linux入侵后檢測以下日志文件:
內核及系統日志:這種日志數據由系統服務rsyslog統一管理,根據其主配置文件/etc/rsyslog.conf中的設置決定將內核消息及各種系統程序消息記錄到什么位置。系統中有相當一部分程序會把日志文件交由rsyslog管理,因而這些程序使用的日志記錄也具有相似的格式。
用戶日志:這種日志數據用于記錄Linux操作系統用戶登錄及退出系統的相關信息,包括用戶名、登錄的終端、登錄時間、來源主機、正在使用的進程操作等。
程序日志:有些應用程序會選擇由自己獨立管理一份日志文件,用于記錄本程序運行過程中的各種事件信息,而不是交給rsyslog服務管理。由于這些程序只負責管理自己的日志文件,因此不同程序所使用的日志記錄格式可能會存在較大的差異。
OSSTMM 將安全測試劃分為以下六類:
盲測(blind):事先不了解目標系統的任何情況的測試就是盲測。然而,在評估過程開始之前,被測單位會知道何時開始安全測試。道德黑客(Ethical hacking)和對抗競賽(War Gaming)就是典型的盲測。因為盲測遵循了道德規范,事先通知被測單位,所以這種測試方法也被廣泛接受。
雙盲測試(double blind):在雙盲測試中,審計人員事先不清楚目標系統的情況,被測單位事先也不會知道將有安全測試。黑盒審計和滲透測試都屬于雙盲測試。當前絕大多數的安全審計采用雙盲測試方法。對于審計人員來說,選擇能夠勝任的最佳工具和最佳技術已經是一種考驗了。
灰盒測試(grey box):在灰盒測試中,審計師僅了解被測系統有限的情況,被測單位也會知道審計開始和結束的時間。脆弱性評估就屬于灰盒測試。
雙灰盒測試(double grey box):雙灰盒測試工作的方式類似于灰盒測試。只不過在雙灰盒測試中,會給審計人員定義一個時限,而且這種測試不涉及信道測試和滲透矢量。白盒審計就屬于雙灰盒測試。
串聯測試(tandem):在串聯測試中,審計人員對目標系統只有最低限度的了解,而在測試開始前他們會通告被測單位。需要注意的是,串聯測試會測試得比較徹底。水晶盒測試和內部審計都是串聯測試的例子。
逆向測試(reversal):在逆向測試中,審計員充分了解目標系統;而被測單位將永遠不會知道測試的時間或方式。
物聯網安全的核心密碼技術解決了以下這些問題:
低功耗、低成本的安全RFID標簽:以密碼算法為基礎,研究抗物理攻擊、能量分析和暴力破解的安全RFID標簽,同時選用或設計全新密碼算法,降低運算復雜度,采用異步電路和絕熱電路等芯片設計手段嚴格控制芯片功耗和成本。
無線傳感器網絡安全:基于密碼算法,研究針對無線傳感器節點帶寬和能量有限、無人值守、應用耦合緊密特點的節點自身安全和路由協議安全技術。利用節點入網身份和健康狀態認證及路由協議的自組織等手段,確保整個無線傳感器安全、可靠地運行。
安全管理:研究適合RFID標簽和傳感器節點數量大、分散性高、可控性差等特點的密鑰管理技術,研究降低密鑰管理復雜度的新算法、新手段,降低物聯網安全系統的安裝和運維成本。
智能處理安全:分析物聯網智能處理中間件安全漏洞和應對措施,利用基于密碼算法的安全協議,提出物聯網智能處理平臺中間件的安全解決方案。
安全芯片:研究適合物聯網RFID、傳感器和網絡傳輸、智能分析的安全芯片技術,結合新的密碼算法,解決傳統密碼算法在RFID和傳感器中功耗較高的問題。
全同態加密技術:全同態加密,也稱為隱私同態,是一項全新的加密技術,它能夠使系統在無須讀取敏感數據的情況下處理這些數據,從而可以保護用戶的隱私信息不被泄露。
使用web掃描器過程有以下誤解:
能掃描漏洞越多,漏洞庫越大掃描器越好:很多人認為漏洞庫條目多,檢查出來的漏洞多就是好,但在實際使用中Web掃描器面對龐大繁多、千差萬別的應用系統,為提升檢測性能,多采用高效率的Web通用插件,以一掃多,其不再局限于某個專門應用系統,深層次聚合歸并,盡可能多地發現多種應用系統的同類漏洞。同時,對于掃描出來的非誤報漏洞,若同屬某一頁面不同參數所致的相同漏洞,歸納整理,讓最終呈現的漏洞報表簡約而不簡單,避免數量冗余、雜亂無章。故若以毫無插件歸并能力,僅靠大量專門Web系統插件、羅列各類漏洞列表數量多來博取贊許的Web掃描器,其本質存在太多的不專業性。
