版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
WEBSecurityWEB平安简介cnrstar@四维创智自我介绍目录网络平安现状平安圈简介渗透测试概述APT攻击技术WEB平安技术初探网络平安现状从斯诺登泄密发现潜在威胁斯诺登披露"棱镜"方案显示,电邮、即时消息等10类信息的细节都被监控。美国国家平安局曾入侵中国电讯公司以获取短信信息,并持续攻击清华大学的主干网络以及电讯公司Pacnet香港总部的计算机,2021年起NSA就开始入侵华为总部的效劳器。
危机四伏的网络世界据前NSA合同工EdwardSnowden泄露的文件,NSA设计窃取机密文件的恶意程序感染了超过五万个区域网络。一份日期为2021年的幻灯片显示〔如左图〕,NSA在50000多个地点通过安装恶意程序展开秘密渗透。NSA标注为最高机密的内容收集方案〔ContectAcquisitionOptimization〕曝光。该方案目标是包括美国公民在内的全球用户。读取你的邮件地址薄,爬取你的即时通讯软件的好友列表,每年收集亿个电子邮件地址和即时通讯账号。美国国安局〔NSA〕在世界范围内收集了上亿联系人信息,包括email地址、信息账号等,其中很多位美国公民。此为NSA最高机密。国家的角力—美国网军TAO的使命很简单,那就是搜集外国目标的情报信息,具体方法那么包括秘密入侵海外目标的电脑和电信系统、破解密码、攻破保护目标电脑的平安系统、窃取存储在电脑硬盘上的数据,然后复制目标电子邮件和文本信息系统内的所有消息和数据流量。NSA使用“电脑网络开发〞(computernetworkexploitation,简称“CNE〞)这一技术术语来描述这些行动。TAO还负责研究一些信息,使得美国可以在得到总统的授权下,通过网络攻击破坏国外电脑和通讯系统。负责实施这种攻击的机构名叫“美国数字指挥部〞(Cybercom),其总部设在米德堡,负责人由NSA局长基思·亚历山大(KeithAlexander)将军兼任。自1997年创立以来,TAO就以向美国情报界提供最好的情报而闻名,享有盛誉。TAO提供的情报不仅仅与中国有关,还包括外国恐怖组织、外国政府对美国进行的间谍活动、全球各地开展的弹道导弹和大规模杀伤性武器,以及全球各地最新的政治、军事和经济开展情报。匿名者攻击中国网络2021年5月起,中国局部政府网站相继被匿名者黑客组织(AnonymousHacker)入侵或造成网站效劳器信号中断,局部网站甚至被盗取客户资料。匿名者的攻击从未间断过,这将会是一个长久持续的隐患。无处不在的威胁—不止匿名者随着最近几年的互联网开展,网络平安的话题也被推向了风口浪尖,包括美国五角大楼、国防部的资料泄密,英国情报泄密,奥巴马社交帐号被盗,adobe和apple数据库泄漏等等各个国家以及世界500强企业出现的网络平安问题。在所有受攻击的企业和单位中,国家机关、涉密单位、科研院校、金融单位等涉及国家机密和资金平安的,遭到黑客攻击的技术含量和攻击频率远高于普通企业。甚至有涉密单位在一个月之内就遭到多个不同组织的近千次攻击窥测。而与涉密单位相关的个人电脑、、U盘等私人物品,也往往会成为黑客攻击的突破口。例如,有些承担军队研究任务的院校,其研究人员的个人电脑也经常遭到攻击,攻击者企图通过对U盘、移动硬盘、的攻击,将其作为跳板,进而攻击涉密网络,一旦成功那么会造成机密资料外泄的严重后果。平安圈简介黑客层级Level1——愣头青【百万人】:会使用平安工具,只能简单扫描、破译密码Level2——系统管理员【上万人】:善用平安工具,特别熟悉系统及网络Level3——大公司的开发人员或核心平安公司大牛【几千人】:对操作系统特别熟悉,开始开发代码,写自己的扫描器Level4——能找到并利用漏洞【几百人】:自己能找漏洞、自己找0day并且写exp利用漏洞的;对系统做挖掘漏洞的协议测试Level5——高水平【少于百人】:防御和构建系统的人Level6——精英级【几十人到十几人】:对操作系统的理解很深入Level7——大牛牛【寥寥无几】:马克·扎克伯格、艾伯特·爱因斯坦等改变世界的人渗透测试概述渗透测试概念模拟真实黑客发起的网络攻击,旨在检测目标网络平安性专业性强覆盖知识点较多〔Web、数据库、网络架构、安防设备等〕攻击手法已经成型且固定攻击思路更显重要迷宫游戏:永远不知道自己下一步遇见的是什么情况经验+那么一点点的