網(wǎng)站滲透測試中溯源技術(shù)與授權(quán)機制

時間：2020-03-15作者：青島四海通達電子科技有限公司瀏覽：1028

在眾多滲透測試中客戶想要了解攻擊溯源查找問題,我們Sine安全在日常網(wǎng)站安全檢測過程中了解知道黑客是如何攻擊和上傳木馬并進行篡改,以及如何查找日志分析攻擊者是通過哪些腳本入口文件進行入侵的，那么本節(jié)由我們*的滲透測試主管技術(shù)來為大家講解。

6.9.1.1. 基于日志的溯源

使用路由器、主機等設(shè)備記錄網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流中的關(guān)鍵信息（時間、源地址、目的地址），追蹤時基于日志查詢做反向追蹤。 這種方式的優(yōu)點在于兼容性強、支持事后追溯、網(wǎng)絡(luò)開銷較小。但是同時該方法也受性能、空間和隱私保護等的限制，考慮到以上的因素，可以限制記錄的數(shù)據(jù)特征和數(shù)據(jù)數(shù)量。另外可以使用流量鏡像等技術(shù)來減小對網(wǎng)絡(luò)性能的影響。

6.9.1.2. 路由輸入調(diào)試技術(shù)

在攻擊持續(xù)發(fā)送數(shù)據(jù)，且特性較為穩(wěn)定的場景下，可以使用路由器的輸入調(diào)試技術(shù)，在匹配到攻擊流量時動態(tài)的向上追蹤。這種方式在DDoS攻擊追溯中比較有效，且網(wǎng)絡(luò)開銷較小。

6.9.1.3. 可控洪泛技術(shù)

追蹤時向潛在的上游路由器進行洪泛攻擊，如果發(fā)現(xiàn)收到的攻擊流量變少則攻擊流量會流經(jīng)相應(yīng)的路由。這種方式的優(yōu)點在于不需要預(yù)先部署，對協(xié)同的需求比較少。但是這種方式本身是一種攻擊，會對網(wǎng)絡(luò)有所影響。

6.9.1.4. 基于包數(shù)據(jù)修改追溯技術(shù)

這種溯源方式直接對數(shù)據(jù)包進行修改，加入編碼或者標(biāo)記信息，在接收端對傳輸路徑進行重構(gòu)。這種方式人力投入較少，支持事后分析，但是對某些協(xié)議的支持性不太好。 基于這種方式衍生出了隨機標(biāo)記技術(shù)，各路由以一定概率對數(shù)據(jù)包進行標(biāo)識，接收端收集到多個包后進行重構(gòu)。

6.9.2. 分析模型

6.9.2.1. 殺傷鏈（Kill Kain）模型

殺傷鏈這個概念源自軍事領(lǐng)域，它是一個描述攻擊環(huán)節(jié)的模型。一般殺傷鏈有認(rèn)為偵查跟蹤（Reconnaissance）、武器構(gòu)建（Weaponization）、載荷投遞（Delivery）、漏洞利用（Exploitation）、安裝植入（Installation）、通信控制（Command&Control）、達成目標(biāo)（Actions on Objective）等幾個階段。

在越早的殺傷鏈環(huán)節(jié)阻止攻擊，防護效果就越好，因此殺傷鏈的概念也可以用來反制攻擊。

在跟蹤階段，攻擊者通常會采用掃描和搜索等方式來尋找可能的目標(biāo)信息并評估攻擊成本。在這個階段可以通過日志分析、郵件分析等方式來發(fā)現(xiàn)，這階段也可以采用威脅情報等方式來獲取攻擊信息。

武器構(gòu)建階段攻擊者通常已經(jīng)準(zhǔn)備好了攻擊工具，并進行嘗試性的攻擊，在這個階段IDS中可能有攻擊記錄，外網(wǎng)應(yīng)用、郵箱等帳號可能有密碼爆破的記錄。有一些攻擊者會使用公開攻擊工具，會帶有一定的已知特征。

載荷投遞階段攻擊者通常會采用網(wǎng)絡(luò)漏洞、魚叉、水坑、網(wǎng)絡(luò)劫持、U盤等方式投送惡意代碼。此階段已經(jīng)有人員在對應(yīng)的途徑收到了攻擊載荷，對人員進行充分的安全培訓(xùn)可以做到一定程度的防御。

突防利用階段攻擊者會執(zhí)行惡意代碼來獲取系統(tǒng)控制權(quán)限，此時木馬程序已經(jīng)執(zhí)行，此階段可以依靠殺毒軟件、異常行為告警等方式來找到相應(yīng)的攻擊。

安裝植入階段攻擊者通常會在web服務(wù)器上安裝Webshell或植入后門、rootkit等來實現(xiàn)對服務(wù)器的持久化控制。可以通過對樣本進行逆向工程來找到這些植入。

通信控制階段攻擊者已經(jīng)實現(xiàn)了遠程通信控制，木馬會通過Web三方網(wǎng)站、DNS隧道、郵件等方式和控制服務(wù)器進行通信。此時可以通過對日志進行分析來找到木馬的痕跡。