掃描速度越快,耗時時間較短的掃描器越好:網站規模日趨復雜,日常檢查時我們期待Web掃描器能有更高效率地完成掃描任務,這點無可厚非,但檢查的本質是要最大限度地提前發現足夠多的漏洞,并第一時間制定后續相應的修補計劃。故在面對同一目標站點時,Web掃描器若能在單位時間內檢測出來的有效存在漏洞數越多,這個快才是真的好。
對掃描目標影響越小掃描器越好:正常來說對掃描目標的影響越小確實越好,但前提是能最大限度發現Web漏洞的前提下才能考慮的關鍵因素,否則掃描過程實現了無損掃描但是實際沒有掃描出任何問題這樣就是本末倒置了,只要Web掃描器在執行掃描過程中,對目標系統負載響應和網絡鏈路帶寬占用,影響足夠小那說明這個掃描器就是優秀,并不需要達到無損掃描。
OWASP(開放式web應用程序安全項目)關注web應用程序的安全。OWASP十大安全漏洞包括:
注入
將不受信任的數據作為命令或查詢的一部分發送到解析器時,會產生諸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻擊者的惡意數據可以誘使解析器在沒有適當授權的情況下執行非預期命令或訪問數據。
失效的身份認證
通常,通過錯誤使用應用程序的身份認證和會話管理功能,攻擊者能夠破譯密碼、密鑰或會話令牌,或者利用其它開發缺陷來暫時性或永久性冒充其他用戶的身份。
敏感數據泄露
許多Web應用程序和API都無法正確保護敏感數據,例如:財務數據、醫療數據和PII數據。攻擊者可以通過竊取或修改未加密的數據來實施信用卡詐騙、身份盜竊或其他犯罪行為。未加密的敏感數據容易受到破壞,因此,我們需要對敏感數據加密,這些數據包括:傳輸過程中的數據、存儲的數據以及瀏覽器的交互數據。
XML 外部實體(XXE)
許多較早的或配置錯誤的XML處理器評估了XML文件中的外部實體引用。攻擊者可以利用外部實體竊取使用URI文件處理器的內部文件和共享文件、監聽內部掃描端口、執行遠程代碼和實施拒絕服務攻擊。
失效的訪問控制
未對通過身份驗證的用戶實施恰當的訪問控制。攻擊者可以利用這些缺陷訪問未經授權的功能或數據,例如:訪問其他用戶的帳戶、查看敏感文件、修改其他用戶的數據、更改訪問權限等。
安全配置錯誤
安全配置錯誤是最常見的安全問題,這通常是由于不安全的默認配置、不完整的臨時配置、開源云存儲、錯誤的 HTTP 標頭配置以及包含敏感信息的詳細錯誤信息所造成的。因此,我們不僅需要對所有的操作系統、框架、庫和應用程序進行安全配置,而且必須及時修補和升級它們。
跨站腳本(XSS)
當應用程序的新網頁中包含不受信任的、未經恰當驗證或轉義的數據時,或者使用可以創建 HTML或JavaScript 的瀏覽器 API 更新現有的網頁時,就會出現 XSS 缺陷。XSS 讓攻擊者能夠在受害者的瀏覽器中執行腳本,并劫持用戶會話、破壞網站或將用戶重定向到惡意站點。
不安全的反序列化
不安全的反序列化會導致遠程代碼執行。即使反序列化缺陷不會導致遠程代碼執行,攻擊者也可以利用它們來執行攻擊,包括:重播攻擊、注入攻擊和特權升級攻擊。
使用含有已知漏洞的組件
組件(例如:庫、框架和其他軟件模塊)擁有和應用程序相同的權限。如果應用程序中含有已知漏洞的組件被攻擊者利用,可能會造成嚴重的數據丟失或服務器接管。同時,使用含有已知漏洞的組件的應用程序和API可能會破壞應用程序防御、造成各種攻擊并產生嚴重影響。
不足的日志記錄和監控
不足的日志記錄和監控,以及事件響應缺失或無效的集成,使攻擊者能夠進一步攻擊系統、保持持續性或轉向更多系統,以及篡改、提取或銷毀數據。大多數缺陷研究顯示,缺陷被檢測出的時間超過200天,且通常通過外部檢測方檢測,而不是通過內部流程或監控檢測。
