般適用于國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要、部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。
第五級 專控保護級:(公安部門備案,依據特殊安全需求進行)此類信息系統受到破壞后會對國家安全造成特別嚴重損害。
第五級信息系統:一般適用于國家重要領域、重要部門中的極端重要系統。
評論于 1年前,獲得 0 個贊
UIWebView加載外部地址的時候遵循了“同源”策略,而加載本地網頁的時候卻繞夠了“同源”策略,導致可以訪問系統任意路徑。這就是UIWebView中存在的UXSS漏洞,攻擊成功后,攻擊者可能得到包括但不限于更高的權限。XSS攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使用戶加載并執行攻擊者惡意制造的網頁程序。
修復方案如下:
禁用從外部打開HTML文件;(切斷攻擊入口)
針對本地HTML文件中腳本做一些權限限制;(初步防范措施)
新增一個NSURLProtocol, 專門用來處理本地網頁的加載,根據同源策略來安全地加載本地文件。(徹底的解決方案)