達成目標(biāo)階段時，攻擊者開始完成自己的目的，可能是破壞系統(tǒng)正常運行、竊取目標(biāo)數(shù)據(jù)、敲詐勒索、橫向移動等。此時受控機器中可能已經(jīng)有攻擊者的上傳的攻擊利用工具，此階段可以使用蜜罐等方式來發(fā)現(xiàn)。

6.9.2.2. 鉆石（Diamond）模型

鉆石模型由網(wǎng)絡(luò)情報分析與威脅研究中心（The Center for Cyber Intelligence Anaysis and Threat Research，CCIATR）機構(gòu)的Sergio Catagirone等人在2013年提出。

該模型把所有的安全事件（Event）分為四個**元素，即敵手（Adversary），能力（Capability），基礎(chǔ)設(shè)施（Infrastructure）和受害者（Victim），以菱形連線代表它們之間的關(guān)系，因而命名為“鉆石模型”。

殺傷鏈模型的特點是可說明攻擊線路和攻擊的進程，而鉆石模型的特點是可說明攻擊者在單個事件中的攻擊目的和所使用攻擊手法。

在使用鉆石模型分析時，通常使用支點分析的方式。支點（Pivoting）指提取一個元素，并利用該元素與數(shù)據(jù)源相結(jié)合以發(fā)現(xiàn)相關(guān)元素的分析技術(shù)。分析中可以隨時變換支點，四個**特征以及兩個擴展特征（社會政治、技術(shù)）都可能成為當(dāng)時的分析支點。

認(rèn)證服務(wù)器向客戶端發(fā)送訪問令牌,滲透測試中包含的授權(quán)模式都要詳細(xì)的審計和檢測,如果對此有更多的想要了解,可以聯(lián)系專業(yè)的網(wǎng)站安全公司來處理,國內(nèi)做的比較大的推薦Sinesafe,綠盟,啟**辰,深信服等等都是比較不錯的滲透測試公司.


青島四海通達電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護,網(wǎng)站漏洞檢測,滲透測試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 大型電子商務(wù)網(wǎng)站安全解決方案

  行業(yè)背景和需求:手機網(wǎng)民2013年初達到4.5億，移動互聯(lián)網(wǎng)信息化的普遍席卷**.傳統(tǒng)行業(yè)的商務(wù)模式受到巨大的影響，越來越多的個人用戶和企業(yè)消費者，在互聯(lián)網(wǎng)的開放下，實現(xiàn)了手機網(wǎng)上購物，用戶之間的網(wǎng)上交易以及網(wǎng)銀在線支付形成了一種新型的商業(yè)運營模式。例如：手機支付的刷卡拉，等等的都改變了我們的過去，簡單、快捷也既至成為了個人用戶選擇網(wǎng)上消費的原因。日益龐大的電子商務(wù)網(wǎng)站，訂單和客戶信息量不斷的增加

• 金融平臺網(wǎng)站服務(wù)器安全防護7個標(biāo)準(zhǔn)方法

  從總體來說，新標(biāo)準(zhǔn)規(guī)定針對服務(wù)器端安全防護的基本建設(shè)須要較為專業(yè)化與系統(tǒng)化，在解決不法攻擊時，可對其“行為舉動開展檢測，對其終端設(shè)備特性（比如，終端設(shè)備標(biāo)志、硬件軟件特性等）、互聯(lián)網(wǎng)特性（比如，MAC、IP、無線網(wǎng)標(biāo)志等）、顧客特性（比如，帳戶標(biāo)志、手機號等）、行為舉動特性、物理具體位置等信息內(nèi)容開展辨別、標(biāo)識和相關(guān)性分析”，還可以與“危害性監(jiān)測系統(tǒng)建立聯(lián)動機制，即時選用禁封等安全防護對策”。在關(guān)

• 網(wǎng)站滲透測試安全防護公司 何去何從

  近期有許多網(wǎng)站滲透測試安全防護從業(yè)人員向我咨詢就業(yè)角度疑問，去甲方公司做安全防護好或者去乙方客戶企業(yè)做安全防護好，特別是應(yīng)屆畢業(yè)生或工作中1到3年的安全防護從業(yè)人員。事實上這也是一個不是很好解答的疑問，是因為牽涉的各種因素很多，每一個人的情況也各有不同。但是之所以能夠 有那么多的人問，更多的是體現(xiàn)了大伙兒對甲方安全防護企業(yè)工作和乙方客戶企業(yè)工作的未知之?dāng)?shù)，不清楚哪個較合適自個，更多方面的思想觀念將

• 關(guān)于網(wǎng)站漏洞修復(fù)以及處理解決的相關(guān)問題解答

  Q：發(fā)覺系統(tǒng)漏洞后各企業(yè)的解決狀況，能升級的升級，不可以升級的都有哪些解決方法？A：較先對系統(tǒng)漏洞開展等級分類，不一樣的系統(tǒng)漏洞設(shè)定不一樣的安全隱患等級。系統(tǒng)漏洞的修復(fù)也是有多種多樣方法，根據(jù)形成根本原因從根本原因修復(fù)、設(shè)定主機iptables啟用策略路由、關(guān)掉有關(guān)功能模塊...總而言之，先推充分修復(fù)，緩解或避開其次。不需要去強求所有都需要充分修復(fù)，可是也須要留意防止暫時的限定對策被開放，須要認(rèn)證