信息安全管理系統主要有以下三大功能:
基礎數據管理功能,即可以進行經營單位管理、機房信息管理、IDC/ISP用戶管理、人員信息管理、基礎數據監測數據等管理。
安全指令管理功能,即指令執行查詢、監測指令管理、過濾指令管理、監控節點狀態(節點狀態監控方法見:信安系統CU和EU區別)、管局下發白名單、管局下發黑名單等功能。
監控日志分析,即指訪問日志查詢、監測日志查詢、過濾日志查詢、基礎數據監測日志、活躍資源監測統計、違法違規網站監測等功能。
軟件安全云測試有以下特點:
測試成本低:隨著應用需求的變化,需要不斷地更新軟件測試的方案,相應地需要不斷部署新的設備顯然,云測試可以充分利用云端的資源部署和配置測試環境,用戶無須購買測試工具或設備,只需支付低廉租賃費用,降低企業成本。
測試場景逼真:由于測試發生在云端,因此,云測試能夠更加真實地模擬出分布式環境下的虛擬用戶環境,包括地理位置、瀏覽器和網絡寬帶等,同時使得測試用例更加豐富。
測試環境按需提供:由于云服務是一種按需提供服務的運營模式,因此,在進行云測試時,用戶可以按需地部署測試資源和環境。
適用盡早測試原則:應用云測試,通過云平臺能夠更快速地完成測試,因此,軟件應遵循盡早測試原則,這不僅能夠降低風險,同時也不會影響軟件開發效率。
測試周期短:當測試用例非常龐大或者反復運行測試時,工作量就會顯得非常巨大。由于云測試具有并發性,因此,利用云測試可以大大減少測試的時間。
規范標準:云測試提供了一種不同應用系統測試的共同解決方案,可以預先定義多種測試所需環境的標準鏡像文件。在某種意義上來說,這必然會促進不同應用系統之間標準的統一化,從而加速云技術的發展。
網絡隱私泄露的危害有以下幾種:
用戶人身財產受到威脅:近幾年,大大小小的網上個人信息泄露事件頻發,信息安全問題比以往任何一個時代都更為突出。越來越多的公民個人信息成為不法分子爭搶的“香餑餑”,要么被直接出賣非法獲利,要么被犯罪分子利用,從事電信詐騙、非法討債甚至綁架勒索等犯罪活動。犯罪分子通過各種途徑收集到人們被泄露出去的隱私,經過篩選分析用戶特征,進行精準犯罪。例如在中國安全防范產品行業協會發布的一例案例中,上海某上市公司的總賬會計陳某,被不法分子收集到的信息克隆出公司微信群騙取169萬元人民幣,這就是典型的隱私泄露造成的網絡詐騙案件。
威脅國家和公司安全:隱私泄露對個人所造成的影響畢竟是有限的,但對公司和國家造成的危害則是巨大的。不法分子通過各種途徑收集對方公司到的某些重要信息,將信息兜售給其競爭對手從而對公司造成巨大損失,如果是重點行業的公司機密被泄露那不僅對公司來說是致命的,還會對國家安全造成威脅。例如土耳其5000萬居民信息泄露事件,某黑客攻擊土耳其存放國民身份信息的信息庫,并將導出的信息泄露到公網上,其中包括了土耳其總體埃爾多安的詳細身份信息,這對土耳其國家安全造成了嚴重威脅。
用戶思想容易被裹挾:隱私泄露雖然對個人、公司和國家的安全造成嚴重威脅,但更為可怕的是隱私泄露還能裹挾用戶思想,改變其三觀,最終引導整個社會朝著某個設計好的方向發展。例如著名的Facebook用戶隱私泄露案件,其中劍橋分析利用從Facebook手中獲取到的用戶數據,分析用戶行為和思維并向用戶精準投放廣告,在用戶接收到的信息中加入影響總統競選的成分,從而潛移默化的影響廣大選民的思想,達到裹挾用戶思想的目的,進一步操縱美國總統大選大選。
保護隱私不被泄露的做法如下:
應保證收集數據源的合法合規。
在信息的收集、儲存、傳輸、應用、提供等方面做好對數據的加密等保護措施。
嚴格按照《個人信息保護法草案》確立的“告知-同意”為核心的個人信息處理一系列規則處理敏感個人隱私信息。
不拿手機號注冊不安全不合規的網站。
在正規的應用商店下載APP,同時在安裝手機App時,在不影響使用的情況下少給權限。
像保護信用卡信息一樣保護電子郵件和社交媒體帳戶。
警惕任何要求獲取個人身份信息的來電、短信、電子郵件或消息。