灵感渗透测试术语简介扫描木马、病毒黑帽子、白帽子社会工程学钓鱼poc、exploitWebShellDDoSARP攻击0day常见攻击技术XSSCSRF越权、逻辑错误目录遍历SQL注入漏洞利用〔MySQL认证漏洞、远程代码执行等〕DDOS〔带宽消耗〕ARP欺骗WEBDB网络层系统层DDOS〔资源消耗〕远程溢出〔MS08-067、MS10-020〕Rootkit0day〔虚拟机逃逸、本地溢出提权等〕远程代码执行网页挂马文件包含……了解APT攻击APT简介AdvancedPersistentThreat组织严密、高投入筹划完善、目标明确全方位渗透、不择手段持续性久、难防御隐蔽性高、难发现攻击目标WEBorEmail?Web攻击是邮件钓鱼攻击的5倍!APT攻击案例极光方案针对Google的一次定向攻击BeeBus行动FireEye指中国61398部队对美国无人机制造商的攻击可汗探索2021“概念制定会议声明信息-2021可汗探索军演草案文件〞--CVE-2021-0158
目标为蒙古国防部负责方案和演习的部门APT攻击团队山猫小组商业间谍、政府承包商以入侵Bit9为根底,攻击多个政府组织IceFog重点针对政府和军事机构组合使用社会工程学和0day渗透测试流程信息收集扫描探测漏洞利用通道控制内网扩展资料回传信息收集目的了解目标网络架构了解目标业务架构制定攻击路线不做破坏,仅踩点手段Whois信息、二级域名扫描IP段端口与服务扫描网站信息收集合作单位信息收集Linkedin、Facebook、微博等SNS信息收集购买相关信息(公司通信录等)扫描探测WEB指纹识别效劳指纹识别木桶原理与网络边界漏洞利用传统WEB漏洞SQL注入、XSS、上传、命令执行……弱口令与效劳设置缺陷效劳弱口令〔SSH、FTP、RDP、DB……〕WEB弱口令〔后台、企业邮箱、论坛……〕定向挂马与水坑攻击0day组合利用社会工程学已有数据库〔渗透“秘密〞〕无意泄露的密码〔Github,百度例子〕交互式钓鱼水坑攻击〔打折信息、送电子设备等〕潜伏与内网渗透通道维护正向:WebShell、管理密码反向:木马、rootkit、bootkit域渗透与非域环境渗透潜伏之特种木马震网〔Stuxnet〕是一种Windows平台上的计算机蠕虫,该蠕虫病毒已感染并破坏了伊朗的核设施,使伊朗的布什尔核电站推迟启动。穿透物理隔绝网络敏感的网络都是物理隔离的,特种木马如何穿透隔离?HID攻击Teensy是一个基于USB接口非常小巧而又功能完整的单片机开发系统,它能够实现多种类型的工程开发和设计。Teensy为开源工程,任何有能力有技术的都可以生产定制。其中PJRC是最优秀的或者说商业化最好的生产商。特种木马特性穿透代理〔ISA、Bluecoat等〕绕过流量监控与防火墙检测多协议〔TCP、UDP直连、HTTP、ICMP等〕自定义通信加密绕过检测白加黑注入正常程序执行资料回传〔指定时间、速度限制〕智能木马〔木马协作抵御查杀〕WEB平安技术初探WEB时代未来开展为何WEB如此重要和数据库联动,关联敏感数据工控、监控、VPN、邮箱等系统作为跳板攻击其他核心应用挂马、篡改DMZ区到核心区域的突破口网络根本架构简单的网站模型数据库管理系统/数据库数据库服务器客户端用户1的PC客户端用户2的PC客户端黑客的PC网站WEB服务器动态网站工作过程客户端数据库脚本引擎用户想要查看ID为36的文章请求返回/Article.php?id=36请求返回获取参数ID的值为36,动态构造SQL语句:Select*fromArticlewhereid=36
,向数据库发起查询请求在Article表中查询id为36的所有记录返回查询到的所有记录处理返回的所有记录,如过滤和编码特殊字符等,生成静态网页并返回给客户端将网站返回的网页展示给用户HTTP协议与抓包工具Burpsuit安装与使用Fiddler安装与使用HTTP协议讲解SQL注入概述2000年?HowIHackedPacketStorm?引发SQL注入研究2005-2021引发SQL注入高潮。“啊D〞,“明小子〞,“穿山甲〞“Sqlmap〞……2021年依旧存在大量注入实例SQL注入概述SQL注入的定义:很多应用程序都使用数据库来存储信息。SQL命令就是前端应用程序和后端数据库之间的接口。攻击者可利用应用程序根据提交的数据动态生成SQL命令的特性,在URL、表单域,或者其他的输入域中输入自己的SQL命令,改变SQL命令的操作,将被修改的SQL命令注入到后端数据库引擎执行。