不定期修改網絡帳號的密碼,密碼設置不要過于簡單,不要少于8位。
不要隨意暴露自己的個人信息,妥善處理帶有個人信息的物件。
保持一顆時刻警惕的心,樹立安全防護意識。
unix安全審計項包括文件完整性審計、用戶口令審計、端口審計。
文件完整性審計
是一系列有關計算機操作系統、應用程序及用戶操作等事件的記錄,用以幫助從原始數據追蹤到有關的記錄、報告或事件,或從記錄、報告、事件追溯到原始數據。
用戶口令審計
在面對妥善保護的系統時,我們可能很難發現其漏洞和可滲透的突破口。作為滲透測試人員,此時應嘗試對目標系統進行弱密碼的檢測。密碼破解成敗的關鍵在于字典的質量,crunch是一個密碼字典生成器,它可以靈活的按照規則生成定制的密碼字典,為了方便使用,其內建了常用的字符集文件,并支持自定義密碼構成元素。
端口審計
對網絡中大量主機進行開放端口審計,通常是由安全審計人員通過自動化掃描當下網絡中主機開放端口的情況,實現網絡中大量主機的開放端口審計或監控。
操作系統的主要功能包括以下這些:
進程管理:其工作主要是進程調度,在單用戶單任務的情況下,處理器僅為一個用戶的一個任務所獨占,進程管理的工作十分簡單。但在多道程序或多用戶的情況下,組織多個作業或任務時,就要解決處理器的調度、分配和回收等問題。
存儲管理:主要是對內存的分配、保護和擴充,主要包括存儲分配、存儲共享、存儲保護、存儲擴張。
設備管理:設備分配、設備傳輸控制、設備獨立性,對所有輸人、輸出設備的管理,保證設備的正常使用。
文件管理:文件存儲空間的管理、目錄管理、文件操作管理、文件保護。主要涉及文件的邏輯組織和物理組織,目錄的結構和管理。
作業管理:是負責處理用戶提交的任何要求,為用戶提供一個友好的環境,方便用戶組織自己的工作流程。
智能手機病毒防范措施如下:
備好啟動盤,并設置寫保護。在對計算機進行檢查、修復和手工殺毒時,通常要使用無毒的啟動盤,使設備在較為干凈的環境下操作。
盡量不用軟盤、U盤、移動硬盤或其他移動存儲設備啟動計算機,而用本地硬盤啟動。
定期對重要的資料和系統文件進行備份。可以通過比照文件大小、檢查文件個數、核對文件名字來及時發現病毒。
重要的系統文件和磁盤可以通過賦予只讀功能,避免病毒的寄生和入侵。也可以通過轉移文件位置,修改相應的系統配置來保護重要的系統文件。
重要部門的計算機,盡量專機專用與外界隔絕。
盡量避免在無防毒措施的機器上使用軟盤、U盤、移動硬盤、可擦寫光盤等可移動的儲存設備。
使用新軟件時,先用殺毒程序檢查,減少中毒機會。
安裝殺毒軟件、防火墻等防病毒工具,并準備一套具有查毒、防毒、解毒及修復系統的工具軟件。并定期對軟件進行升級、對系統進行查毒。
經常升級安全補丁。80%的網絡病毒是通過系統安全漏洞進行傳播的,如紅色代碼、尼姆達等病毒,所以應定期到相關網站去下載最新的安全補丁。
使用復雜的密碼。有許多網絡病毒是通過猜測簡單密碼的方式攻擊系統的,因此使用復雜的密碼,可大大提高計算機的安全系數。
主機安全測評主要包括以下三種方法:
訪談:訪談是指測評人員通過引導信息系統相關人員進行有目的的(有針對性的)交流以幫助測評人員理解,澄清或取得證據的過程。管理員,安全管理員,安全審核員,主機使用人員等針對主機測評所要求的訪談內容進行詢問和調查,并根據訪談收集的信息進行主機安全性的分析判斷。
檢查:檢查是指測評人員通過測評對象(如制度文檔,各類設備,安全配置)進行觀察,查驗,分析以幫助測評人員理解,消除或獲取證據的過程。情況,依據主機安全現場檢查表單和作業指導書,對信息系統中的主機安全狀況進行實地核查。其中,主要包括2個方面,一是對所提供的主機安全相關技術文檔資料進行檢查分析。二是針對主機安全配置要求,登錄各個相關主機,運用主機操作指令和工具進行安全狀態數據的提取和分析。