SQL注入的危害:这些危害包括但不局限于:数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。网页篡改:通过操作数据库对特定网页进行篡改。网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。数据库被恶意操作:数据库效劳器被攻击,数据库的系统管理员帐户被窜改。效劳器被远程控制,被安装后门。经由数据库效劳器提供的操作系统支持,让黑客得以修改或控制操作系统。破坏硬盘数据,瘫痪全系统。一些类型的数据库系统能够让SQL指令操作文件系统,这使得SQL注入的危害被进一步放大。数据库根底概念图像、语音、文字等数据(Data)在计算机系统中,各种字母、数字符号的组合、语音、图形、图像等统称为数据。Access、MSSQL、Oracle、SQLITE、MySQL等数据库(Database)数据库是按照数据结构来组织、存储和管理数据的“仓库”。Access、MSSQL、Oracle、SQLITE、MySQL等数据库管理系统(DBMS)数据库管理系统(databasemanagementsystem)是一种操纵和管理数据库的软件,用于建立、使用和维护数据库。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。DQL、DDL、DML、TCL、DCL结构化查询语言(SQL)结构化查询语言(StructuredQueryLanguage)简称SQL,结构化查询语言是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统。SQL注入产生过程轻信用户输入带来的恶果〔其他漏洞类似〕产生条件输入可控特定输入被带入数据库查询结合代码分析数据库组成库〔database〕表〔table〕字段〔column〕为什么要使用数据库静态网页:html或者htm,是一种静态的页面格式,不需要效劳器解析其中的脚本。由浏览器如(IE、Chrome等)解析。2.灵活性差,制作、更新、维护麻烦3.交互性交差,在功能方面有较大的限制4.平安,不存在SQL注入漏洞动态网页:asp、aspx、php、jsp等,由相应的脚本引擎来解释执行,根据指令生成静态网页。2.灵活性好,维护简便3.交互性好,功能强大4.存在平安风险,可能存在SQL注入漏洞SQL注入对渗透测试的作用绕过登录验证:万能密码获取敏感数据:获取网站管理员帐号密码文件操作:列目录、读写文件注册表操作:增删改查注册表执行系统命令:借助接口执行系统命令无处不在的HACK查找SQL注入哪些地方可能存在注入漏洞?参数名目录名参数值文件名Cookie
......
未经检查和过滤即被代入到SQL命令中
SQL注入漏洞•最普遍的注入漏洞是由于参数值过滤不严导致的。•Cookie注入漏洞普遍存在于ASP的程序中。•参数名、目录名、文件名等注入漏洞通常存在于有网站路由的程序中。查找SQL注入自动化、范围广、效率高误报、漏报、测试范围有限测试范围广、准确效率高,与测试者经验有关自动化测试人工测试判断SQL注入的依据•
判断注入漏洞的依据是什么?
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 购销合同违约金纠纷的仲裁程序
- 购销合同终止协议注意事项
- 赠品选购协议范本
- 车用润滑油销售协议
- 软装项目服务协议
- 进口设备购买合同范本
- 退学意向声明
- 避免暴力的承诺
- 配电箱联营合作采购合同
- 酒类订购协议样本
- 2024年新《民法典》知识考试题库(含答案)
- 建设新型能源体系提高能源资源安全保障能力
- GB/T 22082-2024预制混凝土衬砌管片
- 江苏省无锡市锡山区天一中学2025届高一物理第一学期期末质量检测试题含解析
- 《IC品质控制》课件
- 2024年事业单位招聘考试计算机基础知识复习题库及答案(共700题)
- 阿尔茨海默病的诊断
- 2024-2030年中国眼镜行业市场深度分析及竞争格局与投资研究报告
- 2024-2030年中国度假酒店行业未来发展趋势及投资经营策略分析报告
- 德勤-集团信息化顶层规划方案
- 2024年法律职业资格考试(试卷一)客观题试卷及解答参考
评论
0/150
提交评论