測試:測試是指測評人員使用預定的方法/工具使測評對象(各類設備或安全配置)產生特定的結果,以將運行結果與預期的結果進行比對的過程。主機故障掃描主要針對被測評的主機實現操作系統漏洞性掃描,重要文件, 目錄脆弱性掃描,瀏覽器漏洞性掃描,網絡服務脆弱性掃描,其他通用服務脆弱性掃描, 用戶, 組重組脆弱性掃描,文件共享能弱性掃描,數據庫脆弱性掃描等安全測試工作:主機安全檢測到主要對被測評的主機進行安全配置檢查,檢查主機操作系統,數據庫。虛擬化軟件等是否符合用戶的安全規定要求:主機滲送測試完全模擬黑客可能使用的攻擊技術和突破發現技術,對被測評的主機做深入的安全探測,以發現主機所存在的安全問題。
CARP協議的主要優勢體現在以下方面:
無須資源查詢的請求和應答過程,避免網絡影響,降低傳輸開銷。
消除了重復緩存數據,系統中每個URL內容只保留一份,節省空間。
具有更好的擴展性,因為無須和眾多其他Cache服務器進行網絡交互。
可以靈活增刪服務器節點,哈希算法的應用能夠最小化節點數量變化導致的數據分布影響。
能夠確保所有的URL數據都能夠有效地緩存在系統中。
產生寬字節注入的主要原因是是源于程序員設置數據庫編碼與PHP編碼設置為不同的兩個編碼格式從而導致產生寬字節注入,寬字節注入是利用mysql的一個特性,mysql在使用GBK編碼(GBK就是常說的寬字節之一,實際上只有兩字節)的時候,會認為兩個字符是一個漢字,導致編碼轉換出現問題從而出現注入。簡單來說就是數據庫使用了寬字符集,而程序員在編寫web頁面時沒有考慮到這個問題。
sql注入防范措施有以下這些:
把應用服務器的數據庫權限降至最低,盡可能地減少 SQL 注入攻擊帶來的危害。
避免網站打印出SQL錯誤信息,比如類型錯誤、字段不匹配等,把代碼里的SQL語句暴露出來,以防止攻擊者利用這些錯誤信息進行SQL注入。
對進入數據庫的特殊字符(’’尖括號&*;等)進行轉義處理,或編碼轉換。
所有的查詢語句建議使用數據庫提供的參數化查詢接口,參數化的語句使用參數而不是將用戶輸入變量嵌入到SQL語句中,即不要直接拼接SQL語句。
在測試階段,建議使用專門的 SQL 注入檢測工具進行檢測。網上有很多這方面的開源工具,例如sqlmap、SQLninja等。
善用數據庫操作庫,有些庫包可能已經做好了相關的防護,我們只需閱讀其文檔,看是否支持相應的功能即可。
工業控制系統漏洞的特點如下:
安全漏洞數量快速增長,安全形勢日益嚴峻工業控制系統漏洞自2010年以來,呈現爆發式增長的態勢。在2009年以前,CNVD每年收錄的工業控制系統漏洞數量僅為個位數。但到了2010年,該數字攀升至32個,次年又躍升至199個,漏洞成為影響工業控制系統安全的主要因素。
安全漏洞類型多樣化特性明顯,Common Vulnerabilities and Exposures (CVE)、National Vulnerability Database(NVD)、國家信息安全漏洞共享平臺(CNVD)及國家信息安全漏洞庫(CNNVD)四大漏洞平臺收錄的漏洞信息達690個,安全漏洞類型多樣化特征明顯,技術類型多達30種以上。其中,緩沖區溢出漏洞(105個)、拒絕服務漏洞(90個)和訪問控制漏洞(75個)最為常見。工業控制系統新增漏洞類型分布(Top10)攻擊者可以利用多樣化的漏洞獲取非法控制權、通過遍歷的方式繞過驗證機制、發送大量請求造成資源過載等安全事故。實際上,無論攻擊者利用何種漏洞造成生產廠區的異常運行,均會影響工業控制系統組件的靈敏性和可靠性,造成嚴重的安全問題。
高危漏洞占比較高,在四大漏洞平臺收錄的工業控制系統漏洞中,高危漏洞占比為57.3%,中危漏洞占比為35.5%,低危漏洞占比為2.9%。工業控制系統新增漏洞危險等級分布。
漏洞涉及行業廣泛,以制造、能源行業為主,在四大漏洞平臺收錄的工業控制系統漏洞中,漏洞多數分布在制造、能源、水務、商業設施、石化、醫療、交通、農業、信術、航空等關鍵基礎設施行業。一個漏洞可能涉及多個行業。在690個漏洞中,有566個漏洞涉及制造行業,有502個漏洞涉及能源行業,因此應加強這兩個行業的安全建設。
